2. Организационно-правовые основы обеспечения информационной безопасности органов внутренних дел

Для обеспечения защиты информации в органах внутренних дел проводятся различные мероприятия, объединяемые понятием «система защиты информации».

Система защиты информации – это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. При этом, основное требование к системе защиты информации – это ее комплексность и адаптивность. Первое обуславливает необходимость учитывать все возможные каналы утечки информации, некоторые из которых пусть даже и кажутся на первый взгляд труднореализуемыми. Второе обуславливает потребность в создании механизмов оперативного реагирования на возникающие угрозы за счет перераспределения имеющихся сил и средств.

Система защиты информации подразумевает наличие нескольких рубежей ее защиты.

Первый рубеж защиты, встающий на пути злоумышленника, является правовым. Он предусматривает установление определенных правил обращения с информацией и ответственности за их нарушение. Он также определяет возможность и/или необходимость применения иных мер защиты информации.

Вторым рубежом являются организационные меры защиты информации, которые направлены на то, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности, в том числе и путем контроля за выполнением установленных правил обращения с информацией.

Третий рубеж защиты определяется применением физических, инженерно-технических мер защиты, предназначенных для противодействия средствам технической разведки, создания препятствий на возможных путях несанкционированного доступа злоумышленника к защищаемой информации.

Четвертый рубеж защиты определяется применением аппаратно-программных средств защиты информации самостоятельно или в комплексе с другими средствами.

Как можно заметить, основой построения системы защиты информации являются правовые и организационные меры, которые во многом определяют эффективность всей системы в целом. Рассмотрим их подробнее, имея в виду, что содержание других мер защиты информации будет более детально рассмотрено нами при изучении последующих тем нашего курса.

Правовое обеспечение защиты информации заключается в разработке законодательных актов, нормативно-правовых документов, положений, инструкций, руководств по вопросам обеспечения информационной безопасности.

Правовая защита информации реализуется на международном и государственном уровне. На межгосударственном уровне правовая защита закреплена в конвенциях, договорах, декларациях, нормах авторского права, а на государственном уровне она регулируется нормативно-правовыми актами и ведомственными документами по вопросам обеспечения информационной безопасности (рис. 1).

К первой группе относятся нормативно-правовые акты, составляющие законодательную базу обеспечения информационной безопасности. Это Конституция, законы, указы Президента и постановления Правительства России, а также уголовный, гражданский и административный кодексы России, другие нормативно-правовые акты, определяющие юридическую ответственность участников процесса защиты и законодательно регулирующие основные вопросы информационной безопасности.

Рис. 1. Уровни правового обеспечения защиты информации

К числу таких «специальных» законодательных актов, составляющих основу законодательства в сфере защиты информации, следует отнести:

• Закон Российской Федерации от 21.07.1993 года № 5485-1 «О государственной тайне» (в последней редакции)//СПС «Гарант»;

• Федеральный закон от 12.08.1995 года № 144-ФЗ «Об оперативно-розыскной деятельности» (в последней редакции)//СПС «Гарант».

• Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в последней редакции)//СПС «Гарант»;

• Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (в последней редакции)//СПС «Гарант»;

• Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных» (в последней редакции)//СПС «Гарант» и др.

Ведомственные документы по вопросам обеспечения информационной безопасности – это приказы, руководства, положения и инструкции, издаваемые организациями и предприятиями в целях обеспечения защиты принадлежащей им защищаемой информации. К данной группе относятся, прежде всего, ведомственные нормативные акты, документы, требующие обязательного их выполнения при обеспечении защиты информации (например, требования к защите информации и нормы защищенности, специальные требования по размещению и монтажу объектов информатизации, порядок и правила обращения с носителями секретных данных). Здесь, прежде всего, следует выделить «Руководящие документы» по защите от несанкционированного доступа, подготовленные Федеральной службой по техническому и экспортному контролю (правопреемница Гостехкомиссии при Президенте РФ), а также гармонизированные ею «Критерии оценки безопасности информационных технологий» ITSEC, или «Европейские критерии». Данные документы имеют отношение, в основном, к программной и физической формам защиты информации.

К этой же группе относятся и разрабатываемые различными ведомствами руководящие документы по защите информации, носящие рекомендательный характер.

К числу ведомственных актов в сфере обеспечения информационной безопасности органов внутренних дел можно отнести:

• Руководящие документы ФСТЭК России по защите информации от несанкционированного доступа.

• Приказ МВД России от 19 сентября 2006 г. № 734 «Об утверждении правил предоставления доступа и использования ресурсов сети «Интернет» в системе МВД России» (в последней редакции)//СТРАС «Юрист».

• Приказ МВД России от 06.10.2008 № 070 «Об утверждении временных правил обеспечения информационной безопасности ЕИТКС» (в последней редакции)//СТРАС «Юрист».

• Приказ МВД России от 14.03.2012 № 169 «Об утверждении Концепции обеспечения информационной безопасности органов внутренних дел Российской Федерации до 2020 года» (в последней редакции)//СТРАС «Юрист».

Одним из центральных элементов обеспечения правовой защиты информации и информационных ресурсов органов внутренних дел является институт тайны, предусматривающий установление особого правового режима в отношении информации, требующей защиты.

С правовой точки зрения тайна представляет собой охраняемые государством конфиденциальные сведения, незаконное получение, разглашение, использование которых создает угрозу нанесения вреда правам и законным интересам граждан, общества, государства и влечет за собой ответственность в соответствии с действующим законодательством Российской Федерации.

Правовая защита информации, образующейся в рамках оперативно-служебной деятельности органов внутренних дел, осуществляется в режиме государственной или служебной тайны, а также в режиме тайны следствия.

В соответствии со ст. 2 Закона Российской Федерации от 21.07.1993 г. № 5485-1 «О государственной тайне», к государственной тайне относятся защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Перечень таких сведений утвержден Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (в последней редакции).

Важным признаком государственной тайны является степень секретности сведений, отнесенных к ней.

В нашей стране принята следующая система обозначения сведений, составляющих государственную тайну:

– «особой важности»,

– «совершенно секретно»,

– «секретно».

Эти грифы проставляются на документах или изделиях (их упаковках или сопроводительных документах). Содержащиеся под этими грифами сведения являются государственной тайной.

В соответствии с Правилами отнесения сведений, составляющих государственную тайну, к различным степеням секретности (утв. Постановление Правительства РФ от 4 сентября 1995 г. № 870):

К сведениям особой важности следует относить такие сведения, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких областях.

К совершенно секретным сведениям следует относить такие сведения, распространение которых может нанести ущерб интересам министерства (ведомства) или отраслям экономики Российской Федерации в одной или нескольких областях.

К секретным сведениям следует относить все иные из числа сведений, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятия, учреждения или организации.

Другим правовым институтом, используемым для обеспечения защиты информации в органах внутренних дел, является институт служебной тайны.

В соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, утвержденным Постановлением Правительства РФ от 3 ноября 1994 г. № 1233, к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.

В системе МВД России служебную тайну составляет информация, которая:

• образуется в процессе деятельности органов, подразделений и учреждений системы МВД России и внутренних войск МВД России или передана им из других федеральных органов исполнительной власти;

• не составляет государственной тайны, однако ее разглашение (распространение) может нанести ущерб интересам МВД России;

• имеет действительную или потенциальную ценность и может являться предметом посягательств в силу неизвестности ее другим лицам и отсутствия к ней свободного доступа на законных основаниях.

На документах (а в необходимых случаях и на их проектах), содержащих служебные сведения, проставляется пометка (гриф) «Для служебного пользования».

Передача документов, содержащих служебные сведения, другим органам и организациям осуществляется по мотивированному запросу с письменного разрешения соответствующего должностного лица – начальника органа, подразделения или учреждения внутренних дел.

Использование в практической деятельности следственных подразделений органов внутренних дел института тайны следствия имеет своей целью обеспечение эффективности деятельности по раскрытию и расследованию преступлений.

Суть этого правового института заключается в том, что сведения о ходе предварительного расследования могут быть преданы гласности только с разрешения прокурора, следователя или лица, производящего дознание (ст. 161 Уголовно-процессуального кодекса Российской Федерации). Такая информация может касаться как характера производимых следственных действий, так и доказательственной базы, перспектив расследования, круга лиц, участвующих в расследовании. Важно отметить, что законодательно не закреплен перечень сведений, составляющих следственную тайну. Это означает, что прокурор, следователь или лицо, производящее дознание, могут по своему усмотрению устанавливать, какая информация о предварительном расследовании может быть специально охраняемой, а какая – нет.

Не смотря на всю важность правовых мер защиты информации, они не будут иметь никакого смысла, если не будет обеспечен контроль за их практическим исполнением. Именно контроль за исполнением практических мер по защите информации, а также планирование, контроль и анализ выполнения других мероприятий составляет основное содержание организационных мер по защите информации.

Это совершенно разноплановые мероприятия:

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании зданий и помещений;

• оборудование и аттестация помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;

• мероприятия, проводимые при поборе, приобретении и эксплуатации технических средств;

• мероприятия, проводимые при подборе кадров;

• текущая работа с персоналом;

• обучение персонала;

• заключение между организацией (предприятием) и сотрудником согла­шения о неразглашении конфиденциальной информации;

• определение порядка взаимодействия с внешними субъектами и третьи­ми лицами (клиенты, филиалы, агентства, поставщики, подрядчики и т. п.);

• регламентация производственной/служебной деятельности и взаимоот­ношений исполнителей на нормативно-правовой основе (организационно­-административное обеспечение информационной безопасности);

• разработка технологических инструктивных документов (технологиче­ских схем, инструкций, правил, требований, указаний, памяток и т. п.);

• поддержание надежного пропускного режима и контроля посетителей;

• проверка режима охраны помещений и территории;

• организация охраны руководителей и иных носителей конфиденциаль­ной информации;

• формирование и организация подразделения по обеспечению информа­ционной безопасности (службы безопасности, службы конфиденциальной документации и т. п.);

• назначение ответственных за защиту информации в конкретных подраз­делениях и коллективах;

• мероприятия при проведении совещаний и переговоров;

• определение процедур работы с паролями;

• определение процедур резервного копирования информации;

• подготовка персонала к действиям в экстремальных ситуациях;

• разработка планов восстановления и ремонта;

• ведение всех видов аналитической работы.

В составе организационных мер защиты информации особо следует выделить организацию секретного делопроизводства

Секретное делопроизводство – это деятельность, обеспечивающая документирование секретной инфор­мации, организацию работы с такими документами и защиту содержащейся в них информации.

Секретное (конфиденциальное) делопроизводство включает в себя все стадии работы с документами: подготовку и создание секретных документов, их учет и хранение, организацию работы с секретны­ми документами и защиту документированной секретной информации в про­цессе осуществления управленческой, производственной, научной и иной деятельности.

Таким образом, задачами секретного делопроизвод­ства являются:

• документирование секретной информации;

• организация работы с секретными документами;

• обеспечение всех видов секретной деятельности;

• обеспечение защиты содержащейся в секретных документах информации.

При этом должен соблюдаться принцип исключения необоснованного из­дания (изготовления) и рассылки документов, содержащих защищаемую ин­формацию, исключение необоснованного доступа и ознакомления с ними.

Следует особо подчеркнуть, что секретное делопроизводство должно рас­пространяться не только на официальные документы, но и на их проекты, черновики, различные рабочие записи, содержащие информацию, подлежа­щую защите. Это относится не только к бумажным, но и к электронным документам.

Рассмотрев содержание организационно-правовых основ защиты информации в органах внутренних дел, остановимся на проблемах обеспечения безопасности информации при осуществлении оперативно-розыскной деятельности, как одной из важнейших составляющих практической деятельности органов внутренних дел по борьбе с преступностью.