Режим информационной безопасности

 

Основным документом, определяющим государственную политику в сфере информационной безопасности Российской Федерации, является Доктрина информационной безопасности Российской Федерации, утвержденная Президентом РФ 05.12.2016 N 646*(341) (далее - Доктрина). Информационная безопасность трактуется Доктриной как состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.

Как отметил в своем Постановлении от 15.05.2006 N 5-П Конституционный суд РФ, "конституционная природа Российской Федерации как социального государства, политика которого направлена на создание условий, обеспечивающих достойную жизнь и свободное развитие человека, равенство прав и свобод человека и гражданина независимо от места жительства, предопределяет необходимость достижения баланса конституционно защищаемых ценностей"*(342). Именно обеспечение баланса конституционно защищаемых ценностей является тем критерием, который позволяет правильно решить вопрос о доступе к информации. В отношении одних категорий информации государство должно обеспечить защиту от неправомерного доступа и использования третьими лицами, а в отношении других, напротив, обеспечить доступность и препятствовать закреплению прав или установлению каких-либо ограничений.

Интересы личности, общества и государства близки, но не совпадают полностью. Соответственно, информационная безопасность личности, общества и государства имеет свои особенности. Исходя из этого складывается и их информационная безопасность. Это не позволяет говорить о едином режиме информационной безопасности указанных субъектов. Так, информационная безопасность личности складывается из совокупности режимов информации и информационных ресурсов, обеспечивающих конституционные права личности на доступ к информации, а также из совокупности режимов информации и информационных ресурсов, обеспечивающих неприкосновенность информации, относящейся к частной сфере человека. Интересы общества в информационной сфере совпадают с интересами личности, но включают в себя и другие направления, характерные для общества в целом.

Вместе с тем есть все основания говорить о национальных интересах в информационной среде. Как установлено в Доктрине, их реализация направлена на формирование безопасной среды оборота достоверной информации и устойчивой к различным видам воздействия информационной инфраструктуры в целях обеспечения конституционных прав и свобод человека и гражданина, стабильного социально-экономического развития страны, а также национальной безопасности Российской Федерации.

Содержание информационной безопасности реализуется через установление определенных режимов информации, информационных ресурсов, организационных, технических и других требований к защите информации. При этом в зависимости от группы субъектов, содержание информационной безопасности может различаться. И даже внутри указанных крупных блоков могут выделяться определенные группы субъектов, применительно к которым установлены особенности их информационной безопасности*(343).

Так, общие подходы к определению информационной безопасности личности зависят от того, взрослый это человек или ребенок, несовершеннолетний. Информация, допустимая для взрослого человека со сформировавшейся психикой, который вправе сам определять свои интересы в информационной сфере, может оказаться вредной для ребенка и несовершеннолетнего. Требования к информационной безопасности детей установлены Федеральным законом "О защите детей от информации, причиняющей вред их здоровью и развитию", которые в совокупности составляют режим информационной безопасности детей. При этом информация, причиняющая вред здоровью и (или) развитию детей, разделена на две группы (ст. 5):

- информация, запрещенная для распространения среди детей;

- информация, распространение которой среди детей определенных возрастных категорий ограничено.

К первой группе относится информация:

1) побуждающая детей к совершению действий, представляющих угрозу их жизни и (или) здоровью, в том числе к причинению вреда своему здоровью, самоубийству;

2) способная вызвать у детей желание употребить наркотические средства, психотропные и (или) одурманивающие вещества, табачные изделия, алкогольную и спиртосодержащую продукцию, пиво и напитки, изготавливаемые на его основе, принять участие в азартных играх, заниматься проституцией, бродяжничеством или попрошайничеством;

3) обосновывающая или оправдывающая допустимость насилия и (или) жестокости либо побуждающая осуществлять насильственные действия по отношению к людям или животным;

4) отрицающая семейные ценности, пропагандирующая нетрадиционные сексуальные отношения и формирующая неуважение к родителям и (или) другим членам семьи;

5) оправдывающая противоправное поведение;

6) содержащая нецензурную брань;

7) содержащая информацию порнографического характера;

8) о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), позволяющая прямо или косвенно установить личность такого несовершеннолетнего.

Ко второй группе информации относится информация, распространение которой среди детей определенных возрастных категорий ограничено. Это:

1) представляемая в виде изображения или описания жестокости, физического и (или) психического насилия, преступления или иного антиобщественного действия;

2) вызывающая у детей страх, ужас или панику;

3) представляемая в виде изображения или описания половых отношений между мужчиной и женщиной;

4) содержащая бранные слова и выражения, не относящиеся к нецензурной брани.

Таким образом, информационная безопасность детей обеспечивается установлением двух вариантов режима информации с различным объемом запретов и ограничений в зависимости от возраста ребенка. Вместе с тем необходимо отметить, что действие любого режима должно быть обеспечено мерами государственного принуждения, однако анализ действующего уголовного законодательства позволяет сделать вывод об отсутствии адекватных мер в отношении подобных нарушений. Так, например, как уже указывалось, к запрещенной для распространения среди детей относится информация, побуждающая детей к совершению действий, представляющих угрозу их жизни и (или) здоровью, в том числе к причинению вреда своему здоровью, самоубийству. Однако в УК РФ не установлена ответственность за распространение такой информации.

Особенности режима информационной безопасности имеются и в отношении органов государственной и муниципальной власти. Обеспечение информационной безопасности предполагает прежде всего правильное определение угроз безопасности соответствующего субъекта, в том числе угроз государственным и муниципальным органам власти в информационной сфере, а также адекватный выбор и применение адекватных средств защиты от этих угроз, что может быть достигнуто только комплексным использованием средств защиты по каждому виду угроз в рамках единой государственной политики, учитывающей, разумеется, федеральный и региональный уровни, которые должны быть взаимосвязаны.

Режим информационной безопасности органов государственной и муниципальной власти обеспечивается в том числе установлением правового режима информации, как поступающей в эти органы, так и циркулирующей в них. Необходимо отметить, что этим достигается информационная безопасность не только органов государственной и муниципальной власти, но и субъектов, которые в силу закона или в добровольном порядке предоставляют информацию этим органам. Действительно, должностные лица государственных и муниципальных органов обязаны соблюдать жесткие требования в отношении полученной информации, чем обеспечивается информационная безопасность граждан, субъектов предпринимательской деятельности, общественных организаций. К таким требованиям относятся:

- установление четко определенной цели использования;

- установление запрета разглашения;

- установление запрета использования в личных целях;

- установление запрета передачи третьим лицам;

- установление специального режима доступа.

Обязательность соблюдения установленных режимных требований обеспечивается мерами ответственности: утрата документов, содержащих государственную, коммерческую, банковскую, налоговую или иную охраняемую законом тайну и другую конфиденциальную информацию, разглашение такой информации, использование ее в личных целях либо передача третьим лицам влекут ответственность, предусмотренную законодательством РФ.

Любой правовой режим должен быть обоснованным и отражать характерные свойства объекта. Правовой режим информации позволяет выбрать оптимальное сочетание правовых средств для достижения поставленных задач, обеспечивающее учет специфики и особого характера групп общественных отношений, создание подходов к их регулированию. Пластичность правовых режимов, возможность различного сочетания правовых средств позволяет формировать правовые режимы, наиболее соответствующие поставленным задачам и конкретному виду информации. Различие конкретных правовых режимов информации выражается в наличии большего или меньшего количества запретов и обязываний, льгот и дозволений, в их разном сочетании.

В.Б. Рушайло справедливо отмечает, что "эффективное использование правовых средств при решении тех или иных специальных задач в значительной степени состоит в том, чтобы выбрать оптимальный для этого режим, искусно отработать его сообразно специфике этой задачи и содержанию регулируемых общественных отношений, поскольку правовые режимы относятся к уровню уже сложившихся правовых форм и являются важнейшей составляющей их частью"*(344).

Правовой режим информации возникает в результате правового регулирования, учитывающего общественные потребности и интересы, интересы государства и личности в отношении информации. Правовой режим информации с точки зрения его обязательности можно классифицировать по двум большим группам: императивный режим и диспозитивный режим, при этом требования информационной безопасности в большей степени присущи императивному режиму.

Характер правового режима информации зависит от степени обязательности для участников правоотношений составляющих его правил поведения. Если эти правила поведения участники отношений не могут изменить по своему усмотрению, то правовой режим информации является императивным. Если же правила поведения, составляющие правовой режим информации, участники отношений могут менять по своему усмотрению, то такой режим является диспозитивным. Следует отметить, что императивность правового режима информации напрямую не зависит от ее содержания и условий доступа. Императивным может быть режим и открытой информации, и информации, составляющей ту или иную тайну. Так, органы государственной и муниципальной власти не могут по своему усмотрению устанавливать режим ограниченного доступа, если законом та или иная информация отнесена к открытой. Этот запрет направлен на обеспечение режима информационной безопасности не самих органов власти, а общества в целом и граждан.

Целевое назначение устанавливаемого правового режима заключается в установлении прав и обязанностей субъектов по поводу информации, их защите, обеспечении информационной безопасности и баланса интересов личности, общества, государства. Представляется, что в конечном счете именно необходимость создания условий, обеспечивающих информационную безопасность субъектов при соблюдении баланса интересов, является определяющей для установления правового режима информации. Сказанное относится не только к тем режимам, которые устанавливают конфиденциальность информации или вводят режим тайны, но и к информации с режимом открытого доступа. Государство, устанавливая правовой режим информации, по сути, при его помощи создает условия для обеспечения информационной безопасности личности, общества и самого государства. Таким образом, кратко целевое назначение правового режима информации можно охарактеризовать как обеспечение информационной безопасности субъектов.

"Режимные органы" в пределах своей компетенции правомочны осуществлять контроль за соблюдением режимных правил, осуществлять прямое запрещение отдельных конкретных действий или требовать совершения конкретных действий, принимать меры физической охраны и технической защиты. Часть публично-правых режимов информации имеют строго обязательный характер. Легитимность таких режимов обеспечивается тем, что они могут быть установлены только законом, который вводит юридические рамки в возможности выбора государственной властью свободного поведения в тех сферах, где реализуются конституционные права и свободы. Но и в тех публично-правых режимах информации, которые не возлагают обязанности на граждан, органы государственной власти также действуют в жестких юридических рамках, призванных обеспечить равные права физических и юридических лиц, в том числе равный доступ к информации о деятельности государственных и муниципальных органов.

К основным способам правового регулирования принято относить дозволение, запрещение, позитивное обязывание. Все эти способы применимы и для установления правового режима информации, направлены на поддержание этого режима в заданных параметрах и выражены в юридических нормах. Конкретный состав режимных правовых средств и правил, их сочетание различаются в зависимости от установленного правового режима информации и определяют степень его жесткости. Представляется уместным привести классификацию режимов по степени понижения свободы выбора поведения и усиления управленческого воздействия, предложенную А.В. Деминым*(345):

- явочный - режим государственного невмешательства, свобода выбирать свое поведение;

- регламентационный - государство формирует правовое пространство, в рамках которого - также свобода выбирать свое поведение;

- уведомительный - предусматривающий информирование государства о выбранном поведении;

- договорный - поведение строится в соответствии с условиями соглашения;

- регистрационный - предусматривается обязанность зарегистрировать выбранное поведение;

- разрешительный - предусматривается обязанность получить разрешение на выбранное поведение;

- распорядительный - поведение строится на основании прямых указаний государственных органов;

- запретительный - режим государственной монополии либо запрет определенных видов поведения.

Наиболее часто в информационной сфере используется регламентационный режим.

К таким "разработанным" правовым режимам информации можно отнести режим государственной тайны, режим коммерческой тайны, режим персональных данных. Каждый из этих режимов обеспечивает информационную безопасность государства, предпринимательских структур, личности и общества в целом.

Как видим, система режимных требований конкретизируется применительно к правовому режиму определенного вида информации при помощи правовых установлений, учитывающих особенности объекта, осуществляется регламентация порядка деятельности в рамках установленного режима, включая систему разрешений и запретов отдельных действий, и все в совокупности обеспечивается применением разных видов ответственности за нарушение действующих правил.

Безопасность информации как составляющая информационной безопасности включает в себя защиту информации и информационных ресурсов от несанкционированного доступа, искажения, уничтожения, установление режима информации в зависимости от ее содержания, обеспечение защиты сведений, составляющих государственную тайну, иную информацию ограниченного доступа.

Безопасность информации обеспечивается разными мерами: организационными, техническими, правовыми. Согласно ст. 16 Федерального закона "Об информации, информационных технологиях и о защите информации" указанные меры по защите информации, направлены:

1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Перечисленные меры по сути представляют собой установление в отношении конкретных видов информации правового режима и обеспечение его соблюдения. Их исполнение возложено на обладателя информации, оператора информационной системы в случаях, установленных законодательством РФ. Применительно к информации, циркулирующей в сфере государственного управления, обладателями информации, операторами государственных информационных систем по общему правилу являются органы исполнительной власти, которые обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

В целях обеспечения информационной безопасности государственные органы обязаны выполнять требования о защите информации, содержащейся в государственных информационных системах, которые устанавливаются уполномоченными федеральными органами исполнительной власти. На состояние информационной безопасности оказывают влияние не только меры, принимаемые в рамках режимных требований, но и используемые средства и каналы связи, по которым передается информация, современные информационные технологии.

Информационные технологии нашли широкое применение в управлении важнейшими объектами жизнеобеспечения, которые становятся более уязвимыми перед случайными и преднамеренными воздействиями. Повышение уязвимости связано с целым рядом факторов, основными из которых являются: снижение уровня международной безопасности; развитие международного терроризма; распространение технологий и оборудования двойного назначения, оружия, радиоактивных, химических, биологических и других опасных веществ и материалов; открытость и уязвимость информационного пространства от внешнего воздействия; компьютеризация важных отраслей национального хозяйственного комплекса страны; возрастание опасности и интенсивности угроз техногенного и природного характера; увеличение количества потенциально опасных объектов, многие из которых расположены в крупных городах и густонаселенных районах.

Во многих федеральных законах предусмотрено создание государственных информационных систем, обеспечивающих реализацию тех или иных государственных функций, в первую очередь функций федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ*(346). Нарушение функционирования таких систем является угрозой безопасности государства в целом, отдельных сфер жизнедеятельности.

К настоящему времени в мире сформировалась определенная система взглядов на проблему обеспечения безопасности информационно-телекоммуникационной инфраструктуры, информационных систем. Вывод из строя любого существенного элемента информационной инфраструктуры может привести к невосполнимому ущербу и катастрофическим последствиям. Дополнительные угрозы информационной безопасности связаны с использованием сети Интернет. Президент РФ 17.03.2008 подписал Указ N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"*(347). В целях обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, информационных сетей и сетей связи, включая международную компьютерную сеть Интернет, субъектам международного информационного обмена в Российской Федерации предписано не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, служебную тайну, в состав средств международного информационного обмена, в том числе в международную компьютерную сеть Интернет.

Поскольку такого рода информация находится, обрабатывается не только в государственных и муниципальных структурах, то эти требования распространяются на всех, кто ее получил, обрабатывает или передает, независимо от подчиненности и формы собственности.

Владельцам открытых и общедоступных государственных информационных ресурсов предписано осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических средств для подтверждения достоверности информации. Обязанность использования только сертифицированных средств защиты информации в данном случае существенно повышает степень информационной безопасности и является составляющей режимных требований.

В соответствии с Указом Президента РФ владельцы и пользователи ресурсов должны осуществлять размещение технических средств, подключаемых к открытым информационным системам, сетям и сетям связи, используемым при международном информационном обмене, включая сеть Интернет, вне помещений, предназначенных для ведения закрытых переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну.

Дальнейшее развитие проблемы обеспечения информационной безопасности нашли в Указе Президента РФ от 22.05.2015 N 260 "О некоторых вопросах информационной безопасности Российской Федерации"*(348).

В целях противодействия угрозам информационной безопасности Российской Федерации при использовании информационно-телекоммуникационной сети Интернет на территории РФ принято решение преобразовать сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ, находящийся в ведении Федеральной службы охраны Российской Федерации, в российский государственный сегмент информационно-телекоммуникационной сети Интернет, являющийся элементом российской части сети Интернет. Указанный сегмент должен обеспечить, в частности, подключение к сети Интернет предназначенных для взаимодействия с ней государственных информационных систем и информационно-телекоммуникационных сетей государственных органов, а также информационных систем и информационно-телекоммуникационных сетей организаций, созданных для выполнения задач, поставленных перед федеральными государственными органами; размещение в сети Интернет информации государственных органов и указанных организаций.

Указом также утвержден Порядок подключения информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети Интернет и размещения в ней информации через российский государственный сегмент информационно-телекоммуникационной сети Интернет, установивший более жесткие требования по сравнению с ранее существовавшими. Так, подключение информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети Интернет через российский государственный сегмент сети Интернет теперь должно осуществляться по каналам передачи данных, защищенным с использованием шифровальных (криптографических) средств.

На Федеральную службу охраны Российской Федерации возложено подключение государственных информационных систем и информационно-телекоммуникационных сетей государственных органов к сети Интернет через российский сегмент по защищенным каналам, создание, содержание и развитие которых обеспечивается ФСО России. Подключение информационных систем и информационно-телекоммуникационных сетей, находящихся в ведении организаций, к сети Интернет через российский сегмент также осуществляется по защищенным каналам, но их создание, содержание и развитие обеспечивается этими организациями за счет собственных средств.

Обеспечение информационной безопасности, соблюдение режимных требований имеет большое значение не только в отношении государственных информационных систем и информационно-телекоммуникационных сетей, но и в отношении критически важных объектов, критически важной информационной инфраструктуры Российской Федерации. К последней относится совокупность автоматизированных систем управления критически важными объектами и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение или прекращение функционирования которых может стать причиной наступления тяжких последствий*(349).

В отдельных актах определены основные положения и направления государственной политики в области обеспечения безопасности критически важных объектов инфраструктуры Российской Федерации, к которым относятся и многие информационные системы (не только государственные). В Основных направлениях государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации целью государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации определено снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства.

Одним из видов такого вмешательства являются компьютерные атаки, последствием которых могут стать нарушение нормального функционирования информационных систем, уничтожение, повреждение информации и т.д. Президентом РФ 15.01.2013 был подписан Указ N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"*(350). В целях обеспечения информационной безопасности Российской Федерации предусмотрено создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом.

Одной из основных задач государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации является осуществление контроля степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак. На основе полученных данных разрабатываются конкретные мероприятия по поддержанию информационной безопасности на должном уровне.

Представляется, что рассматриваемые проблемы относятся к тем, которые требуют постоянного внимания государства и приоритетного решения, повышения степени государственного контроля за соблюдением требований безопасности в информационном пространстве. Существенный вклад в обеспечение информационной безопасности может внести разработка современного законодательства в данной сфере.