1956

3.МЕЖДУНАРОДНАЯ, НАЦИОНАЛЬНАЯ

ИВЕДОМСТВЕННАЯ НОРМАТИВНАЯ ПРАВОВАЯ БАЗА

ВОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1.Виды нормативно-правового и справочного обеспечения в области информационной безопасности

Правовое обеспечение информационной безопасности заключается в исполнении существующих или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц, руководителей, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной им информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к техническим средствам и информации. Целью законодательных мер по защите информации являются предупреждение и сдерживание потенциальных нарушителей.

Под нормативным правовым актом понимается изданный в установленном порядке акт уполномоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение, действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом.

Нормативными правовым актами являются соответствующие законы Российской Федерации и субъектов Российской Федерации, указы Президента Российской Федерации, постановления Правительства Российской Федерации, акты федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской

40

Федерации, муниципальных органов, руководящих органов организаций.

На рис. 3.1 представлена обобщенная схема нормативноправового и справочного обеспечения информационной безопасности (ИБ) информационных технологий (ИТ).

В соответствии с Конституцией России международные документы, подписанные от имени Российской Федерации, имеют приоритет над соответствующими документами федерального уровня. Документы, не подписанные от имени России, могут использоваться, если они не противоречат законодательству страны.

Закон – это нормативно-правовой акт, принимаемый высшим представительным органом государственной власти в особом законодательном порядке, обладающий высшей юридической силой и регулирующий наиболее важные общественные отношения с точки зрения интересов и потребностей населения страны.

Подзаконные нормативно-правовые акты – это правотворческие акты компетентных органов, которые основаны на законе и не противоречат ему. По своему содержанию подзаконные акты, как правило, являются актами различных органов исполнительной власти. По субъектам издания и кругу распространения они подразделяются на общие, местные, ведомственные и внутриорганизационные акты.

Общие подзаконные акты – это нормативно-правовые акты общей компетенции, действие которых распространяется на всех лиц в пределах территории страны. По своей юридической силе и значению – следуют за законами. Они исходят от президента страны или главы правительства.

Указы Президента – в системе подзаконных актов обладают высшей юридической силой и издаются на основе и в развитии законов.

41

Рис. 3.1. Обобщенная схема нормативно-справочного обеспечения информационной безопасности (ИБ) информационных технологий

42

Постановления Правительства – это подзаконные нормативные акты, принимаемые в контексте с указами президента и призванные урегулировать более мелкие вопросы государственного управления экономикой, образованием и т.д.

Местные подзаконные акты – это нормативно-

правовые акты органов представительной власти на местах. Действие этих актов ограничено подвластной им территорией.

Ведомственные нормативно-правовые акты

(приказы, инструкции) – это нормативно-правовые акты общего действия, однако они распространяются лишь на ограниченную область общественных отношений (таможенные, банковские, транспортные и др.

Внутриорганизационные подзаконные акты – это такие нормативноправовые акты, которые издаются различными организациями для регламентации своих внутренних вопросов и распространяются на членов этих организаций.

К числу международных актов относят: декларации; конвенции; рекомендации; соглашения; стандарты. Разработкой этих документов занимаются различные структурные подразделения международных организаций, такие как:

Организация Объединенных Наций; Совет Европы (комитет министров);

Европейский комитет по проблемам преступности; Комитет экспертов по преступности в

киберпространстве (КЭ-ПК); Международная электротехническая комиссия

(МЭК/IEC);

Международная организация по стандартизации

(ИСО/ISO);

Британский институт стандартов (BSI); Американский институт AICPA

и др.

43

Отечественная федеральная и ведомственная нормативная база по защите информации к настоящему времени включает более сотни нормативных документов, относящихся к вопросам информационной безопасности на государственном, региональном, местном, ведомственном уровнях. По своему назначению и содержанию их можно разделить на три группы:

1.Концептуальные документы, определяющие основу защиты информации в России.

2.Федеральные законы, определяющие систему защиты информации в России.

3.Вспомогательные нормативные акты в виде указов Президента РФ, постановлений Правительства РФ, межведомственных и ведомственных руководящих документов

истандартов, регулирующих процесс и механизмы исполнения положений и требований к системе обеспечения информационной безопасности государства.

3.2.Концептуальные документы

1)Окинавская хартия

В июле 2000 г. в Окинаве «восьмерка» развитых стран приняла Хартию глобального информационного общества, в

которой устанавливаются основные принципы вхождения государств и стран в это общество..

«Восьмерка» рекомендует, в частности, совместную работу представителей органов власти стран по защите интеллектуальной собственности в области информационных технологий, подтверждает обязательство правительств использовать только лицензированное программное обеспечение, продвижение рыночных стандартов, включая, например, технические стандарты функциональной совместимости, повышение доверия потребителя к электронным рынкам в соответствии с руководящими принципами ОЭСР, в том числе посредством эффективных

44

саморегулирующих инициатив, таких, как кодексы поведения, маркировка и другие программы подтверждения надежности, и изучение вариантов устранения сложностей, которые испытывают потребители в ходе трансграничных споров, включая использование альтернативных механизмов разрешения споров, развитие эффективного и значимого механизма защиты личной жизни потребителя, а также защиты личной жизни при обработке личных данных, с обеспечением при этом свободного потока информации, дальнейшее развитие и эффективное функционирование электронной идентификации, электронной подписи, криптографии и других средств обеспечения безопасности и достоверности операций.

Таким образом, Окинавская хартия являет собой важнейший документ, призванный организовать и активизировать деятельность стран и правительств на пути активного формирования глобального информационного общества планеты Земля. Большая роль в этом сложном комплексном процессе в Хартии отводится нормативному обеспечению.

«Восьмерка» говорит о необходимости создания и укрепления нормативной базы информационного общества, его дальнейшем развитии, подготовке специалистов в нормативной сфере, о продвижении международного сотрудничества в области нормативного обеспечения информационного общества.

2) Директивы ОЭСР

25 июля 2002 г. Совет Организации экономического сотрудничества и развития (ОЭСР) принял Директивы по безопасности информационных систем и сетей «К культуре безопасности». Директивы состоят из 9 принципов, составляющих структуру рассматриваемых вопросов безопасности.

Девять принципов Директив могут быть сгруппированы в три основные категории.

45

1.Опорные принципы: осознание; ответственность;

реакция.

2.Общественные принципы: этика; демократия.

3.Принципы жизненного цикла безопасности: оценка риска; проектирование и реализация безопасности; менеджмент безопасности; ревизия.

Опорные принципы сосредоточиваются на необходимости сознавать риски, предпринимать ответственное действие, связанное с этими рисками, и координировать это действие в своевременной реакции. Общественные принципы обращаются к вопросам, связанным с поведением, честностью, открытостью, прозрачностью и ценностями. Последние четыре принципа более оперативны по своему характеру и обращаются к «жизненному циклу безопасности». Они сосредоточиваются на необходимости:

- идентифицировать и оценивать риски; - проектировать и реализовывать системы и решения,

соответствующие требуемому уменьшению рисков; - разрабатывать политики, процессы и процедуры,

необходимые для обращения с этими системами и решениями; - пересматривать риски, системы, решения, политику,

процедуры и процессы в свете новых рисков, новых технологий, инцидентов и нормального жизненного цикла систем.

3) Конституция Российской Федерации

Конституция Российской Федерации определяет базовые принципы отношений в информационной сфере. Этого вопроса касаются, в частности, следующие статьи.

Ст. 15 (из п. 3). Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения.

Ст. 23. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных

46

сообщений. Ограничение этого права осуществляется только на основании судебного решения.

Ст. 24. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Ст. 29. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Гарантируется свобода массовой информации. Цензура запрещается.

Ст. 42. Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением.

Ст. 44. Интеллектуальная собственность охраняется законом.

4) Концепция национальной безопасности Российской Федерации

Пока в Российской Федерации не существует ни отдельного органа исполнительной власти, создающего и проводящего информационную политику, ни, тем более, единого властного органа (по примеру США или Германии), который мог бы объединить все функции, связанные с обеспечением информационной безопасности. Реализация функций в настоящее время рассредоточена между Федеральной службой безопасности (ФСБ), Федеральной службой охраны (ФСО), Федеральной службой по техническому и экспортному контролю (ФСТЭК), Министерством обороны, Министерством информационных технологий и связи.

47

Основы государственной политики Российской Федерации в области информатизации и обеспечения информационной безопасности сформулированы в Концепции национальной безопасности Российской Федерации,

утвержденной Указом Президента Российской Федерации от 17 декабря 1997 г. № 1300 (в редакции Указа Президента Российской Федерации от 10 января 2000 г. № 24), и Доктрине информационной безопасности Российской Федерации,

утвержденной Президентом Российской Федерации 9 сентября 2000 г.

Концепция национальной безопасности Российской Федерации отражает систему взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности.

5) Доктрина информационной безопасности Российской Федерации

ВДоктрине подчеркивается, что обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации.

Вкачестве основных мер по обеспечению информационной безопасности Российской Федерации в

сфере экономики Доктриной провозглашаются:

- организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

- коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц

48

и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;

-разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

-разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;

-совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;

-совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.

3.3.Нормативно-правовые акты Российской Федерации

3.3.1.Кодексы

1) Гражданский кодекс Российской Федерации

(Часть первая от 30 ноября 1994 г. № 51-ФЗ, Часть вторая от 26 января 1996 г. № 14-ФЗ, Часть третья от 26 ноября 2001 г. № 146-ФЗ, с изменениями и дополнениями, Часть четвертая от 18.12.2006 г. № 230-ФЗ).

Определяет правовое положение участников гражданского оборота, основания возникновения и порядок осуществления права собственности и других вещных прав, исключительных прав на результаты интеллектуальной деятельности (интеллектуальной собственности), регулирует договорные и иные обязательства, а также другие имущественные и связанные с ними личные неимущественные

49