5.1. Структура и основные направления развития законодательной базы в области информационной безопасности
В сентябре 2000 г. в нашей стране была принята Доктрина информационной безопасности РФ, представляющая собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.
Настоящая Доктрина послужила основой для подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ.
В этом документе указывается, что совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности РФ. Это предполагает: -оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования; -
создание организационно-правовых механизмов обеспечения ИБ; -
определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства РФ в данной сфере; -
создание системы сбора и анализа данных об источниках угроз ИБ Российской Федерации, а также о последствиях их осуществления; -
разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации их последствий; -
разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе; -
совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности РФ.
84
Законодательство РФ в области информационной безопасности
Правовое обеспечение информационной безопасности РФ должно базироваться прежде всего на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует, чтобы федеральные органы государственной власти и органы государственной власти субъектов РФ при решении возникающих в информационной сфере конфликтов неукоснительно руководствовались законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ.
Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является зажнейшей задачей государства в области ИБ.Разработка механизмов правового обеспечения информационной безопасности РФ включает в себя мероприятия по информатизации правовой сферы в целом.
В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов РФ и других субъектов отношений в информационной сфере, а также выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.
Процесс создания в нашей стране правовой основы информатизации и, в частности, обеспечения ИБ учитывает: •
состояние и состав международных норм в области информатизации; •
состояние отечественного законодательства в этой и смежных областях; •
формирование системы законодательства с охватом всех ее уровней, обеспечением преемственности и совместимости норм в законах разного уровня - конституционных, общих, специальных; •
последовательный выход на развитие ведомственных и местных нормативных актов с опорой на законодательную основу; •
создание механизмов, обеспечивающих организацию, применение, действенность законодательной базы информатизации.
Направления создания правовой базы в области информационной безопасности должны затрагивать все уровни законодательства России:
85 Глава 5 •
конституционное законодательство; •
основные общие законы; •
законы по организации государственной системы управления; •
специальные законы.
Например, права граждан, организаций, государства на информацию должны быть конституционно закреплены и оформлены и последовательно обеспечены во всех основных законах - о собственности, правах граждан, гражданстве, предпринимательстве и т. д.
Вопросы информации и информационного обеспечения обязательно должны присутствовать в законах о разделении компетенции и правовом статусе различных государственных систем, органов и организаций го су-
дарственного устройства по вертикали и горизонтали.
Специальные законы в области информатизации должны быть ори- .J
О ентированы на создание условии для организации и упорядочения самой информации, управление государственными информационными ресурсами, внедрение современных технологий во все направления информатизации, создание систем защиты информации и ее обработки, установление гарантий и т. д.
Кроме федерального законодательства вопросы информатизации должны быть учтены в законодательстве республик в составе РФ.
Важное место в правовом обеспечении информатизации должны занимать подзаконные нормативные акты, отражающие процессы информатизации и защиты информации.
Завершить эту иерархическую структуру системы законодательства должно правоохранительное законодательство, включающее нормы ответственности за правонарушение при работе с информацией.
На уровне административного государственного регулирования в порядке исполнения указанных законов соответствующими органами государственного управления (ФСТЭК и ФСБ России) должны быть установлены нормы защищенности информации, а также требования и правила организационного и технического характера.
Эти документы должны учитывать характеристики уязвимости информации и определять совокупность комплексных мер защиты, необходимых для безопасной обработки информации в зависимости от уровня ее ценности, секретности или общественной опасности нарушений в работе информационных систем.Классификация информационных технологий с позиции И Б.
В основу такой классификации, должен быть положен определенный набор классов комплексной защищенности информационно-вычислительных систем. Здесь должны учитываться характеристики уязвимости, ценность
86
Законодательство РФ в области информационной безопасности
и секретность информации, функциональные и объектовые особенности конкретных прикладных систем. Для этого необходимо разработать и ввести в действие единый государственный нормативный документ, например государственный стандарт, устанавливающий применительно к указанным классам соответствующие нормы защищенности:
требования по применению защищенных средств вычислительной техники (применение сертифицированных средств вычислительной техники не ниже определенного класса защищенности);
требования и рекомендации по составу, функциональным и качественным характеристикам используемых и вновь разрабатываемых технических средств защиты;
рекомендации по применению необходимых административных и организационных мер защиты;
требования по способам проверки (верификации) эффективности и корректности функционирования применяемых средств защиты.
Указанные нормы разрабатываются исходя из условия комплексного применения реализуемых на практике видов защиты и существующей научно-методологической базы. Примером частных нормативов может служить комплект из семи руководящих документов по защите от несанкционированного доступа (НСД), выпущенных Гостехкомиссией РФ в середине 1992 г.
Стандартизация в области ИБ. В условиях интеграции России в мировое сообщество весьма важным является соответствие стандартизации в области ИБ международным требованиям.
К сожалению, российская нормативная база пока значительно отстает от международной. В настоящее время совместным техническим комитетом СТК1 ИСО/МЭК «Информационные технологии» принято около 60 международных стандартов в этой области. В нашей стране к началу 2004 г. применялось 22 национальных стандарта. Они содержат в основном общие положения по организации и проведению работ, документации и терминологии, а 3 из них - общие технические требования. В 2001 г. была разработана «Программа комплексной стандартизации в области защиты информации на период 2001-2010 гг.», которая предусматривает выпуск примерно 40 ГОСТов, учитывающих мировой опыт. В рамках данной программы в 2002 г. принят ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» на основе прямого применения аналогичного международного стандарта.Реализация рассмотренной выше программы в РФ в настоящее время продолжается, сформирована определенная законодательная база в области ИБ (рис. 5.1).
87 Глава 5
КОНСТИТУЦИОННЫЕ ЗАКОНЫ
Конституция Российской Федерации
ОСНОВНЫЕ ОБЩИЕ ЗАКОНЫ •
О безопасности •
Об информации, информационных технологиях и •
о защите информации •
Гражданский кодекс Российской Федерации •
Административный кодекс Российской Федерации
СПЕЦИАЛЬНЫЕ ЗАКОНЫ
О защите го суд ар cm вен / / о й тайн ы: •
О государственной тайне •
Об органах федеральной службы безопасности в Российской Федерации
О защите интеллектуальной собственности: •
Об авторском праве и смежных правах •
Патентный закон •
О правовой охране программ для ЭВМ и баз данных •
Об электронной цифровой подписи •
О коммерческой тайне
О загците лерсональных данных О персональных данных
Рис. 5Л. Структура законодательной базы РФ по вопросам информационной безопасности
Еще по теме 5.1. Структура и основные направления развития законодательной базы в области информационной безопасности:
- 5.2. Содержание основных законов Российской Федерации в области информационной безопасности
- 5.3. Основные руководящие нормативно-технические, методические и организационные документы в области информационной безопасности
- 11.4. Административная ответственность за правонарушения в области информационной безопасности
- 3.2. Основы политики государства в области правового обеспечения информационной безопасности
- § 1. Становление и развитие законодательной базы исполнения наказания в виде лишения свободы в 1917—1928 гг.
- /./. Основные аспекты информационной безопасности.
- Основными направлениями в обеспечении общественной безопасности
- /./. Основные аспекты информационной безопасности.
- Основные направления в обеспечении общественной безопасности
- 10.1. Система лицензирования деятельности организаций по оказанию услуг в области информационной безопасности
- 36.Основные направления (сферы) межотраслевого административно-правового регулирования в области экономики. Государственные органы межотраслевого управления экономикой по указу президента РФ от 12.05.2008 г. «Вопросы системы и структуры федеральных органов исполнительной власти».
- Проблемы решения вопросов информационной безопасности действующим международным правом. Информационная безопасность и международные организации