Информационное развитие стран в XX и XXI вв. сформировало два направления деятельности в области обеспечения информационной безопасности. Это деятельность по обеспечению безопасности информационной инфраструк туры в масштабе государства, во-первых, и деятельность по проведению мер информационного противоборства с другими государствами, во-вторых.
Например, в США Национальный план обеспечения безопасности информационных систем сопровождается изданием книг с разноцветной обложкой, где излагаются требования к обеспечению безопасности в информационной сфере. Они содержат от 8 до 10 конкретных программ. Аналогичная книга («Зеленая») была одобрена в 1990 г. ФРГ, Великобританией, Францией, Голландией. На ее основе в Европейском Союзе (ЕС) создана система критериев оценки угроз 1Т5Е (Критерии оценки защищенности информационных технологий). В более поздней книге — «Белой» — перечислены восемь компонентов безопасности.
Как правило, они касаются таких направлений деятельности, как: определение критически важных ресурсов инфраструктуры, их взаимосвязей и стоящих перед ними угроз; обнаружение нападений и несанкционированных вторжений; разработка разведывательного обеспечения и правовых актов по защите критических информационных систем; своевременный обмен информацией предупреждения; создание возможностей по реагированию, реконфигурации и восстановлению.
Аналогичные программы существуют и в других странах. Их реализация мобилизует государственные и общественные структуры, субъектов корпоративных и персональных информационных систем на выработку концепций и мер борьбы с внутренними угрозами и рисками в сфере их информационной безопасности.
Наряду с программами обеспечения информационной безопасности разрабатываются и планы информационного противоборства. В зарубежной практике эта часть работ называется «информационными операциями». Печать и телерадиовещание середины 2008 г. сообщают об ужесточении таможенных правил и правил контроля за багажом пассажиров авиафлота в США. Контроль касается всех средств информационных технологий и связи (ноутбуков, мобильных телефонов, других носителей информации). Ноутбуки изымаются на две-три недели, и в каком состоянии они будут возвращены владельцу, неясно. Все это делается во имя борьбы с угрозами так называемого терроризма. Контролю подлежат не только носители информации туристов, но и граждан США.
В процессе реализации программ и законодательства в этой области обосновываются системы внешних угроз для других стран и субъектов. Это могут быть реализуемые в разных формах информационные войны, снам, распространение ложной или незаконной рекламы, распространение ложных сведений и т.д.
В уже упомянутой коллективной работе, посвященной «информационным операциям», упоминается документ США 1998 г. «Объединенная доктрина борьбы с системами управления» и директива 53600.1 «Информационные операции». В соответствии с этими и подобными документами полагалось, что американские вооруженные силы могут получить в свое распоряжение интегрированную систему принятия решений, базирующуюся на технологиях искусственного интеллекта, использовании нанотехнологий, эффективном анализе информации и т.п., что позволит обеспечить к 2020 г. принятие решений в реальном времени. Естественно, что подобные планы, и особенно в военной области, должны вызвать соответствующую реакцию защиты. Меры по противостоянию внешним информационным угрозам должны быть дифференцированы относительно степени их вредности в области реализации конституционных прав и свобод человека и гражданина; в области защиты интересов государства и общества в целом. При этом важно мобилизовать внимание не столько на прямое участие в информационных войнах, например, сколько на профилактические меры противостояния, предотвращения внешних угроз. Прежде всего — на укрепление правовой основы пресечения, предотвращения вредных для общества форм информационной борьбы — «холодных» и «горячих» войн. А это требует наибольшего сосредоточения внимания на правовом, организационном и техническом уровне обеспечения информационной безопасности относительно национальных систем информатизации, организации каждой информационной системы в отдельности.
При организации и оценке деятельности в области обеспечения информационной безопасности важно учитывать следующие условия: 1) точное определение информационного объекта, безопасность которого обеспечивается; 2) информационный статус субъекта, безопасность прав которого обеспечивается; 3) правовой статус субъектов, которые обеспечивают информационную безопасность; 4) знание угроз, рисков, правонарушений в зоне обеспечения информационной безопасности, а также источников, от которых эти угрозы исходят; 5) наличие установки, как, какими способами (мерами) может быть обеспечен необходимый уровень безопасности конкретного информационного объекта и прав субъектов, которые связаны с этим информационным объектом.
Основные направления повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти на основе распоряжения Правительства РФ от 27.09.2004 № 1244-р включают восемь направлений:
1) обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференциации ее уровня в различных федеральных органах государственной власти;
2) разработка модели угроз информационной безопасности;
3) определение технических требований и критериев установления критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований;
4) обеспечение эффективного мониторинга состояния информационной безопасности;
5) совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов;
6) проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности
федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности;
7) создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, для ограниченного круга органов государственной власти;
8) развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действия государственных служащих по работе с информацией; развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита.
Правовое оформление гарантий обеспечения информационной безопасности
В Законе об информации при закреплении сферы действия этого закона сказано, что закон регулирует отношения по обеспечению «защиты информации». Соответственно, этот Закон содержит специальную ст. 16, которая так и называется: «Защита информации». В ч. 1 этой статьи установлено, что: «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3)реализацию права на доступ к информации».
Наиболее подробно здесь обозначены угрозы, которые могут вызывать необходимую систему мер правовых, организационных и технических. Они обозначены как не правомерный доступ, неправомерное уничтожение, изменение, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того, чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Необходимо зафиксировать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправомерному посягательству; со стороны каких субъектов; кто должен обеспечить их безопасность.
В части 2 ст. 16 Закона «Об информации» указано: «Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».
В части 5 этой же статьи устанавливается, что требования по защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Проблема обеспечения безопасности касается не только информации ограниченного доступа. Этот институт должен работать и применительно к информации неограниченного доступа и, возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сам по себе сужает круг пользователей. Открытая же информация может подвергаться неправомерному воздействию — искажению, уничтожению, присвоению — более легко. Это можно видеть на примере некоторых ресурсов Интернета. В части 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавливаться для достижения целей, указанных в п. 1 и 3 ч. 1 данной статьи. А именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных деяний и при обеспечении реализации права на доступ.
Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются, простыми и не ограничиваются только установлением мер по их усиленной охране.
Так, для обеспечения безопасности коммерчески значимой информации в соответствии с Федеральным законом «О коммерческой тайне» необходимо учитывать условия, в которых применяется институт коммерческой тайны. Специфика этого института состоит в том, что этот вид тайны действует преимущественно в системе гражданско-правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требованиям работы с ней с учетом правового режима конфиденциальной информации. И, в процессе ее охраны и защиты, реализуются меры информационного права с учетом специфики гражданско-правовых отношений в договорной, обязательственной практике, а также учет особенностей отношений в области интеллектуальной собственности, в процессах использования объектов коммерческой тайны. При этом соблюдаются требования к оформлению документов, содержащих коммерческую тайну, нормы, определяющие порядок работы с этой информацией, которые реализуют организационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее сохранности в определенном режиме, а также требования к порядку обращения этой информации по системе коммуникаций. Использование такой информации обеспечивает гражданско-правовой интерес ее владельца — получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режима, установленного законом и действиями владельца в соответствии с Законом об информации.
При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа необходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного доступа (внутренних для информационной системы и внешних); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкционированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламентами, инструкциями, стандартами, которые разрабатываются с учетом обозначенных выше требований по защите информации в государственных информационных системах.
В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта приходится встречаться с его неоднозначностью по составу. Например, коммерческая тайна может касаться документов экономического, организационного характера, но может включать и информацию, относимую к ноу-хау — по российским традициям относимую к объектам интеллектуальной собственности, что и подтверждается соответствующими нормами части четвертой ГК РФ. В связи с этим способы правонарушений относительно конфиденциальности и защиты этих подвидов коммерческой тайны будут различными.
В интернет-среде регулирование в направлении обеспечения безопасности осуществляется преимущественно на основе международных стандартов и протоколов, на основе более четкого установления, за что и в каких случаях оператор связи несет ответственность и за что он не должен отвечать (отказ технического оборудования по причинам, не зависящим от оператора; за сбои за пределами его зоны ответственности, за содержание сообщений и т.п.).
В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регулирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютерных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное положение о контроле за международными соединениями информационных компьютерных сетей. Опубликованы также такие документы, как: Временный порядок регистрации названий интернет-страниц, Правила контроля за помещением информации в сети.
Как видим, в области обеспечения информационной безопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного права. В связи с принятием в феврале 2008 г. Стратегии развития информационного общества в Российской Федерации еще предстоит большая работа по углублению и уточнению мер защиты информации как ограниченного доступа, так и информации общего пользования и всех телекоммуникационных средств ее трансляции.
Дата: 2018-12-28, просмотров: 271.