ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ

ЗАКОНОДАТЕЛЬСТВО РОССИЙСКОМ ФЕДЕРАЦИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ И КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Право — это система социальных норм и отношений, охраняемых силой государства. Право обусловлено экономическим строем общества, формируется с учетом влияния исторических традиций, но общеобязательный, юридический характер правовых норм определяется государственной властью. Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.

Работа по созданию нормативной базы предусматривает разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также создание действенной системы контроля за исполнением указанных документов. Необходимо отметить, что такая работа в последнее время ведется практически непрерывно, поскольку сфера информационных технологий развивается стремительно, соответственно появляются новые формы информационных отношений, существование которых должно быть определено законодательно.

Законодательная база в сфере ЗИ, защиты государственной тайны и конфиденциальной информации включает пакет международных договоров, федеральных законов, указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов.

Основополагающими документами по ЗИ в РФ являются Конституция РФ, Концепция национальной безопасности и Доктрина информационной безопасности.

На сегодняшний день можно выделить четыре уровня правового обеспечения ЗИ.

Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

  • — международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;
  • — Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений, а ст. 29 — право свободно искать, получать, передавать, производить и распространять информацию любым законным способом);
  • — Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне, часть четвертая посвящена авторскому и патентному правам);
  • — Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);
  • — Федеральный закон от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;
  • — Федеральный закон от 21 июля 1993 г. № 5485-1 «О государственной тайне»;
  • — Федеральный закон от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов»;
  • — Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи»;
  • — Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • — Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;
  • — Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» и др.

Второй уровень правового обеспечения ЗИ составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться указы Президента РФ:

  • — от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • — от 23 апреля 1993 г. № 477 «Концепция правовой информатизации России»;
  • — от 31 декабря 1993 г. № 2334 «О дополнительных гарантиях прав граждан на информацию»;
  • — от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации»;
  • — от 30 марта 1994 г. № 614 «Вопросы защиты государственной тайны»;
  • — от 21 апреля 1994 г. № 361 «О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации»;

Среди постановлений Правительства РФ можно выделить следующие:

  • — от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну»;
  • — от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;
  • — от 4 сентября 1995 г. № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;
  • — от 11 апреля 2000 г. № 326 «О лицензировании отдельных видов деятельности».

Третий уровень правового обеспечения ЗИ составляют государственные стандарты (ГОСТы), руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.

За 15 лет своего существования Гостехкомиссия (ныне ФСТЭК России) разработала и довела до уровня национальных стандартов десятки документов, среди которых:

  • — руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (1994 г.);
  • — руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (1997 г.);
  • — руководящий документ «Средства вычислительной техники. Защита от НСД к информации» (1992 г.);
  • — руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (1992 г.);
  • — руководящий документ «Защита от НСД к информации. Термины и определения» (1992 г.);
  • — руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (1997 г.);
  • — руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (1999 г.);
  • — руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (2001 г.).

Стандартизация начинается с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет. Девять ГОСТов: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р34.11 -94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739—95, ГОСТ Р 50922—96 — относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты информации:

  • — системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12 ГОСТов;
  • — информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) — около 200 ГОСТов;
  • — системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) — больше 100 ГОСТов.

Среди стандартов, определяющих в РФ криптографическую защиту информации, можно выделить следующие:

  • — ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
  • — ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
  • — ГОСТ Р 34.11.94 «Информационная технология. Криптографическая защита информации. Функция хеширования»;
  • — ГОСТ Р50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

Четвертый уровень правового обеспечения ЗИ образуют локальные нормативные акты, положения инструкции, методические рекомендации и другие документы по комплексной защите информации в информационных системах конкретной организации. К таким нормативным документам относятся:

  • — устав предприятия, закрепляющий условия обеспечения деятельности и защиты информации;
  • — приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;
  • — трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия;
  • — должностные обязанности руководителей, специалистов, обслуживающего персонала и др.