Российское законодательство по информационной безопасности и безопасности сетей

Введение

Сегодня мы все чаще слышим о том, что в странах постоянно случаются какие-либо инциденты информационной безопасности. И пусть кажется, что инциденты случаются где-то далеко, они вполне могут затронуть каждого из нас. Стоить отметить, что нет ни одной сферы общественной деятельности, которая не была бы интересна хакерам.
В связи с чем задачи в сфере информационной безопасности в России являются только частью общемировых задач и проблем. Общее соотношение угроз в мире показывает, что Россия находится на втором месте по количеству кибертеррористических актов и хакерских атак. Однако если в США совершается 41% всех хакерских атак в мире, в России – не более 10%. Сложившаяся ситуация дает возможность воспользоваться относительно комфортным режимом и направить силы на повышение уровня защиты от предполагаемых угроз.
Актуальность данной работы состоит в том, что современные проблемы защиты государственной тайны в настоящее время находят свое отражение как в стратегических, так и доктринальных документах государства, которые объясняют систему официальных взглядов на обеспечение национальной безопасности. Так, Доктрина информационной безопасности РФ указывает на защиту информации, которая содержит сведения, составляющие государственную тайну.
Кроме того, вопрос информационной безопасности сегодня остро стоит не только на уровне государства и различных организаций, но и отдельных граждан, каждого из нас. В связи с чем наиболее важным видится обеспечение конституционных прав граждан на получение достоверной информации, на ее непосредственное использование в интересах осуществления законной деятельности учреждений, а также, безусловно, на защиту государственной, коммерческой, семейной, личной и других видов тайн.
Безусловно, обеспечение информационной безопасности является одной из первостепенных задач каждого современного предприятия или организации. Стабильная защита информационной системы предприятия в лице отдела информационной безопасности - это залог надежной и безопасной среды для деятельности. Повреждение, утечка, неимение и кража информации - это всегда убытки для каждой компании.
Следует особо отметить, что в большинстве сфер достижение целей информационной безопасности сегодня сопряжено с существенными материальными затратами, поэтому в условиях ограниченности ресурсов это возможно только с помощью научно-обоснованной разработки и непосредственного осуществления комплекса взаимосвязанных организационно-технических мер.
Объектом исследования выступает информационная безопасность. Предметом исследования являются российское законодательство по информационной безопасности и безопасности сетей.
Целью данной работы является изучение российского законодательства по информационной безопасности и безопасности сетей. Поставленная цель предполагает решение следующих задач:
изучить понятие и основные задачи информационной безопасности;
рассмотреть российское законодательство в сфере информационной безопасности и безопасности сетей;
проанализировать основные проблемы законодательства и угрозы информационной безопасности России и пути их решения.
В последние годы данной проблеме исследователями уделяется достаточно серьезное внимание. Так, теоретическая и методологическая основа данной работы базируется на законодательных и нормативно-правовых актов федерального уровня, а также на научных статьях в сфере информационной безопасности и государственной тайны, представленных в периодических печатных и электронных изданиях.
1 Понятие и задачи информационной безопасности
Сегодня в России, как и в других государствах, можно наблюдать, что роль информационной сферы возрастает. Соответственно, происходит переосмысление ее значения как одного из главных современных факторов жизни, который непосредственно оказывает существенное влияние на все виды национальной безопасности, что, в свою очередь, способствует динамичному развитию процессов информатизации.
Поэтому в современных условиях одной из основных задач как общества, так и государства является именно защита информационного пространства. Как результат, информационная безопасность приобретает все большую значимость в общей системе обеспечения национальной безопасности страны в целом.
Следует подчеркнуть, что информационная безопасность является сложным системным и многоуровневым явлением, состояние и перспективы развития которого напрямую зависит от воздействия как внешних, так и внутренних факторов.
Впервые такое понятие как «информационная безопасность» в национальном законодательстве и политических документах появилось в статье 2 Закона РФ от 05.03.1992 № 2446-1 «О безопасности», в котором «информационная безопасность» была выделена как одна из составляющих безопасности Российской Федерации.
Прежде всего, необходимо дать определения основным понятиям и терминам, непосредственно касающихся информационной безопасности. Если говорить кратко, то информационная безопасность - это защита конфиденциальности, целостности, а также доступности информации, которые являются составляющими ИБ (рисунок 1).

Рисунок 1 – Составляющие информационной безопасности
При этом конфиденциальность предполагает доступ к информационным ресурсам только авторизованным пользователям. Целостность – это неизменность информации в процессе ее непосредственной передачи или хранения. Доступность представляет собой свойство информационных ресурсов, которое определяет возможность получения и использования авторизованными пользователями информационных данных в конкретный момент времени.
Далее, перейдем к конкретным существующим трактовкам понятия «информационная безопасность». Здесь необходимо подчеркнуть, что существуют разные трактовки понятия «информационная безопасность». Так, определение категории «информационная безопасность» было закреплено формально и в ряде актов разного уровня, в частности:
информационная безопасность Российской Федерации - это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства (п. «в» ст. 3 Доктрины информационной безопасности Российской Федерации 2016 год).
Последнее определение разработано, несомненно, в духе Стратегии национальной безопасности Российской Федерации 2015 года. Информационная безопасность рассматривается здесь не только как самостоятельное направление, но и как ключевая составляющая обеспечения комплексной безопасности других сфер жизнедеятельности личности, общества и государства.
Анализируя трактовки понятия «информационная безопасность», необходимо обратить внимание на то, что основой формулой всех определений (как нормативных, так и научных) является «состояние защищенности», так как именно такой подход выражает традицию российской научной мысли в непосредственном понимании категории «безопасность»

.
То есть, как можно заметить, информационная безопасность состоит из определенного баланса интересов личности, общества и государства. Для достижения такого баланса необходимо, чтобы каждый конкретный индивид и общество в целом были ограждены от опасного информационного воздействия со стороны государства. Государство, в свою очередь, имеет право защищать своих граждан от вредного информационного воздействия из вне.
Таким образом, сегодня как само понятие «информационная безопасность», так и содержание обеспечения информационной безопасности требуют четкого понимания того, как законодатель представляет национальные интересы и угрозы в сфере информационной безопасности России. Ниже рассмотрим задачи информационной безопасности подробнее.
Целостность данных (data integrity) предполагает защиту от сбоев, которые ведут к потере информации, и защиту от незаконного создания или уничтожениях данных. Стоит отметить, что в тех случаях, когда информация является непосредственным «руководством к действию», именно целостность оказывается наиболее важным аспектом.
Можно привести следующий пример нарушения целостности данных: повреждение бухгалтерских баз, что в дальнейшем, безусловно, повлечет за собой негативные последствия для компании.
Далее, следующая задача – это конфиденциальность информации (confidentiality) представляющая собой защиту от незаконного разглашения, утечки, повреждения информации.
Доступность информации для пользователей (availability) состоит в том, чтобы за приемлемое время получить требуемую информационную услугу. Другими словами, это защита от отказов в обслуживании или услугах, которые могут быть вызваны как вирусной активностью, так и действиями злоумышленников.
Можно сделать вывод, что информация для ее защиты должна быть:
достаточно защищена от взлома извне;
оперирована достаточно образованным лицом;
недоступна для неуполномоченных лиц.


2 Российское законодательство в сфере информационной безопасности и безопасности сетей
Многие компании России в эпоху развития информационных технологий и внедрения инноваций подвержены угрозам безопасности информационных ресурсов. Физические и информационные ресурсы должны быть защищены от внутренних и внешних угроз.
Под угрозой информационной безопасности понимается совокупность факторов и условий, создающих опасность нарушения информационной безопасности, которая вызывает или способна вызвать негативные последствия (ущерб/вред). На рисунке 2 представлены угрозы информационной безопасности по их функциональной направленности.

Рисунок 2 - Угрозы ИБ по их функциональной направленности
Результатом таких угроз могут стать как материальные убытки, так и в целом испорченная репутация компании. Кроме этого, угрозы, которым подвержены предприятия могут быть, как преднамеренными, так и непреднамеренными. Можно рассматривать следующую классификацию угроз информационной безопасности со стороны злоумышленника:
несанкционированный доступ - получение доступа к информационному ресурсу, на который у злоумышленника нет прав. Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации;
человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений.
Однако, кроме всего прочего, информационная безопасность является и неотъемлемым составным элементом общей и национальной безопасности, содержание которой основывается, в первую очередь, на Конституции Российской Федерации, а также, безусловно, на основных базовых документах:
Федеральный закон «О безопасности»;
«Стратегия национальной безопасности Российской Федерации до 2020 года»;
Доктрина информационной безопасности Российской Федерации.
Следует обратить особое внимание на то, что национальные интересы России, в рамках национальной безопасности, в информационной сфере заключаются в соблюдении конституционных прав и свобод в сфере получения и пользования информации, а также в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.
Подчеркнем, что государственная тайна является одним из инструментом обеспечения безопасности государства, поэтому важным элементом выступает ее законодательное регулирование. Однако государственная тайна в то же время является непростым и весьма противоречивым социально-правовым явлением. Тайна в качестве объекта защиты государства выступает в роли политико-правовой категории. Это часть информации, изъятая из свободного оборота.
Согласно статьи 8 Закона «О государственной тайне» [12] устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно". Важно то, что применение перечисленных грифов секретности для засекречивания сведений, которые не относятся к государственной тайне, не допускается.
Можно сказать, что законодательство о государственной тайне выступает своеобразной границей между закрытостью информации, которая гарантирует государственную безопасность, с одной стороны, и свободой доступа к открытой информации, с другой. При этом рамки, принципы, а также уровень законодательного закрепления данного института (государственной тайны) – это показатели развитости правовой системы государства.
Отметим, что российское законодательство в области информационной безопасности и безопасности сетей развивается в следующих направлениях:
закрепление общих положений о доступе к информации, конфиденциальности и ее защите. При этом ФЗ «Об информации, информационных технологиях и защите информации» выступает здесь базовым актом;
определение правового режима отдельных видов информации;
административное регулирование деятельности по защите информации, а также информации, которая связана с оборотом криптографических средств;
определение порядка осуществления оперативно-розыскных мероприятий в информационной сфере;

борьба с преступлениями в области информационной безопасности с помощью закрепления в Уголовном кодексе РФ соответствующих составов преступлений.
Необходимо отметить, что российская законодательная база в области информационной безопасности и безопасности сетей включает Федеральные законы, Указы Президента РФ, а также постановления Правительства РФ и межведомственные руководящие документы и стандарты