Содержание к диссертации
Введение
Глава 1. Информационная безопасность в системе национальной безопасности россии 11
1.1. Место информационной безопасности в системе национальной безопасности России 11
1.2. Понятие, структура и содержание информационной безопасности
1.3. Законодательство Российской Федерации в области информационной безопасности, защиты государственной тайны и конфиденциальной информации 20
1.4. Выводы 37
Глава 2. Информация, информационные системы, информационная безопасность как объекты правового регулирования 40
2.1. Информация и информационные системы как объекты правоотношений в сфере обеспечения информационной безопасности
2.2. Понятие и виды защищаемой информации по законодательству Российской Федерации 51
2.3. Анализ и оценка угроз информационной безопасности объекта. Оценка ущерба 55
2.4. Выводы 70
Глава 3. Юридическая ответственность за нарушение правовых норм в области информационной безопасности 73
3.1. Понятие и виды юридической ответственности за нарушение правовых норм в области информационной безопасности
3.2. Уголовная ответственность за нарушение правовых норм в сфере информационной безопасности 82
3.3. Административная ответственность за нарушение правовых норм в сфере информационной безопасности
3.4. Особенности юридической ответственности за нарушение правовых норм информационной безопасности в области трудовых и гражданско-правовых отношений 94
3.5. Выводы 95
Глава 4. Направления развития государственной системы правового регулирования в области информационной безопасности .. 99
4.1. Основные положения формирования государственной системы правового регулирования информационной безопасности в Российской Федерации 99
4.2. Направления государственной политики Российской Федерации в сфере информатизации и информационной безопасности 115
4.3. Международное законодательство в области защиты информации 119
4.4. Выводы 130
Глава 5. Проблемные вопросы правового регулирования в области информационной безопасности 134
5.1.Факторы и проблемы правового регулирования информационной безопасности 134
5.2. Состояние и закономерности практики правового регулирования информационной безопасности
5.3. Направления развития теоретических аспектов законодательства в сфере информационной безопасности 5
5.4. Выводы 145
Заключение 158
Список использованных источников 162
Приложения 180
- Законодательство Российской Федерации в области информационной безопасности, защиты государственной тайны и конфиденциальной информации
- Понятие и виды защищаемой информации по законодательству Российской Федерации
- Уголовная ответственность за нарушение правовых норм в сфере информационной безопасности
- Направления государственной политики Российской Федерации в сфере информатизации и информационной безопасности
Введение к работе
в информационную эпоху. Доля чисто информационных операций (информационная составляющая) в общем балансе рабочего времени для экономически развитых стран уже сегодня доходит до 60%, и ожидается, что в первом десятилетии нового века она возрастет еще на 10-15% [84, 85, 89,].
Современное развитие социально - экономических, политических и иных процессов в России сопровождается совершенствованием информационно-правового обеспечения органов государственной власти, направленного на обеспечение национальной безопасности государства [90]. Это происходит на фоне непростой социально-экономической обстановки внутри страны, продолжающихся региональных конфликтов, серьезных террористических актах и роста преступности.
Все это диктует необходимость существенного совершенствования роли системы правового регулирования, основанной на современных информационных технологиях, интеграции информационного пространства страны в мировые сети, трансформации сложившихся традиционных и реализации новых информационных отношений, обуславливающих переход человечества к информационному обществу [90].
Государственная политика в области информатизации России, получившая новый импульс на рубеже нового века, включает следующие основные направления [108]:
создание и развитие федеральных и региональных систем и сетей информатизации с обеспечением их совместимости и взаимодействия в едином информационном пространстве России;
формирование и защиту информационных ресурсов государства как национального достояния;
обеспечение интересов национальной безопасности в сфере информатизации и ряд других направлений.
формирование законодательной базы в сфере информации и информатизации.
Таким образом, в свете государственной политики в области информатизации страны вопросы правового регулирования информационной безопасности являются весьма актуальными.
Диссертационная работа направлена на системное изложение состояния правовых знаний и законодательства, а также проблемных вопросов в сфере информационной безопасности личности, общества, государства как базиса общественных отношений формирующегося информационного пространства в России, в котором широко используются новые информационные технологии.
В работе с концептуальных позиций изложено содержание объектов правового регулирования информационных отношений в процессе информатизации современного общества - информации, информационных ресурсов и информационных услуг. Раскрыты основные концептуальные положения информационной безопасности и уточнена роль ее правового регулирования. С позиций государственной политики информатизации и ее компонента -правовой информатизации - сформулированы направления развития государственной системы правового регулирования информационных отношений, базы нормативного правового регулирования информационной безопасности, рассмотрены основные положения государственного регулирования деятельности юридических лиц в области защиты информации. Уточнены вопросы юридической ответственности за нарушение правовых норм в области обеспечения информационной безопасности, а также раскрыто содержание организации деятельности органов государственной власти по обеспе-
чению информационной безопасности.
(> В диссертации представлены основные концептуальные понятия, кото-
рые определяют содержание вопросов правового и организационного регулирования информационной безопасности. При этом достаточно полно учтены достижения отечественной и зарубежной юридической науки в области обеспечения информационной безопасности и правовой защиты компьютерной информации в автоматизированных системах ее обработки.
При подготовке работы автор исходил из приоритета соблюдения и защиты человека, его прав и свобод в рамках развития новой информационно-экономической формации и критического отношения к общепринятым подходам к пониманию обеспечения информационной безопасности.
Все это свидетельствует об актуальности темы настоящей диссертаци
онной работы, выполненной в соответствии с Доктриной информационной
*Л безопасности Российской Федерации [61] и основными приказами МВД РФ в
этой области [62-64].
Объектом исследования является система правовых отношений в сфере обеспечения информационной безопасности в России.
Предметом исследования выступают концептуальные подходы и направления развития системы правового регулирования информационной безопасности в Российской Федерации.
Целью диссертационной работы является совершенствование концептуальных основ правового регулирования информационной безопасности в Российской Федерации.
Для достижения цели в работе решаются следующие научные задачи:
показано место информационной безопасности в системе националь
ной безопасности России;
' проведен анализ понятия, структуры и содержания информационной
безопасности, а также законодательства Российской Федерации в этой области;
проведен анализ информации и информационных систем как объек
тов правоотношений в сфере обеспечения информационной безопасности;
дана правовая оценка угроз информационной безопасности объектов;
осуществлен анализ понятия и видов юридической ответственности за нарушение правовых норм в области информационной безопасности;
показаны особенности юридической ответственности за нарушение правовых норм информационной безопасности в области трудовых и гражданско-правовых отношений;
сформулированы основные положения формирования государственной системы правового регулирования информационной безопасности в Российской Федерации;
проанализированы основные направления государственной политики Российской Федерации в сфере информатизации и информационной безопасности;
сформулированы основные направления развития законодательства в сфере информационной безопасности Российской Федерации.
Методология и методы исследования основываются на положениях и выводах современной правовой теории, прежде всего - на теоретической базе информационного права и информационной безопасности, общей теории систем, системного анализа и синтеза сложных систем, теории управления, правовом и формально-логическом анализе. Теоретической базой исследования послужили также общие положения государственного и социального управления, труды отечественных и зарубежных ученых в области информационной безопасности.
Обоснованность и достоверность научных положений, выводов и рекомендаций подтверждается системным рассмотрением факторов и процессов, оказывающих влияние на информационную безопасность, использованием апробированных методов правового анализа, значительным объемом использованной отечественной и зарубежной научной литературы, раскрывающей современные методы управления правовым обеспечением информационной безопасности, практическим использованием полученных результатов в учебных курсах в Дальневосточном юридическом и Воронежском институтах МВД России, а также деятельности УВД Хабаровского края.
Научная новизна и теоретическая значимость работы связаны с рассмотрением перспектив развития системы правового регулирования информационной безопасности в Российской Федерации через призму современных правовых моделей и принципов управления.
Такая постановка задачи для науки и практической деятельности диктовалась необходимостью объяснения глубинных изменений, произошедших в стране и предопределяющих стратегию формирования системы информационной безопасности в России, осмыслением контекста мирового развития, обуславливающего выбор соответствующих стратегических ориентиров в этой сфере и создание новых концепций информационной безопасности.
Конкретные результаты, полученные автором, которые характеризуются научной новизной и выносятся на защиту, следующие:
1. Определены концептуальные подходы, стратегические цели и механизмы правового регулирования информационной безопасности объектов. Это позволило описать основные направления развития информационной безопасности и показать, что она должны рассматриваться как сложная система, свойства которой не сводятся к простой совокупности свойств компонентов системы.
Путем системного подхода теоретически и методологически обоснованы базовые принципы и механизмы формирования информационной безопасности в России как сложной системы.
Проведена систематизация понятийного аппарата, структуры и содержания информационной безопасности, а также законодательства Российской Федерации в этой области;
Сформулированы основные направления совершенствования государственного правового регулирования информационной безопасности в Российской Федерации.
Совокупность полученных в работе результатов представляет комплекс методологических и теоретических положений, позволяющих осуществлять анализ, определять приоритеты развития системы правового регулирования информационной безопасности.
Практическая ценность и реализация результатов диссертационной работы. Практическая ценность основных положений диссертационной работы заключается в обосновании принципов и механизмов правового регулирования информационной безопасности объектов, функционирующих в динамично изменяющейся среде. Эти положения были применены при обосновании системы информационной безопасности в деятельности УВД Хабаровского края, о чем свидетельствуют соответствующие акты о внедрении. Результаты диссертации использованы при подготовке целого ряда учебно-методических материалов в Дальневосточном юридическом и Воронежском институтах МВД России, что также подтверждается актами о внедрении.
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на региональных научно-практических конференциях «Организационно-правовые и функциональные аспекты совершенствования деятельности органов внутренних дел» и «Актуальные вопросы
правовой политики в современных условиях» в 2002 г., «Проблемы правового обеспечения деятельности органов внутренних дел по охране общественного порядка и борьбе с преступностью» в 2003 г. (г. Хабаровск) и на IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» в 2003 г. (г. Воронеж), а также на научно-практических семинарах в Дальневосточном юридическом и Воронежском институтах МВД России.
Результаты работы опубликованы в 5 научных статьях и одной монографии.
Законодательство Российской Федерации в области информационной безопасности, защиты государственной тайны и конфиденциальной информации
Необходимость систематизации нормативных правовых актов в сфере информационной безопасности обусловлена определением информационного законодательства в системе конституционного законодательства и круга информационных правоотношений, подлежащих правовому регулированию. Помимо этого, систематизация позволяет исключить субъективное понимание существующего нормативного правового массива в информационной сфере и выработать единый взгляд на его рассмотрение с учетом оснований систематизации как целостного образования - системы. Игнорирование систематизации законодательного массива, как считают ученые, ведет к упрощению законотворчества и порождает законодательные ошибки [129].
Классификация охраняемой информации В рассматриваемой области уже сделаны попытки систематизации нормативных правовых актов в информационной сфере и сфере информационной безопасности [80, 83, 90, 104, 112, 132, 152]. Но, например, систематизация нормативных правовых актов, проведенная В. А. Копыловым [152], представляется неполной. Он выделяет только два закона: «О безопасности» и «О государственной тайне». Систематизация, проведенная М. М. Рассоло-вым [112], несколько шире, но и она отличается неполнотой содержащихся в ней действующих нормативных правовых актов. Отсутствует ряд важных законов («Об информации, информатизации и защите информации», «О меж дународном информационном обмене»), а также нормативных правовых актов, определяющих правовое положение, полномочия субъектов обеспечения информационной безопасности, положений Государственной технической комиссии России и других ведомственных нормативных правовых актов, играющих важную роль в рассматриваемой сфере.
Кроме того, в проанализированных классификационных структурах не указаны основания, по которым осуществлялась систематизация. С учетом этого представляется возможным предложить вариант систематизации нормативных правовых актов в сфере информационной безопасности (рис. 1.3.). Эта структура отражает классификацию нормативных правовых актов по соответствующим основаниям.
В основу разработанной структуры законодательства положен вариант законодательства, представляющий известную Программу подготовки законодательного и нормативного обеспечения работ в области информатизации, принятую в апреле 1992 года. В рамках этой Программы разработаны следующие законы в области информатизации: «Об информации, информатизации и защите информации», «Об ответственности за злоупотребление при работе с информацией», «Об участии в международном информационном обмене и контроле над экспортом информационной продукции», «Соглашение государств-членов СНГ о сотрудничестве в сфере информатизации», «О государственной тайне», «О коммерческой тайне» и др. Реализация Программы позволила: создать правовые основы процесса информатизации в России; нормативно закрепить права граждан, организаций и государства на информацию; установить правовой режим информации и систем информатизации с учетом правил охраны государственной и коммерческой тайны, порядка пра вовой, организационной и технической защиты информации и информаци онного ресурса в целом, основ защиты и гарантий прав потребителя на ин формацию;
Понятие и виды защищаемой информации по законодательству Российской Федерации
Проведенный анализ содержания информации, в том числе и как объекта права, позволил выделить ее основные виды, подлежащие правовой защите [80], в отношении: сведений, отнесенных к государственной тайне; конфиденциальной документированной информации; персональных данных.
Наряду с такими важными свойствами информации как своевременность, достоверность и др., существенное место принадлежит свойству безопасности. Безопасность информации - ее защищенность от нежелательного воздействия, разглашения, искажения, модификации, незаконного копирования, блокирования и т.п. [91].
Независимо от сфер деятельности личности, общества и государства, обеспечение безопасности информации тесно взаимосвязано с получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. В силу этого источник является неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения информационной безопасности. Под источником информации понимается объект, обладающий определенной информацией, которую можно получить одноразово или многократно для решения поставленных целей. Источник связан с каким-то получателем, имеющим ту или иную возможность доступа к информации.
Существуют следующие категории источников информации: люди, документы, публикации, технические носители, технические средства обеспечения производственной и трудовой деятельности, промышленные и производственные отходы. Кратко их рассмотрим.
К источникам информации, определенным обобщенным понятием «люди» можно отнести все категории лиц (должностных лиц), независимо от места в системе обработки информации. Необходимо отметить, что эта группа в ряде существующих источников конфиденциальной информации занимает особое место в силу своей активности, выступает не только как источник, но и как субъект, участвующий в информационных процессах, информатизации и обеспечении информационной безопасности, а также совершающий противоправные действия в информационной сфере. При этом информационные отношения возникают в ходе: формирования и использования информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска соответствующей информации; создания и использования информационных технологий, способов, средств их обеспечения; защиты информации и прав субъектов.
Отличительной особенностью источников информации как объекта информационных отношений являются: двойственный характер деятельности людей, обусловленный тем, что люди могут являться как обладателями, так и распространителями информации в рамках своих функциональных обязанностей; способность человека анализировать, обобщать информацию и делать соответствующие выводы.
Документы являются одной из самых распространенных форм представления, обмена, накопления и хранения информации. Они отличаются большим разнообразием функционального назначения. Система документов имеет разветвленную структуру, определяемую рядом показателей, характеризующих разнообразие содержания документа, его физических форм (материальных носителей) и др. При этом, разнообразие форм и содержания документов по назначению, направленности, характеру разработки и использования является важным объектом внимания и противоправных действий, направленных на незаконное получение информации, особенно, имеющей конфиденциальный характер.
Следующая группа источников - публикации, представляет информационные носители в виде разнообразных не конфиденциальных изданий: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты и т.д. Известно мнение специалистов, что более 60% закрытой информации можно получить из названной группы открытых источников, к которой можно добавить средства массовой информации [78, 92].
Конфиденциальная информация, составляющая промышленную, коммерческую, банковскую и другие виды тайн, может быть получена из указанных источников, в том числе - печатных изданий. При этом стоимость такой информации исчисляется сотнями тысяч, если - не миллионами долларов.
К следующей группе относятся технические носители информации. Это носители любой формы, кино-, фотоматериалы, магнитные носители, видеодиски, распечатки данных и программ на принтерах и другие.
Уголовная ответственность за нарушение правовых норм в сфере информационной безопасности
Рассмотрение признаков правонарушений в сфере информационной безопасности осуществляется с учетом их уголовных и административных характеристик.
Характеристиками состава правонарушения являются субъект, объективная и субъективная стороны, объект.
Субъектом может быть только физическое лицо, достигшее определенного возраста, определяемого действующим законодательством, являющееся работником организации и допущенное к выполнению конфиденциальных работ.
Объективная сторона проявляется в двух формах: действие, нарушающее правовые запреты, предусмотренные законодательными и иными правовыми нормативными актами; бездействие, нарушающее правовые предписания.
В этих формах отражается поступок, подрывающий порядок обеспечения информационной безопасности в деятельности организации, вследствие чего открываются вероятные каналы утечки информации и совершаются преступления (глава 29 УК РФ). Каково же соотношение понятия вины и субъективной стороны правонарушения?
Вина - определенное состояние психики субъекта, которое заключается в его отрицательном отношении к интересам общества.
Отрицательное отношение проявляется в совершенном умышленно или неосторожно правонарушении.
Понятие вины характеризует субъективную сторону деяния с позиций соответствующей формы юридической ответственности (умысел, неосторожность).
Понятие субъективной стороны правонарушения охватывает всю психологическую структуру правонарушения, ее компоненты, которые представлены в сознании действующего субъекта (мотив, цель).
Объект правонарушения информационной безопасности отражает преступление, выражаемое в действии или бездействии, и представляющее всегда посягательство на определенный объект.
Правонарушение информационной безопасности и ее составляющих (режима обеспечения конфиденциальности, безопасности информации, связи и др.) может быть охарактеризовано как противоправное, общественно опасное деяние вменяемого и дееспособного лица, совершаемое в форме умысла или неосторожности и наказываемое в соответствии с законом [ПО, 114, 121].
Анализ содержания рассмотренных информационных отношений применительно к сфере информационной безопасности позволяет заключить, что эти отношения в большинстве случаев: определяются ее объектом, то есть информацией, информационными ресурсами, информационными системами, представленными характерными признаками, свойствами, особенностями; проявляются в действиях (поведении) субъектов при осуществлении ими информационных процессов; имеют специфику проявления, в значительной степени обусловленную особенностями, свойствами субъектов, представляющих угрозу объекту.
В силу существующей связи между объектом и субъектом существенное влияние на свойства информации оказывают характеристики правонарушений в области информационной безопасности. Эти правонарушения представляют большое разнообразие угроз информации и информационным ресурсам.
С учетом указанных противоправных деяний и особенностей информации как объекта юридической защиты определяют специфические особенно сти в проведении уголовно-процессуальной деятельности в этой сфере. Рассмотрим эту проблему на примере компьютерных преступлений.
Обеспечение безопасности компьютерной информации предполагает решение вопросов гражданской и уголовной ответственности за незаконное приобретение и использование компьютерной информации, доказывания особенностей этих противоправных действий, а также выявления, раскрытия, расследования и предупреждения фактов преступного манипулирования программным продуктом и т. д. [118].
Уголовно-правовая защита компьютерной информации вызывает сейчас ряд затруднений в силу следующих причин [117, 123]: недостаточная проработка действующего законодательства, а также следственной и судебной практики привлечения к уголовной ответственности за компьютерные преступления; трудности доказывания и судебных исследований, связанные с использованием нетрадиционных носителей информации, недостаточная изученность и практика этого объекта права; криминалистические проблемы, состоящие в том, что технико-криминалистические, тактические и методические приемы, методы и средства раскрытия и расследования подобного рода преступлений в полной мере не отработаны как на теоретическом, так и на практическом уровнях; сложности организационного характера, состоящие в том, что при относительном насыщении аппаратными и техническими средствами правоохранительные органы до сих пор не имеют достаточного количества квалифицированных специалистов по использованию таких средств для целей расследования; для достижения необходимого уровня безопасности технические способы и средства защиты компьютерной информации не в полной мере поддерживаются обязательным правовым обеспечением, определяющем правила владения, пользования и распоряжения информацией.
Направления государственной политики Российской Федерации в сфере информатизации и информационной безопасности
Тенденции конституционного развития таковы, что они акцентируют внимание на проблему «государственных режимов и состояний» - обеспечение безопасности (информационной безопасности как составной части), обороны, чрезвычайного положения и т. п. [74, 75]. Необходимость конституционного регулирования обеспечения информационной безопасности очевидна. Ведь информационная безопасность личности - это ни что иное, как защищенность конституционных прав и свобод человека.
А одним из направлений государственной политики в сфере информационной безопасности являются соблюдение и реализация конституционных прав человека и гражданина в рассматриваемой сфере. Во-первых, согласно Закону РФ « О безопасности» [12] безопасность достигается проведением единой государственной политики в области обеспечения безопасности. Очевидно, что и информационная безопасность достигается проведением государственной политики в области обеспечения информационной безопасности РФ. Названная политика в свою очередь опре деляет основные направления деятельности государства в обсуждаемой сфере и заслуживает определенного внимания. Во-вторых, актуальность рассматриваемых основных направлений деятельности государства в указанной сфере обусловлена следующим [74, 83]: необходимостью развития и совершенствования конституционного законодательства, обеспечивающего оптимальное сочетание приоритетов интересов личности, ведомств и в целом государства в рамках одного из направлений по обеспечению информационной безопасности; совершенствованием деятельности государства по обеспечению безопасности всех субъектов информационных отношений; потребностью граждан в защите своих интересов в информационной сфере; необходимостью формирования единого правового поля в сфере информационных отношений.
Развитие государственной политики в сфере обеспечения информационной безопасности нашло свое отражение в Концепции национальной безопасности Российской Федерации. Ее особенностями являются следующие положения [24,25]: ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры; национальный информационный ресурс является в настоящее время одним из главных источников экономической и военной мощи государства; проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения; все более актуальный характер приобретают вопросы обеспечения информационной безопасности Российской Федерации как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач; система национальных интересов России в области экономики, социальной, внутриполитической, международной, информационной сферах, в области военной, пограничной и экологической безопасности определяется совокупностью сбалансированных интересов личности, общества и государства; государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ в этой области. Концепция также определяет национальные интересы России в информационной сфере, которые направлены на сосредоточение усилий общества и государства в решении следующих задач (направлений): соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею; защита национальных духовных ценностей, пропаганда национального культурного наследия, норм морали и общественной нравственности; обеспечение права граждан на получение достоверной информации; развитие современных телекоммуникационных технологий.
Планомерная деятельность государства по реализации указанных задач позволит Российской Федерации стать одним из центров мирового развития и формирования информационного общества, обеспечивающего потребности личности, общества, государства в информационной сфере, в том числе - их защиту от разрушающего воздействия информации для манипулирования массовым сознанием, а также необходимую защиту государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации.
С учетом перечисленных положений необходимо обратить внимание на следующие принципы построения государственной политики обеспечения информационной безопасности Российской Федерации [118,122]: соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных норм международного права при осуществлении деятельности по обеспечению информационной безопасности страны; правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающегося на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; открытость, предусматривающая реализацию функций федеральных органов государственной власти и органов государственной власти субъектов РФ, общественных объединений, включающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
