Правовое регулирование информационной безопасности

В результате изучения данной главы студент должен:

знать

• • основные подходы к пониманию направлений развития концепции информационной безопасности в мире и в России;
• • основные признаки информационной безопасности и принципы современной отечественной доктрины информационной безопасности;

уметь

• • выделять основные концепции формирования системы информационной безопасности;
• • определять основные правовые проблемы совершенствования обеспечения информационной безопасности;

владеть

• понятийным аппаратом в сфере обеспечения информационной безопасности.

Понятие информационной безопасности

Отдельные элементы такого правового явления, как информационная безопасность уже были рассмотрены в предыдущих главах. В частности, рассмотрены вопросы правового регулирования отношений по защите информации с ограниченным доступом (см. гл. 5), защиты персональных данных (гл. 8), в гл. 4, посвященной отношениям в сфере организации и деятельности СМИ — вопрос защиты детей от вредной информации и т. д.

Как видим, во главу угла нормативного регулирования применительно к любому разделу информационных отношений ставится вопрос защиты информации и информационной безопасности в целом.

Стоит отметить, что европейский и американский подходы к определению термина «информационная безопасность» сводятся к отождествлению последнего с понятием «защиты информации». Так, в соответствии с международным стандартом ИСО/МЭК 27 000:2009 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», информационная безопасность представляет собой «сохранение конфиденциальности, целостности и доступности информации», в соответствии с примечанием обладающей также и другими свойствами, такими как подлинность, подотчетность, безотказность и надежность^[1].

Международная профессиональная ассоциация ISACA^[2], являющаяся сертифицированным аудитором информационных систем, в своем глоссарии отметила, что информационная безопасность «гарантирует, что только авторизованные пользователи (конфиденциальность) имеют доступ к точной и полной информации (целостности) при необходимости (при наличии)»^[3].

В словаре терминов Комитета по национальной безопасности США под информационной безопасностью понимают «защиту информации и информационных систем от несанкционированного доступа, использования, разглашения, разрушения, модификации или уничтожения, в целях обеспечения конфиденциальности, целостности и доступности^[4].

Различия в терминологии в данном случае позволяют приблизиться к ответу на вопрос о том, чем отличаются термины «защита информации» и «информационная безопасность». Для обозначения действий по защите в английском языке употребляются термины «defense» и «protection», в то время как для понятия «безопасность» употребляется термин «security», что само по себе не случайно, как отмечают исследователи, поскольку защита представляет собой одну из важнейших форм обеспечения безопасности, но не единственную^[5].

Важно также отличать понятия «информационная безопасность» и «кибербезопасность».

Как указывают эксперты в области кибербезопасности, с развитием информационных и коммуникационных технологий изменился и лексический состав многих языков мира: стали появляться и все чаще использоваться слова-неологизмы с «приставкой» «кибер-» (англ, cyber-): «киберпространство», «кибербезопасность», «киберпреступность», «кибертерроризм», «кибератака», «кибервойска», «кибероружие», «киберсотрудничество» и т. д. Эти неологизмы активно используются в различных нормативных актах внутригосударственного законодательства, политических декларациях, документах международных организаций и иных документах правового характера, а самое главное, они получают различную интерпретацию и применение в документах международных межправительственных организаций, в первую очередь ООН, Международного союза электросвязи (МСЭ), а также в национальных «стратегиях киберпространства» (например, США) или «стратегиях кибербезопасности» (например, Финляндии, Индии, Европейского союза и др.)^[6].

При этом страны Запада, в особенности США, используют термин «кибербезопасность» применительно к определению безопасности в цифровой сфере, что предполагает учет исключительно информационно-технических вопросов, таких как обеспечение стабильной работы информационных сетей и систем. В остальном «кибербезопасность» чаще всего рассматривается в контексте «триады» угроз международной информационной безопасности — террористической, военной и преступной^[7].

Так, международная практика сводится как к прямому толкованию слова «cybersecurity» в соответствии с его переводом — как «компьютерная безопасность» и «безопасность в сети Интернет», так и к использованию термина «информационная безопасность» (information security).

К примеру, понятие «кибербезопасность» употреблено в своем прямом значении в Резолюции Генеральной Ассамблеи ООН A/RES/64/211 от 21 декабря 2009 г. «Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур».

Существуют также примеры использования термина «информационная безопасность» (information security) в своем прямом значении, например, в Резолюции Генеральной Ассамблеи ООН А/ RES/64/25 от 2 декабря 2009 г. «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности», обновленная версия которой была принята входе 70-й сессии Генеральной Ассамблеи ООН^[8].

По мнению авторов, попытки ряда исследователей отождествлять термины «информационная безопасность», «кибербезопасность» и «защита информации» являются ограничительными, так как в данном случае акцент ошибочно делается только на отдельных аспектах правового явления.

Как верно отметила Е. С. Зиновьева, Россия в ходе международных переговоров активно продвигает термин «информационная безопасность», в то время как страны Запада, особенно США, используют термин «кибербезопасность», что предполагает учет исключительно информационно-технических проблем, таких как обеспечение стабильной работы информационных сетей и систем. Как отмечает автор, еще в 1998 г. Россия выступила с инициативой о постановке на международном уровне вопроса об установлении международно-правового режима, ограничивающего возможности создания и применения информационного оружия^[9].

Подобный расширительный подход в толковании термина «информационная безопасность» был использован в ряде международных соглашений, заключенных Российской Федерацией.

В частности, в соответствии с Соглашением между правительствами государств — членов Шанхайской организации сотрудничества (ШОС) «О сотрудничестве в области обеспечения международной информационной безопасности», заключенном в г. Екатеринбурге 16 июня 2009 г., информационная безопасность представляет собой «состояние защищенности личности, общества и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве».

Там же, в Екатеринбурге, в сентябре 2011 г. Россия представила другим государствам — членам ООН проект Конвенции об обеспечении международной информационной безопасности, разработанный Институтом проблем информационной безопасности (IISI) Московского государственного университета совместно с Советом Безопасности РФ и МИД России. Особенность проекта этого документа в том, что предлагается на международном уровне закрепить такие понятия, как «информационная война», «информационное оружие», «терроризм в информационном пространстве» и «информационный суверенитет»^[10].

В данном проекте документа было предложено следующее определение информационной безопасности: «Информационная безопасность — состояние защищенности интересов личности, общества и государства от угроз деструктивных и иных негативных воздействий в информационном пространстве»^[11].

В соответствии с Соглашением между Правительством Российской Федерации и Правительством Федеративной Республики Бразилии о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности, заключенном в 2010 г., информационная и коммуникационная безопасность представляют собой «состояние защищенности личности, общества, государства и их интересов от существующих и потенциальных угроз в сфере информационных и коммуникационных средств и технологий, включая меры, направленные на обеспечение доступности, целостности, конфиденциальности и подлинности информации»^[12].

В ходе визита Председателя Китайской Народной Республики в Российскую Федерацию 8 мая 2015 г. было подписано двустороннее межправительственное Соглашение о сотрудничестве в области обеспечения международной информационной безопасности (МИБ). В данном соглашении, в отличие от указанных выше, акцент был сделан на информационной безопасности, связанной с использованием ИКТ. В то же время в ст. 2 данного соглашения в перечне угроз при использовании ИКТ был приведен пункт об угрозе распространения информации, наносящей вред общественно-политической и социально-экономической системам, что также говорит о расширительном толковании термина «информационная безопасность»^[13].

Инициатива использования данного подхода принадлежит Российской Федерации. Это во многом связано с тем, что «участие в формировании системы международной информационной безопасности» закреплено в качестве объекта регулирования в ряде стратегических нормативных документов Российской Федерации: Стратегии развития информационного общества в Российской Федерации, утвержденной Президентом РФ 07.02.2008 № Пр-212^[14] и Стратегии национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 31.12.2015 № 683.

В целом данный подход к определению понятия «информационная безопасность» сформировался в рамках развития нормативного регулирования вопросов национальной безопасности.

Как отмечают исследователи, впервые термин «информационная безопасность» был введен в 1990 г. Решением Президиума Верховного Совета СССР была организована рабочая комиссия по совершенствованию системы национальной безопасности^[15]. В результате в 1992 г. термин «информационная безопасность» появился в утратившем ныне силу Законе РФ от 05.03.1992 № 2446−1 «О безопасности» как один из видов безопасности и впоследствии был регламентирован в Федеральном законе от 04.07.1996 № 85-ФЗ «Об участии в международном информационном обмене»^[16] как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». В дальнейшем понятие «информационная среда общества» в конструкциях норм об информационной безопасности не использовалось, а вот термин «состояние защищенности» как характеристика любого вида безопасности стал универсальным инструментом законодателя.

В Концепции национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 17.12.1997 № 1300^[17], информационная безопасность не стала отдельным объектом регулирования. Но тогда впервые проявилась тенденция в толковании термина через перечень угроз национальной безопасности Российской Федерации в информационной сфере, среди которых особо были отмечены: «вытеснение России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним».

В развитие обозначенной Концепции национальной безопасности Российской Федерации применительно к информационной сфере Указом Президента РФ от 09.09.2000 № Пр-1895 была утверждена утратившая ныне силу Доктрина информационной безопасности Российской Федерации (далее — Доктрина 2000 г.), являвшаяся ключевым нормативным актом в данной сфере.

Под информационной безопасностью в Доктрине 2000 г. понималось «состояние защищенности национальных интересов Российской Федерации в информационной сфере от внутренних и внешних угроз путем сохранения баланса между сохранностью информационных ресурсов государства, защищенностью законных прав личности и интересов общества».

Как видим, в основу доктринального определения термина «информационная безопасность» было положено родовое понятие безопасности как «состояние защищенности»^[18].

Суть данного подхода заключается в том, что информационная безопасность является частью национальной безопасности Российской Федерации в информационной сфере, также следует учитывать, что речь здесь идет и об информационной составляющей в каждом из направлений национальной безопасности: политической, экономической, экологической, международной, военной и т. д^[19].

Интересно, что в утратившей ныне силу Стратегии национальной безопасности Российской Федерации до 2020 года, утвержденной Указом Президента РФ от 12.05.2009 № 537, а также в Федеральном законе от 28.12.2010 № 390-ФЗ «О безопасности» «информационная безопасность» не вошла в состав ключевых объектов регулирования, в то время как с утверждением Указом Президента РФ от 31.12.2015 № 683 новой Стратегии национальной безопасности Российской Федерации — стала одним из полноценных видов национальной безопасности, обеспечению которой, с учетом стратегических национальных приоритетов, должно уделяться особое внимание.

• [1] См. ISO/IEC 27 000:2009 «Information technology—Security techniques — Informationsecurity management systems — Overview and vocabulary» [Electronic resource] // URL: http://www.pqm-online.com/assets/files/lib/std/iso_iec_27 000−2009.pdf (дата обращения: 12.03.2019).
• [2] Information Systems Audit and Control Association — ISACA.
• [3] Cm.: Glossary of terms, ISACA, 2008 [Electronic resource] // URL: http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf (дата обращения: 12.03.2019).
• [4] См.: Committee on National Security Systems: National Information Assurance (IA)Glossary: CNSS Instruction. 26 April 2010. No. 4009.
• [5] См.: Бачило И. Л. Информационное право: учебник для магистров. 3-е изд., пере-раб. и доп., 2012. С. 488/
• [6] См.: Кибербезопасность и управление интернетом: документы и материалыдля российских регуляторов и экспертов / отв. ред. М. Б. Касенова; сост. О. В. Демидов, М. Б. Касенова. М.: Статут, 2013. С. 10.
• [7] См.: Зиновьева Е. С. Международная информационная безопасность: монография.М.: Изд-во МГИМО-Университет, 2013. С. 5−4—55.
• [8] См.: О принятии Первым комитетом Генассамблеи ООН резолюции «Достиженияв сфере информатизации и телекоммуникаций в контексте международной безопасности» [Электронный ресурс] // Министерство иностранных дел Российской Федерации :[офиц. сайт]. URL: http://www.mid.ru/mezdunarodnaa-informacionnaa-bezopasnost/-/asset_publisher/UsCUTiw2pO53/content/id/1 922 990 (дата обращения: 14.03.2019).
• [9] См.: Зиновьева Е. С. Международная информационная безопасность: монография.С. 55, 62.
• [10] Конвенция об обеспечении международной информационной безопасности (концепция) [Электронный ресурс] // Совет Безопасности Российской Федерации :[офиц. сайт]. URL: http://www.scrf.gov.ru/security/information/documentll2/ (датаобращения: 14.03.2019).
• [11] Статья 2 Конвенции об обеспечении международной информационной безопасности (концепция).
• [12] Кибербезопасность и управление интернетом: документы и материалы дляроссийских регуляторов и экспертов / отв. ред. М. Б. Касенова; сост. О. В. Демидов, М. Б. Касенова. С. 243.
• [13] Министерство иностранных дел Российской Федерации: [офиц. сайт]. URL: http://www.mid.rU/ru/maps/cn/-/asset_publisher/WhKWb5DVBqKA/content/id/125 7295(дата обращения: 14.03.2019).
• [14] Утратила силу в связи с принятием Указа Президента РФ от 09.05.2017 № 203"О Стратегии развития информационного общества в Российской Федерации на 2017—2030 годы".
• [15] См .-.Лопатина Т. М. Международный опыт правового обеспечения информационной безопасности // Современное право. 2005. № 2. С. 37.
• [16] Утратил силу в связи с принятием Закона об информации.
• [17] Утратила силу в связи с принятием Указа Президента РФ от 12.05.2009 № 537"О Стратегии национальной безопасности Российской Федерации до 2020 года".
• [18] См.: Кириленко В. П., Алексеев Г. В. Международное право и информационная безопасность государств: монография. СПб.: Изд-во СПбГИКиТ, 2016. С. 161.
• [19] См.: Бачило И. Л. Информационное право: учебник для магистров. С. 485.