2.1. Нормативно-правовая база защиты информации
2.1.1. Роль и место правового обеспечения
Разработка методов и средств защиты от промышленного шпионажа является важной составной частью общегосударственного процесса построения системы защиты информации. Значимость этого процесса определяется прежде всего глобальностью тех преобразований, которые происходят в настоящее время в политической и экономической жизни России.
Дело в том, что та система защиты информационных ресурсов, которая существовала в стране до 1991 года, в силу объективных причин оказалась разрушенной. Построение же новой системы в нынешних условиях — задача сложная, кроме того она усугубляется целым рядом факторов, основными из которых являются:
>· информационная и технологическая экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;
>· нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;
>• стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;
>• расширяющаяся кооперация с зарубежными странами в области развития информационной инфраструктуры России;
>• низкая общая правовая и информационная культура в российском обществе;
>· переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур — производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;
>· критическое состояние отечественных отраслей промышленности, производящих средства информатизации и защиты информации;
>· недостаточная нормативно-правовая база в сфере информационных отношений, в том числе в области обеспечения информационной безопасности;
>· слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных продуктов и услуг в России;
>· широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;
>· рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;
>• обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.
Построение четко работающей системы защиты информации, призванной, в том числе, решать и задачи противодействия промышленному шпионажу, возможно только на основе эффективного сочетания правовых, программно-технических и организационных мер. Интересно, что, по данным некоторых зарубежных исследований, удельный вес каждого из перечисленных компонентов соответственно составляет:
>· правовые методы — 60 %;
>• программно-технические — 30 %;
>· организационные методы — 10 %.
Из приведенных цифр наглядно видно, что правовые методы занимают лидирующее место по своей значимости, и именно поэтому правовое обеспечение рассматривается как приоритетное направление в политике обеспечения информационной безопасности Российской Федерации. Правовое обеспечение включает в себя:
а) нормотворческую деятельность по созданию законодательства, регулирующего общественные отношения в области информационной безопасности;
б) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями (юридическими лицами), гражданами.
Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает:
>• оценку состояния действующего законодательства и разработку программы его совершенствования;
>• создание организационно-правовых механизмов обеспечения информационной безопасности;
>• формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности;
>• разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех видов (категорий) информации;
>· разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействий угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер;
Исполнительная и правоприменительная деятельность предусматривает:
>· разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией и нарушившим регламент информационных взаимодействий, а также совершившим правонарушения с использованием незащищенных средств информатизации;
>· разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности.
Вся деятельность по правовому обеспечению информационной безопасности должна строиться на основе трех фундаментальных положений права — соблюдение законности, обеспечение баланса интересов отдельных субъектов и государства, неотвратимость наказания.
Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности.
Обеспечение баланса интересов граждан, других субъектов информационных отношений и государства предусматривает приоритет государственных интересов как общих интересов всех субъектов. Ориентация на свободы, права и интересы граждан не принижает роль государства в обеспечении национальной безопасности в целом и в области информационной безопасности в частности.
Рис. 2.1.1. Нормативно-правовая база защиты информации
Неотвратимость наказания выполняет роль важнейшего профилактического инструмента в решении вопросов правового обеспечения.
Весь комплекс документов, обеспечивающих нормативно-правовую базу, формируется на двух основных иерархических уровнях (рис. 2.1.1): государственном и ведомственном.
На государственном уровне формируются законы, кодексы, указы Президента и Постановления Правительства Российской Федерации, направленные на построение системы информационной безопасности и регламентирующие информационные отношения в обществе в целом.
На втором уровне формируется комплекс межведомственных и внутриведомственных нормативно-методических документов, обеспечивающих функционирование системы информационной безопасности.
Строго говоря, существует еще один — третий — уровень, призванный обеспечить взаимоотношения между юридическими и физическими лицами по вопросам сохранения коммерческой (негосударственной) тайны. Однако формируемые на этом уровне документы относятся уже не к нормативно-правовому обеспечению, а к организации защиты информации.