ПРАВОВОЕ РЕГУЛИРОВАНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В результате изучения данной главы студент должен:

знать

  • • основные подходы к пониманию направлений развития концепции информационной безопасности в мире и в России;
  • • основные признаки информационной безопасности и принципы современной отечественной доктрины информационной безопасности;

уметь

  • • выделять основные концепции формирования системы информационной безопасности;
  • • определять основные правовые проблемы совершенствования обеспечения информационной безопасности;

владеть

понятийным аппаратом в сфере обеспечения информационной безопасности.

Понятие информационной безопасности

Отдельные элементы такого правового явления, как информационная безопасность уже были рассмотрены в предыдущих главах. В частности, рассмотрены вопросы правового регулирования отношений по защите информации с ограниченным доступом (см. гл. 5), защиты персональных данных (гл. 8), в гл. 4, посвященной отношениям в сфере организации и деятельности СМИ — вопрос защиты детей от вредной информации и т. д.

Как видим, во главу угла нормативного регулирования применительно к любому разделу информационных отношений ставится вопрос защиты информации и информационной безопасности в целом.

Стоит отметить, что европейский и американский подходы к определению термина «информационная безопасность» сводятся к отождествлению последнего с понятием «защиты информации». Так, в соответствии с международным стандартом ИСО/МЭК 27000:2009 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», информационная безопасность представляет собой «сохранение конфиденциальности, целостности и доступности информации», в соответствии с примечанием обладающей также и другими свойствами, такими как подлинность, подотчетность, безотказность и надежность[1].

Международная профессиональная ассоциация ISACA[2], являющаяся сертифицированным аудитором информационных систем, в своем глоссарии отметила, что информационная безопасность «гарантирует, что только авторизованные пользователи (конфиденциальность) имеют доступ к точной и полной информации (целостности) при необходимости (при наличии)»[3].

В словаре терминов Комитета по национальной безопасности США под информационной безопасностью понимают «защиту информации и информационных систем от несанкционированного доступа, использования, разглашения, разрушения, модификации или уничтожения, в целях обеспечения конфиденциальности, целостности и доступности[4].

Различия в терминологии в данном случае позволяют приблизиться к ответу на вопрос о том, чем отличаются термины «защита информации» и «информационная безопасность». Для обозначения действий по защите в английском языке употребляются термины «defense» и «protection», в то время как для понятия «безопасность» употребляется термин «security», что само по себе не случайно, как отмечают исследователи, поскольку защита представляет собой одну из важнейших форм обеспечения безопасности, но не единственную[5].

Важно также отличать понятия «информационная безопасность» и «кибербезопасность».

Как указывают эксперты в области кибербезопасности, с развитием информационных и коммуникационных технологий изменился и лексический состав многих языков мира: стали появляться и все чаще использоваться слова-неологизмы с «приставкой» «кибер-» (англ, cyber-): «киберпространство», «кибербезопасность», «киберпреступность», «кибертерроризм», «кибератака», «кибервойска», «кибероружие», «киберсотрудничество» и т. д. Эти неологизмы активно используются в различных нормативных актах внутригосударственного законодательства, политических декларациях, документах международных организаций и иных документах правового характера, а самое главное, они получают различную интерпретацию и применение в документах международных межправительственных организаций, в первую очередь ООН, Международного союза электросвязи (МСЭ), а также в национальных «стратегиях киберпространства» (например, США) или «стратегиях кибербезопасности» (например, Финляндии, Индии, Европейского союза и др.)[6].

При этом страны Запада, в особенности США, используют термин «кибербезопасность» применительно к определению безопасности в цифровой сфере, что предполагает учет исключительно информационно-технических вопросов, таких как обеспечение стабильной работы информационных сетей и систем. В остальном «кибербезопасность» чаще всего рассматривается в контексте «триады» угроз международной информационной безопасности — террористической, военной и преступной[7].

Так, международная практика сводится как к прямому толкованию слова «cybersecurity» в соответствии с его переводом — как «компьютерная безопасность» и «безопасность в сети Интернет», так и к использованию термина «информационная безопасность» (information security).

К примеру, понятие «кибербезопасность» употреблено в своем прямом значении в Резолюции Генеральной Ассамблеи ООН A/RES/64/211 от 21 декабря 2009 г. «Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур».

Существуют также примеры использования термина «информационная безопасность» (information security) в своем прямом значении, например, в Резолюции Генеральной Ассамблеи ООН А/ RES/64/25 от 2 декабря 2009 г. «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности», обновленная версия которой была принята входе 70-й сессии Генеральной Ассамблеи ООН[8].

По мнению авторов, попытки ряда исследователей отождествлять термины «информационная безопасность», «кибербезопасность» и «защита информации» являются ограничительными, так как в данном случае акцент ошибочно делается только на отдельных аспектах правового явления.

Как верно отметила Е. С. Зиновьева, Россия в ходе международных переговоров активно продвигает термин «информационная безопасность», в то время как страны Запада, особенно США, используют термин «кибербезопасность», что предполагает учет исключительно информационно-технических проблем, таких как обеспечение стабильной работы информационных сетей и систем. Как отмечает автор, еще в 1998 г. Россия выступила с инициативой о постановке на международном уровне вопроса об установлении международно-правового режима, ограничивающего возможности создания и применения информационного оружия[9].

Подобный расширительный подход в толковании термина «информационная безопасность» был использован в ряде международных соглашений, заключенных Российской Федерацией.

В частности, в соответствии с Соглашением между правительствами государств — членов Шанхайской организации сотрудничества (ШОС) «О сотрудничестве в области обеспечения международной информационной безопасности», заключенном в г. Екатеринбурге 16 июня 2009 г., информационная безопасность представляет собой «состояние защищенности личности, общества и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве».

Там же, в Екатеринбурге, в сентябре 2011 г. Россия представила другим государствам — членам ООН проект Конвенции об обеспечении международной информационной безопасности, разработанный Институтом проблем информационной безопасности (IISI) Московского государственного университета совместно с Советом Безопасности РФ и МИД России. Особенность проекта этого документа в том, что предлагается на международном уровне закрепить такие понятия, как «информационная война», «информационное оружие», «терроризм в информационном пространстве» и «информационный суверенитет»[10].

В данном проекте документа было предложено следующее определение информационной безопасности: «Информационная безопасность — состояние защищенности интересов личности, общества и государства от угроз деструктивных и иных негативных воздействий в информационном пространстве»[11].

В соответствии с Соглашением между Правительством Российской Федерации и Правительством Федеративной Республики Бразилии о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности, заключенном в 2010 г., информационная и коммуникационная безопасность представляют собой «состояние защищенности личности, общества, государства и их интересов от существующих и потенциальных угроз в сфере информационных и коммуникационных средств и технологий, включая меры, направленные на обеспечение доступности, целостности, конфиденциальности и подлинности информации»[12].

В ходе визита Председателя Китайской Народной Республики в Российскую Федерацию 8 мая 2015 г. было подписано двустороннее межправительственное Соглашение о сотрудничестве в области обеспечения международной информационной безопасности (МИБ). В данном соглашении, в отличие от указанных выше, акцент был сделан на информационной безопасности, связанной с использованием ИКТ. В то же время в ст. 2 данного соглашения в перечне угроз при использовании ИКТ был приведен пункт об угрозе распространения информации, наносящей вред общественно-политической и социально-экономической системам, что также говорит о расширительном толковании термина «информационная безопасность»[13].

Инициатива использования данного подхода принадлежит Российской Федерации. Это во многом связано с тем, что «участие в формировании системы международной информационной безопасности» закреплено в качестве объекта регулирования в ряде стратегических нормативных документов Российской Федерации: Стратегии развития информационного общества в Российской Федерации, утвержденной Президентом РФ 07.02.2008 № Пр-212[14] и Стратегии национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 31.12.2015 № 683.

В целом данный подход к определению понятия «информационная безопасность» сформировался в рамках развития нормативного регулирования вопросов национальной безопасности.

Как отмечают исследователи, впервые термин «информационная безопасность» был введен в 1990 г. Решением Президиума Верховного Совета СССР была организована рабочая комиссия по совершенствованию системы национальной безопасности[15]. В результате в 1992 г. термин «информационная безопасность» появился в утратившем ныне силу Законе РФ от 05.03.1992 № 2446-1 «О безопасности» как один из видов безопасности и впоследствии был регламентирован в Федеральном законе от 04.07.1996 № 85-ФЗ «Об участии в международном информационном обмене»[16] как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». В дальнейшем понятие «информационная среда общества» в конструкциях норм об информационной безопасности не использовалось, а вот термин «состояние защищенности» как характеристика любого вида безопасности стал универсальным инструментом законодателя.

В Концепции национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 17.12.1997 № 1300[17], информационная безопасность не стала отдельным объектом регулирования. Но тогда впервые проявилась тенденция в толковании термина через перечень угроз национальной безопасности Российской Федерации в информационной сфере, среди которых особо были отмечены: «вытеснение России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним».

В развитие обозначенной Концепции национальной безопасности Российской Федерации применительно к информационной сфере Указом Президента РФ от 09.09.2000 № Пр-1895 была утверждена утратившая ныне силу Доктрина информационной безопасности Российской Федерации (далее — Доктрина 2000 г.), являвшаяся ключевым нормативным актом в данной сфере.

Под информационной безопасностью в Доктрине 2000 г. понималось «состояние защищенности национальных интересов Российской Федерации в информационной сфере от внутренних и внешних угроз путем сохранения баланса между сохранностью информационных ресурсов государства, защищенностью законных прав личности и интересов общества».

Как видим, в основу доктринального определения термина «информационная безопасность» было положено родовое понятие безопасности как «состояние защищенности»[18].

Суть данного подхода заключается в том, что информационная безопасность является частью национальной безопасности Российской Федерации в информационной сфере, также следует учитывать, что речь здесь идет и об информационной составляющей в каждом из направлений национальной безопасности: политической, экономической, экологической, международной, военной и т. д[19].

Интересно, что в утратившей ныне силу Стратегии национальной безопасности Российской Федерации до 2020 года, утвержденной Указом Президента РФ от 12.05.2009 № 537, а также в Федеральном законе от 28.12.2010 № 390-ФЗ «О безопасности» «информационная безопасность» не вошла в состав ключевых объектов регулирования, в то время как с утверждением Указом Президента РФ от 31.12.2015 № 683 новой Стратегии национальной безопасности Российской Федерации — стала одним из полноценных видов национальной безопасности, обеспечению которой, с учетом стратегических национальных приоритетов, должно уделяться особое внимание.

  • [1] См. ISO/IEC 27000:2009 «Information technology—Security techniques — Informationsecurity management systems — Overview and vocabulary» [Electronic resource] // URL:http://www.pqm-online.com/assets/files/lib/std/iso_iec_27000-2009.pdf (дата обращения: 12.03.2019).
  • [2] Information Systems Audit and Control Association — ISACA.
  • [3] Cm.: Glossary of terms, ISACA, 2008 [Electronic resource] // URL: http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf (дата обращения: 12.03.2019).
  • [4] См.: Committee on National Security Systems: National Information Assurance (IA)Glossary : CNSS Instruction. 26 April 2010. No. 4009.
  • [5] См.: Бачило И. Л. Информационное право : учебник для магистров. 3-е изд., пере-раб. и доп., 2012. С. 488/
  • [6] См.: Кибербезопасность и управление интернетом : документы и материалыдля российских регуляторов и экспертов / отв. ред. М. Б. Касенова ; сост. О. В. Демидов,М. Б. Касенова. М. : Статут, 2013. С. 10.
  • [7] См.: Зиновьева Е. С. Международная информационная безопасность : монография.М. : Изд-во МГИМО-Университет, 2013. С. 5-4—55.
  • [8] См.: О принятии Первым комитетом Генассамблеи ООН резолюции «Достиженияв сфере информатизации и телекоммуникаций в контексте международной безопасности» [Электронный ресурс] // Министерство иностранных дел Российской Федерации :[офиц. сайт]. URL:http://www.mid.ru/mezdunarodnaa-informacionnaa-bezopasnost/-/asset_publisher/UsCUTiw2pO53/content/id/1922990 (дата обращения: 14.03.2019).
  • [9] См.: Зиновьева Е. С. Международная информационная безопасность : монография.С. 55, 62.
  • [10] Конвенция об обеспечении международной информационной безопасности(концепция) [Электронный ресурс] // Совет Безопасности Российской Федерации :[офиц. сайт]. URL: http://www.scrf.gov.ru/security/information/documentll2/ (датаобращения: 14.03.2019).
  • [11] Статья 2 Конвенции об обеспечении международной информационной безопасности (концепция).
  • [12] Кибербезопасность и управление интернетом: документы и материалы дляроссийских регуляторов и экспертов / отв. ред. М. Б. Касенова ; сост. О. В. Демидов,М. Б. Касенова. С. 243.
  • [13] Министерство иностранных дел Российской Федерации : [офиц. сайт]. URL:http://www.mid.rU/ru/maps/cn/-/asset_publisher/WhKWb5DVBqKA/content/id/1257295(дата обращения: 14.03.2019).
  • [14] Утратила силу в связи с принятием Указа Президента РФ от 09.05.2017 № 203«О Стратегии развития информационного общества в Российской Федерации на 2017—2030 годы».
  • [15] См .-.Лопатина Т. М. Международный опыт правового обеспечения информационной безопасности // Современное право. 2005. № 2. С. 37.
  • [16] Утратил силу в связи с принятием Закона об информации.
  • [17] Утратила силу в связи с принятием Указа Президента РФ от 12.05.2009 № 537«О Стратегии национальной безопасности Российской Федерации до 2020 года».
  • [18] См.: Кириленко В. П., Алексеев Г. В. Международное право и информационная безопасность государств : монография. СПб. : Изд-во СПбГИКиТ, 2016. С. 161.
  • [19] См.: Бачило И. Л. Информационное право : учебник для магистров. С. 485.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >