---

Защита конфиденциальной информации

Исходя из положений действующего законодательства (ст. 21 Закона об информации, ГОСТ Р 50922- 96 «Защита информации. Основные термины и определения») защита информации определяется как деятельность, направленная против неправомерного обращения с документированной информацией* которое может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу.

Закон не дифференцирует понятия «охрана» и «защита» информации, но в науке информационного права они не рассматриваются как тождественные в силу их определенной смысловой самостоятельности . Охрана информации - установление ее общего правового режима, защита — меры, используемые в тех случаях, когда субъективные права на информацию нарушены или оспорены^[1].

Однако в данной части исследования термин «защита информации» целесообразно применять в том широком значении, которое ему придает законодатель - оно включает как меры, направленные на предотвращение возможности неправомерных действий с конфиденциальной информацией, так и меры, направленные на защиту и восстановление уже нарушенных прав.

Основная задача защиты конфиденциальной информации достижение и поддержание состояния информационной безопасности. В Доктрине информационной безопасности, утвержденной Указом Президента

от 9 сентября 2000 г. № ПР — 1895^[2] это понятие определяется как состояние защищенности национальных интересов РФ в информационной сфере, определяющихся совокупностью сбалансированности интересов личности, общества и государства». Данная сбалансированность соответствует общей концепции гражданского общества и правового государства - в основе их должен лежать приоритет прав и свобод человека и гражданина при решении любых проблем - от глобальных до национальных, региональных и локальных.

Доктрина информационной безопасности выделяет, помимо прочих, такие составляющие национальных интересов в информационной сфере, как защита прав и свобод личности, защита информационных ресурсов от ■ несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных технологий. Для достижения национальных интересов в сфере информационной безопасности ставятся задачи, среди которых особо следует отметить:

обеспечение прав человека и гражданина на частные тайны; создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

повышение безопасности информационных систем, систем и сетей связи федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации;

интенсификация развития отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;

развитие международного' сотрудничества РФ в области информационной безопасности, использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

Положения гл. 5 Закона об информации, сформулированные за 5 лет до появления Доктрины информационной безопасности, в целом. отвечают ее концепции. Формулировка главы 5 данного закона в качестве объектов защиты выделяет информацию и права субъектов в области информационных процессов и информатизации.

В науке информационного права при обсуждении проблем защиты конфиденциальной информации особый акцент делается, как и в Доктрине информационной безопасности, на сбалансированность публичных и частных интересов. Если первой доминантой, как отмечает Фатьянов А. А., для современной цивилизации является доминанта, информационного ресурса как первичного ресурса при производстве и потреблении материальных и нематериальных благ, то второй (а по значимости первой) является защита прав и свобод личности, при этом они должны быть связаны и взаимно зависимы.

По мнению О. А.Степанова,¹ равная безопасность личности, общества и государства в информационных правоотношениях, предельно допустимый учет и удовлетворение их интересов — принцип, на основе которого должно строиться обеспечение безопасности электронных банков

конфиденциальной информации, в. том числе и в сфере государственного управления.

К субъектам, осуществляющим деятельность по защите конфиденциальной информации в сфере деятельности исполнительной власти или контролирующим ее, исходя из положений ст. 21 Закона об информации, относятся: •

специальные службы - службы информационной безопасности федеральных органов исполнительной власти (или уполномоченные должностные лица);

включение в государственные контракты, в реализации которых

используется конфиденциальная информация, положений об обязанности

обеспечения конфиденциальности данных сведений;

предоставление доступа к конфиденциальной информации физическим

и юридическим лицам на законном основании;

установление договорных отношений с субъектами,

предоставляющими услуги по формированию информационных ресурсов;

использование для защиты информации сертифицированных

технических средств;

*

инициирование в пределах своих полномочий возбуждения дисциплинарного производства за нарушение требований, связанных с защитой информации.

Формы защиты информации в науке информационного права традиционно классифицируются на юрисдикционные и неюрисдикционные.¹¹⁴ К первым относятся защита нарушенных прав субъектов информационных правоотношений в судебном и административном порядке. Ко вторым — организационные, технические, криптографические средства защиты информации.

Механизм защиты информации представляет собой определенное сочетание, организационных, технических, криптографических и юрисдикционных средств защиты информации. Все они являются правовыми, поскольку устанавливаются правовыми актами управления, в том числе нормативно - правовыми актами. Таким образом, правовая защита конфиденциальной информации - это деятельность по применению юрисдикционных и неюрисдикционных форм ее защиты.

Организационные средства защиты конфиденциальной информации - это комплекс действий и мероприятий, направленный на создание эффективных условий для обеспечения информационной безопасности в органах государственной власти.                                                                           В  зависимости от финансовых возможностей, статуса субъекта, реализующего полномочия собственника в отношении информационных ресурсов, содержания конфиденциальной информации данный комплекс мер может разрабатываться должностными лицами, ответственными за обеспечение информационной безопасности, или подразделениями службы информационной безопасности.

Разнообразные модели и. рекомендации по созданию системы организационных мер защиты информации основываются на универсальном комплексе последовательных мероприятий.^[3]

1.  Формирование службы информационной безопасности или назначение лица (группы лиц), ответственных за обеспечение информационной безопасности в данной структуре органа исполнительной власти. .
2.  Назначение ответственных лиц в выделенных помещениях, на конкретных информационных объектах, а также в помещениях, где хранится конфиденциальная информация, в том числе и на бумажных носителях.
3.  Разработка и утверждение плана мероприятий по обеспечению информационной безопасности (годового, квартального, на месяц, и т.д.). Конкретизация плана по целям, задачам, месту осуществления и времени осуществления мероприятий.^[4]
4.  Обучение, повышение квалификации специалистов по обеспечению защиты конфиденциальной информации, контроль за уровнем их подготовки с учетом возможностей бюджетного финансирования.

Указанные выше планы и мероприятия по организационному обеспечению безопасности информации, безусловно, имеют свою специфику в отношении отдельных видов информационных ресурсов и регламентируются конфиденциальными подзаконными нормативно — правовыми актами, которые в рамках настоящей работы исследоваться не могут. Однако на уровне законов устанавливаются общие направления комплекса мер по обеспечению информационной безопасности, в том числе и организационных.

Комплекс организационных мер обеспечения информационной безопасности создает основу для использования технической защиты конфиденциальной информации - средств, направленных против несанкционированного доступа К данной информации по техническим каналам, против ее искажения, блокирования, уничтожения."⁷

Деятельность по технической защите конфиденциальной информации, подлежащая лицензированию, должна отвечать следующим требованиям: наличие специального образования"³ у лиц, ее осуществляющих, либо наличие у них специальной подготовки; соответствие производственных помещений, производственного, испытательного и контрольно — измерительного оборудования техническим нормам и требованиям, установленным государственными- стандартами РФ и нормативно — методическими документами по технической защите конфиденциальной информации; использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных информационных систем и средств их защиты; использование третьими лицами программ для ЭВМ или баз данных на основании договора с их правообладателями. Лицензирование такой деятельности ранее осуществлялось Гостехкомиссией при Президенте РФ, в настоящее время - Федеральной службой по техническому и экспортному контролю. ФСТЭК правомочна осуществлять плановые и внеплановые проверки в целях выявления нарушений требований по технической защите конфиденциальной информации. Осуществление внеплановых проверок производится на основании заявлений физических и юридических лиц, жалоб на нарушения их прав и законных интересов в связи с невыполнением лицензионных требований и условий для данного вида деятельности. Лицензиат отчитывается перед лицензирующим органом о наличии возможности выполнения данных требований и условий - например, указывает виды организационных мероприятий, представляет систему аудита и контроля информационной безопасности объекта защиты, перечень сведений, подлежащих защите, проект АИС в защищенном варианте, и т.д"⁵. .

Криптографическая защита информаций — это защита информации с помощью шифровальных средств (криптографические средства защиты информации — КСЗИ). Она осуществляется на основании специальной Инструкции^[5], определяющей порядок организации и обеспечения безопасности хранения, обработки, передачи по каналам связи с использованием криптографических средств защиты информации ограниченного доступа, не являющейся государственной тайной. Функции лицензирующего органа, выполнявшиеся ранее ФАПСИ, в настоящее время ФСБ РФ. Следует отметить, что лицензиаты в соответствии с данной инструкцией обязаны обеспечивать комплексность защиты конфиденциальной информации - то есть использовать иные средства защиты, помимо криптографических, в их оптимальном сочетании. Так, например, все сотрудники органов криптографической защиты информации обязаны соблюдать требования по надежному хранению эксплуатационной и технической документации, ключевых документов (ключей шифров), немедленно принимать меры по предотвращению утечки информации в случае утраты, хищения, недостачи КСЗИ, ключей шифров, удостоверений, пропусков, и т.д. В данной Инструкции определен конкретный порядок действий сотрудников органов криптографической защиты информации в вышеуказанных ситуациях риска.

КСЗИ подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации^[6]. Федеральным законом от 27 декабря 2002 г. № 184 — Ф3 «О техническом регулировании»^[7] сертификация определяется как форма подтверждения соответствия объектов технического регулирования требованиям технических регламентов, положениям стандартов или условиям договоров. Следует учесть, что указанное выше Положение о сертификации средств защиты информации касается как КСЗИ, так и технических средств защиты инфор.мации. КСЗИ должны быть только отечественного производства и выполнены на основе алгоритмов, разработанных ранее - ФАПСИ, в настоящее время - ФСБ РФ. Положение устанавливает систему субъектов сертификации: федерального органа по сертификации, центральных органов системы сертификации (возглавляющих систему сертификации однородной продукции), органов по сертификации, испытательных лабораторий и изготовителей. Положение определяет срок действия сертификата - до 5 лет, основания приостановления, аннулирования сертификата, а также функции субъектов системы сертификации. Деятельность по технической и криптографической защите конфиденциальной информации обеспечивается иными видами деятельности, которые подлежат лицензированию.¹²³

Следует обратить внимание, что ст. 22 Закона об информации, распределяет бремя риска, связанного с использованием ^сертифицированных средств защиты информации. Это бремя лежит на собственнике или владельце информационных ресурсов, допустившего их использование при защите ресурсов. Однако бремя использования информации, полученной из несертифицированных систем и средств их обеспечения, лежит на потребителе информации.