4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

ПРАВИЛА ОСВИДЕТЕЛЬСТВОВАНИЯ ЛИЦА, КОТОРОЕ УПРАВЛЯЕТ ТРАНСПОРТНЫМ СРЕДСТВОМ, НА СОСТОЯНИЕ АЛКОГОЛЬНОГО ОПЬЯНЕНИЯ И ОФОРМЛЕНИЯ ЕГО РЕЗУЛЬТАТОВ, НАПРАВЛЕНИЯ УКАЗАННОГО ЛИЦА НА МЕДИЦИНСКОЕ ОСВИДЕТЕЛЬСТВОВАНИЕ НА СОСТОЯНИЕ ОПЬЯНЕНИЯ, МЕДИЦИНСКОГО ОСВИДЕТЕЛЬСТВОВАНИЯ

7.6. Методы и средства информационной поддержки систем обеспечения качества

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию

Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция

Лекция 4 Методика построения корпоративной системы обеспечения информационной безопасности Учебные вопросы:1. Разновидности аналитических работ по оценке защищенности.2. Модель и методика корпоративной системы защиты информации.3. Формирование организационной

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

Понятие информационной безопасности. Понятие информационной безопасности в российской юридической терминологии не является устоявшимся по причине отсутствия единого методологического основания, на базе которого только и могут быть определены его сущность, степень необходимости использования и границы применения. К сожалению, это методологическое основание до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов.

Понятие информационной безопасности получило развитие в Доктрине информационной безопасности Российской Федерации (далее - Доктрина), являющейся совокупностью официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В основу доктринального определения информационной безопасности положено родовое понятие безопасности как "состояния защищенности", закрепленное в Законе РФ "О безопасности". Доктринальная формула объекта защиты соответствует родовому объекту, идентифицированному в Законе РФ "О безопасности" как "жизненно важные интересы". Учитывая роль и значимость Доктрины, следует признать, что дальнейшее использование и развитие понятия информационной безопасности будет происходить в заданном этим документом направлении, хотя оно и наиболее проблемно, поскольку требует ответа на не найденный до сих пор несколькими поколениями ученых вопрос. Этот вопрос, коль скоро речь идет об объекте защиты, в качестве которого полагаются национальные интересы, определяющиеся совокупностью сбалансированных интересов личности, общества и государства, состоит в определении баланса интересов отдельной личности и общества в целом. Ведь то, что отвечает интересам отдельного индивида, не всегда отвечает интересам общества в целом; и наоборот, то, что соответствует интересам всего общества, может явно противоречить интересу отдельного индивида.

Между тем в Доктрине предпринята попытка структурирования национальных интересов Российской Федерации в информационной сфере на основе их четырех составляющих.

Первая составляющая национальных интересов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей в обществе, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Вторая составляющая национальных интересов содержит в себе информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике России, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов объединяет в себе развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

И наконец, четвертую составляющую национальных интересов образуют защита информационных ресурсов от несанкционированного доступа и обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Предполагается, что все четыре составляющие национальных интересов в информационной сфере могут, в свою очередь , рассматриваться как совокупность сбалансированных интересов личности, общества и государства. При этом интересы личности заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность . Интересы общества заключаются в обеспечении интересов личности в информационной сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России. Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Основные задачи по обеспечению информационной безопасности. На основе национальных интересов Российской Федерации в информационной сфере формируются задачи по обеспечению информационной безопасности. Характер данных задач определяется текущим состоянием сферы информационной безопасности с учетом наличия тех либо иных внешних и внутренних угроз конституционным правам и свободам человека и гражданина, интересам общества и государства.

В Доктрине определены следующие основные задачи по обеспечению информационной безопасности:

• разработка основных направлений государственной политики в области обеспечения информационной безопасности России, а также мероприятий и механизмов, связанных с реализацией этой программы;
• развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности России, а также системы противодействия этим угрозам;
• разработка федеральных целевых программ обеспечения информационной безопасности России;
• разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также сертификации этих систем и средств;
• совершенствование нормативно-правовой базы обеспечения информационной безопасности России, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
• установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
• координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, организаций независимо от формы собственности в области обеспечения информационной безопасности России;
• развитие научно-практических основ обеспечения информационной безопасности России с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";
• разработка и создание механизмов формирования и реализации государственной информационной политики России;
• разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
• обеспечение технологической независимости России в важнейших областях информации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружений и военной техники;
• разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
• развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
• создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
• расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
• обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
• создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Представляется, что условием плодотворности решения указанных задач, как, впрочем, и любых иных, является перевод их в плоскость реальных установок, закрепленных нормативными средствами. Пока этого нет, задачи существуют сами по себе, будучи замкнутыми в системе официальных взглядов.

Методы обеспечения информационной безопасности. Методы обеспечения информационной безопасности делятся на общие и частные. Общие методы, в свою очередь , дифференцируются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности согласно Доктрине относятся разработка нормативных правовых актов, регламентирующих отношения в информационной сфере и нормативных методических документов по вопросам обеспечения информационной безопасности России. Основными направлениями этой деятельности, в частности, являются:

• законодательное разграничение полномочий в области обеспечения информационной безопасности между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории России, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в России региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационно безопасности, в частности, являются:

• создание и совершенствование системы обеспечения информационной безопасности России;
• усиление правоприменительной деятельности органов исполнительной власти;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• контроль за действиями персонала в защищенных информационных системах.

Экономические методы обеспечения информационной безопасности включают в себя:

• разработку программ обеспечения информационной безопасности России и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Частные методы обеспечения информационной безопасности России разделяются на методы, использование которых обусловлено спецификой различных сфер жизнедеятельности общества и государства. В каждой из этих сфер имеются свои особенности, связанные со своеобразием объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности. Доктрина не указывает прямо на конкретные частные методы, а оперирует объектами, наиболее подверженными воздействию угроз информационной безопасности, и мерами, которые следовало бы принять в сферах экономики, внутренней и внешней политики, науки и техники, духовной жизни, обороны, в общегосударственных информационных и телекоммуникационных системах, в правоохранительной и судебной сферах в условиях чрезвычайных ситуаций.

ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технологии. Практические правила управлении информационной безопасностью»

Рассмотрим теперь содержание стандарта ИСО/МЭК 17799 . Во введении указывается, что «информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации». Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.

Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасное™:

• - оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
• - юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
• - специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации. После того как определены требования, идет этап выбора и

внедрения мероприятий по управлению информационной безопасностыо, которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.

Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий но управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т. ч. нового программного обеспечения и аппаратуры), чтобы это нс привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с «внешними» специалистами, независимой проверки (аудита) информационной безопасности.

При предоставлении доступа к информационным системам специалистам сторонних организаций необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, г. е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).

Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация активов:

• - информационные (базы данных и файлы данных, системная документация и т. д.);
• - программное обеспечение (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
• - физические акгивы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
• - услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки, для того чтобы учесть следующие типы обработки информации:

• - копирование;
• - хранение;
• - передачу по почте, факсом и электронной почтой;
• - передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
• - уничтожение.

Раздел 6 рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры, и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.

Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что «средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия». Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации риска неавгоризованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации рекомендуется внедрить политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

Название раздела 8 - «Управление передачей данных и операционной деятельностью». В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые «черви», «троянские кони» и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных, регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

Особое внимание уделяется вопросам безопасное™ носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т. д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.

Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например, информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации, прежде чем такая информация будет сделана общедоступной.

Следующий раздел стандарта посвящен вопросам контроля доступа. В нем требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

При использовании парольной аутентификации необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т. д.).

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.

Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.

В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества. Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.

Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.

При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компромегации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.

Десятый раздел стандарта называегся «Разработка и обслуживание систем». Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотрегь подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аугентификацию сообщений, протоколирование действий пользователя.

Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы крипгофафические средства защиты.

Важную роль в процессе защиты информации ифает обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.

Связанным вопросом является противодействие «троянским» программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование про]раммного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы.

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.

Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т. п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.

Заключительный раздел посвящен вопросам соответствия требованиям. В первую очередь, эго касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств па случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.

Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).

Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем, и по ряду направлений даются практические рекомендации.

• В качестве примера можно назвать пароли для входа «под принуждением». Если пользователь вводит такой пароль, система отображает процессобычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным.

Введение

Защита информации в Российской Федерации

Законодательная база, регулирующая отношения в сфере информационной безопасности

Информационное законодательство - основной источник информационного права

Правовые проблемы информационной безопасности

Заключение

Список литературы

Введение

В настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу. Правовые проблемы регулирования информационных отношений при построении информационного общества в России в настоящее время нуждаются в тщательном исследовании, поскольку резко ускоряющиеся информационно-коммуникативные процессы глобализации эволюционируют в качественно новое состояние - режим реального времени. Возникающие в связи с этим новые общественные отношения нуждаются в адекватном правовом регулировании.

Цель работы состоит в том, чтобы рассмотреть источники права, регулирующие отношения в сфере информационной безопасности, разобраться в полноте отражения ими существующих реалий общественной жизни, возможно, увидеть пробелы в законодательстве и предложить пути их решения.

Исходя из целей, были поставлены следующие задачи:

изучить понятие информационной безопасности;

рассмотреть нормы права, регулирующие общественные отношения в сфере информационной безопасности;

отразить степень соответствия существующих норм реально имеющимся отношениям;

сформулировать свои предложения по совершенствованию законодательства.

1. Защита информации в Российской Федерации

В практическом смысле, понятном каждому, определение информации дал С.И. Ожегов:

Информация - это:

) сведения об окружающем мире и протекающих в нем процессах;

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения. На этом фоне все более актуальный характер приобретает в последние десятилетия и особенно в настоящее время задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач. Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания (в частности разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

В настоящее время большие изменения происходят в методологии защиты информации. Осуществляется переход от дорогостоящего скрытия заведомо завышенного объема данных к гарантированной защите принципиально важных, «узловых точек».

2. Законодательная база, регулирующая отношения в сфере информационной безопасности

Государственная политика в Российской Федерации по обеспечению информационной безопасности реализуется через правотворчество, правоприменение и участие государства в развитии правосознания и правовой культуры граждан.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Методические указания.

За последние годы российское законодательство существенно обновилось. Особенно это коснулось тех сфер правового регулирования, где приняты кодифицированные акты, в том числе Гражданский, Налоговый, Бюджетный, Семейный, Уголовный, Водный и Лесной, Земельный, Трудовой, Гражданский процессуальный и Уголовно-процессуальный кодексы, Кодекс об административных правонарушениях. С их принятием появились реальные условия для проведения полноценной систематизации законодательства и издания Свода законов России.

При формировании законодательства в информационной сфере в самостоятельную отрасль, формирующееся законодательство в сфере обеспечения информационной безопасности является подотраслью информационного законодательства, а при его кодификации в случае принятия Информационного кодекса Российской Федерации может стать его составной частью. Сегодня же, признавая информационное право в качестве отрасли российского права, следует учитывать, что ему не соответствует в законодательстве информационное законодательство в качестве отрасли российского законодательства и его формирование является делом трудным, рассчитанным, по-видимому, на долгие годы.

. Информационное законодательство - основной источник информационного права

Вопросы, связанные с информационным законодательством требуют отражения внимания государства к ряду направлений деятельности в области информатизации. Можно отметить из них наиболее очевидные.

Формирование информационных ресурсов и развитие информационной деятельности - деятельности, непосредственно связанной со сбором, хранением, обработкой, передачей информации в самых разных организационных формах (документированная, звуковая, световая, цифровая и т.п.); деятельности по созданию средств обработки информации в электронном виде - создание программ, программного обеспечения и иных средств работы с информацией и ее транспортировкой (коммуникацией) по каналам связи, сетям в соответствии с типами организации информационных систем и сетей на основе современных технических и технологических достижений; управление качеством информационных технологий (достоверность, полнота, неуязвимость передаваемой информации и создание средств ее защиты в системах информационной безопасности); организация рынка информационных технологий. Все эти направления могут быть объединены в блок формирования специальной отрасли информатики, объединяющей проблемы создания, производства и использования средств информатизации, информационных технологий в широком понимании.

Вторым крупным блоком в системе государственного управления является деятельность по организации применения средств информатизации и информационных ресурсов в самых разных сферах социального развития.

Здесь сосредоточены проблемы информатизации экономики, экологии, здравоохранения, любых отраслей производства, науки, образования, культурно-просветительской деятельности, формирования и использования соответствующих видов и форм информационных ресурсов. Сюда же входят проблемы региональной и отраслевой информатизации и формирование специальных отраслей государственного управления в данной сфере.

Это направление охватывает процессы информатизации деятельности органов государственной власти и местного самоуправления и их взаимодействия. Деятельность органов государственной власти - законодательных, исполнительных, правоохранительных - только и может быть продуктивной и эффективной при условии применения информационных технологий в работе аппарата каждого органа и в системе взаимодействия различных органов между собой.

Четвертый блок в сфере государственного управления в области информационных технологий составляет деятельность каждого из ведомств и государственных организаций, которые самостоятельно и с учетом своих потребностей обеспечивают процессы информационного обеспечения своей деятельности. При отсутствии должной координации на уровне федерации это направление деятельности подвержено местничеству и заканчивается неоправданной тратой средств, несовместимостью средств информатизации, в том числе и информационных технологий в едином пространстве страны.

Поддержка процессов информатизации во всех секторах хозяйства и культуры страны, во всех сферах социального развития и жизнеобеспечения; привлечение населения к новым методам работы с информацией на основе воспитания информационной культуры, переподготовки кадров и массового обучения молодого поколения работе в новых условиях. Здесь сосредоточены организационно-правовые проблемы обеспечения реализации права на информацию различных субъектов, разрешение конфликтов в области формирования и использования информационных технологий.

Все обозначенные направления государственного управления в области информационных технологий реализуются на основе создания и применения соответствующих законов и иных правовых актов, введения обязательных государственных стандартов, методик и правил.

4. Правовые проблемы информационной безопасности

Законом РФ «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства.

Можно выделить три основных направления правового обеспечения информационной безопасности.

Первое направление. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения информации.

Второе направление. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.

Третье направление. Защита информационных прав и свобод личности (право на производство, распространение, поиск, получение, передачу и использование информации; права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии) в информационной сфере в условиях информатизации.

Режим защиты информации устанавливается:

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом;

в отношении персональных данных.

В целом вопросы этого направления правового обеспечения информационной безопасности условно разделяются на защиту открытой информации и защиту информации ограниченного доступа.

Защита открытой информации осуществляется нормами института документированной информации. Защита информации ограниченного доступа регулируются нормами: института государственной тайны, института коммерческой тайны, института персональных данных, а также нормами защиты других видов тайн.

Объекты правоотношений в области информационной безопасности - это духовность, нравственность и интеллектуальность личности и общества, права и свободы личности в информационной сфере; демократический строй, знания и духовные ценности общества; конституционный строй, суверенитет и территориальная целостность государства.

Субъектами правоотношений в области информационной безопасности выступают личность, государство, органы законодательной, исполнительной и судебных властей, система обеспечения безопасности, граждане.

Ответственность за правонарушения в информационной сфере устанавливается гражданско-правовая, административно-правовая, уголовно-правовая ответственность.

Основной проблемой в сфере информационной безопасности является отсутствие на настоящий момент кодифицированного законодательного свода, объединившего бы в себе все разбросанные по российскому законодательству статьи, посвященные информационной безопасности и информационному праву в целом, как отрасли права.

Заключение

информационная безопасность законодательный правовой

Информационная безопасность общества, государства характеризуется степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и др.

Правовая наука пока не может остановиться на какой-либо определенной модели в области регулирования и защиты интеллектуальной собственности и особенно исключительных прав создателей информационного и технологического продукта. Тем не менее, закон должен откликаться на коллизии в этой среде. Важное направление работы и области создания адекватной инфраструктуры в сфере информатики формируется вокруг создания и использования таких объектов, как информационные технологии и вычислительная техника.

Информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.

В заключении необходимо сказать, что информационная безопасность России является базовой составляющей национальной безопасности России. Она напрямую влияет на эффективную работу органов государственной власти, является неотъемлемым фактором в борьбе с организованной преступностью и мировым терроризмом.

Внедрение современных технологий и законодательная основа защиты информации должна стать мощным звеном в укреплении вертикали власти в России и ее становлении как экономически и политически сильного государства на мировой арене.

Список литературы

1.Конституция Российской Федерации принята всенародным голосованием 12.12.1993 г.

Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ (ред. от 08.12.2011)

Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»

4.Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информации в информационных системах. М. 2007.

6.Ожегов С.И. Словарь русского языка. М., 1978.

В условиях современного информационного общества вопросы информационной безопасности составляют особо важную часть правового регулирования общественных отношений. Не вызывает сомнения тот факт, что на обеспечение информационной безопасности направлены как меры публичного воздействия, так и действия частных субъектов – участников информационных правоотношений . Кроме того, информационная безопасность является институтом, важность которого подчеркивается значительным количеством и разнообразием правоотношений в сфере обеспечения информационной безопасности личности, общества и государства. Однако именно подобное разнообразие становится причиной проблем в толковании и применении механизмов информационной безопасности.

Возрастание роли информации, информационных ресурсов и технологий становится стратегическим, что выводит вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности, безопасности государства, общества и личности. Являясь частью национальной безопасности, информационная безопасность оказывает существенное влияние на состояние защищенности интересов Российской Федерации в экономической, международной, общественной, федеральной, оборонной и других сферах жизни общества .

Однако нельзя забывать, что институт информационной безопасности в силу своей природы направлен на поиск эффективных механизмов защиты прав и свобод личности в информационной сфере. Активная вовлеченность граждан в информационные правоотношения обусловливает повышенное внимание не только к сфере защиты их персональных данных в онлайн-сфере, но и в целом к безопасному использованию технологий при каждодневном взаимодействии .

Для оперативного разрешения возникающих проблем и пробелов правового регулирования появляются новые нормативно-правовые источники и, соответственно, новые механизмы обеспечения информационной безопасности. В частности, в качестве одной из основных мер применяется совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности. Данная мера реализуется посредством повышения уровня защищенности государственных, корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности. Тенденция к приоритизации информационной безопасности систем прослеживается не только в России, но и в зарубежных странах. Представляется, что обеспечение безопасности объектов критической информационной инфраструктуры и информационных систем является недостаточным для реализации прав и законных интересов личности в информационной сфере. Обеспечение безопасности несовершеннолетних, предоставление доступа к информации, реализация прав на свободу слова и тайну связи не охватывается сферой действия мер методологической и технологической направленности и требует иных принципов, иного регулирования и иной терминологии, позволяющей достоверно отделить интересы личности, общества и государства в информационной сфере.

Дискуссия о содержании термина "информационная безопасность личности" сопутствует обсуждениям более общего и широкого понятия "информационная безопасность" и его отличий от термина "кибербезопасность". Кроме того, в настоящее время среди исследователей нет единства в определении круга объектов и отношений, регламентируемых институтом информационной безопасности.

Относительно соотношения терминов "кибербезопасность" и "информационная безопасность" стоит упомянуть подход, согласно которому предлагается использовать термин "кибербезопасность" в отношении всех процессов создания, функционирования и эволюции объектов, функционирующих с участием программируемых средств с целью выявления источников опасности, которые могут нанести им ущерб, и формирования нормативных актов, регламентирующих термины, требования, правила, рекомендации и методики, выполнение которых должно гарантировать защищенность киберобъектов от всех известных и изученных источников киберопасности.

Также в российской юридической науке существует вполне обоснованная теория, что термин "информационная безопасность" в настоящее время некорректен в силу отсутствия всеобъемлющего определения информации и ее свойств. Вместо него предлагается использовать термин "информационная защищенность", описываемый как защита конфиденциальности, целостности и доступности информации .

Однако существующие в настоящее время нормативные правовые источники позволяют не согласиться с такой концепцией, так как информационная безопасность регламентируется уже как самостоятельный институт, поэтому дальнейшее развитие терминологии представляется возможным внутри данного института или синхронно с ним в рамках отрасли информационного права. Более того, в рамках настоящей статьи защита информации также рассматривается как частный случай обеспечения информационной безопасности, так как последняя относится не только к ликвидации угроз информации, но и к сфере обеспечения более общих интересов личности, общества и государства.

Относительно классификации отношений, входящих в сферу регламентации информационной безопасности, в научной литературе встречается подход, согласно которому информационная безопасность подразделяется на информационную безопасность в социальной среде, нацеленную на поддержание адекватного объективной картине мира общественного сознания, и информационную безопасность в технической сфере, направленную в свою очередь на предотвращение воздействия на различные технические средства . Такая классификация представляется неполной, так как не учитывает сферу реализации гражданином своих прав в информационной среде, ограничивая социальную составляющую информационной безопасности только сферой правового регулирования деятельности СМИ.

Кроме того, существует классификация, согласно которой информационная безопасность может быть разделена на два самостоятельных направления: безопасность информации и безопасность от информации. Под безопасностью информации подразумевается защита информации, а под безопасностью от информации – защита от опасной информации . Данный подход также является недостаточно универсальным, поскольку не отражает полный спектр информационных правоотношений.

Первой работой по классификации информационных отношений в рамках правового обеспечения информационной безопасности стала работа В.Н. Лопатина – Концепция развития законодательства в сфере обеспечения информационной безопасности, принятая в Государственной Думе 2-го созыва , которая получила дальнейшее развитие как в работах этого автора, так и при принятии соответствующих законов (например, Федерального закона от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию").

В данной связи представляется более предпочтительным выделение трех аспектов информационной безопасности: информационно-технического (развитие информационной инфраструктуры, средств передачи, обработки, хранения информации, методов защиты информации и пр.); организационно-правового (управление информационными ресурсами, повышение эффективности их использования, развитие информационных услуг, регуляция процессов в информационной сфере и пр.); психолого-педагогического (формирование духовно-нравственных ценностей, развитие личностных функций саморегуляции и пр.) . Подобная классификация позволяет в полной мере отразить подходы, заложенные в текущем законодательстве Российской Федерации в сфере обеспечения информационной безопасности личности, общества и государства.

Доктрина информационной безопасности Российской Федерации 2016 г. является, как указано в ст. 1, системой "официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере" , согласно которым, как представляется, впоследствии строится система нормативного правового регулирования информационной безопасности в России.

Доктрина, как указано в ст. 5, основывается на положениях Стратегии национальной безопасности Российской Федерации , а также иных стратегических документов, к которым можно причислить также Стратегию научно-технологического развития Российской Федерации , многочисленные соглашения между Российской Федерацией и иными странами о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности , а также ряд указов Президента РФ . Совокупность данных актов и соответствующих федеральных законов позволяет сделать вывод о существовании подробной регламентации института информационной безопасности личности, определения его взаимосвязи с информационной безопасностью государства и общества.

Однако более детальный анализ указанных источников позволяет выделить ряд противоречий. Так, Доктрина информационной безопасности Российской Федерации ставит потребности личности на первое место при перечислении национальных интересов Российской Федерации в информационной сфере, что дает основания говорить о первоочередном характере защиты прав и интересов личности. Кроме того, информационная безопасность Российской Федерации основывается в первую очередь на состоянии защищенности личности, "…при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан".

Однако в то же время, например, в ст. 6 Стратегии национальной безопасности Российской Федерации содержатся положения, определяющие иную приоритетность: "Национальная безопасность включает в себя оборону страны и все виды безопасности, предусмотренные Конституцией РФ и законодательством РФ, прежде всего государственную, общественную, информационную, экологическую, экономическую, транспортную, энергетическую безопасность, безопасность личности".

Подобные несоответствия встречаются также в положениях государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" , определяющей Доктрину информационной безопасности Российской Федерации в качестве документа, приоритизирующего стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий, вместо обеспечения защиты прав и интересов граждан в информационной сфере. С учетом этого информационная безопасность рассматривается в рамках данной программы как качественная характеристика построения технологических систем и сетей, что представляется излишне узким толкованием данного института. Обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры и телекоммуникационных систем хоть и является необходимым инструментарием для обеспечения информационной безопасности личности, общества и государства, однако нетождественно ему.

Еще большие противоречия в определении содержания института информационной безопасности личности можно обнаружить при анализе более специальных нормативных документов. С одной стороны, Соглашение об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества не содержит никаких отсылок или упоминаний прав и интересов личности или граждан. Данный документ регламентирует исключительно аспекты определения режима передаваемой электронными сообщениями информации, такие, как защита от вирусов, от несанкционированного доступа к средствам вычислительной техники и телекоммуникационному оборудованию, обеспечение сетевой безопасности, анализ защищенности систем и т.д.

С другой стороны, Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики, Правительством Федеративной Республики Бразилии, Правительством Китайской Народной Республики, а также Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности прямо устанавливают в тексте, что международное сотрудничество между сторонами по вопросам обеспечения информационной безопасности строится на признании принципа баланса между обеспечением безопасности и соблюдением прав человека в области использования информационно-коммуникационных технологий, а также на признании роли информационной безопасности в обеспечении прав и основных свобод человека и гражданина.

Очевидно, что на уровне международно-правового сотрудничества вопросы разграничения информационной безопасности в целом, информационной безопасности государства, а также информационной безопасности личности решены недостаточно. Кроме того, проблемы детальной регламентации можно выявить при анализе текущего информационного законодательства.

Так, Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" , являющийся базовым в информационно-правовой сфере, не содержит какой-либо регламентации информационной безопасности личности. Положения, касающиеся отдельных аспектов регулирования информационной безопасности, относятся к обеспечению безопасности Российской Федерации при создании и эксплуатации информационных систем, защите информации данных систем, выполнению организационных и технических мер по обеспечению безопасности персональных данных. Очевидно, что указанные положения имеют также сугубо технико-методологическую направленность и определяют отдельные меры по предоставлению или ограничению доступа к отдельным видам информации. Кроме того, в законе не содержится определение информационной безопасности или же отсылки к иным актам, содержащим такое определение. Однако, помимо указанных выше сфер технической регламентации информационной безопасности, законом проводится отсылка к отдельному институту информационной безопасности детей, имеющему уже более широкое толкование, поскольку защита детей проводится в целях предотвращения вреда их здоровью и моральному развитию .

Будет справедливым вывод о том, что в современных нормативных правовых актах не содержится достаточной регламентации института информационной безопасности личности, а также критериев его разграничения с информационной безопасностью в общем широком значении, употребляемом в основополагающих стратегических документах. Более того, некоторые российские исследователи толкуют такой стратегический документ как Доктрину информационной безопасности в качестве инструмента для "незамедлительного и постоянного противодействия деструктивной деятельности иностранных элементов в информационной сфере" , что также не позволяет в полной мере определить место личности в системе мер обеспечения информационной безопасности. Представляется, что необходимо создать четкий терминологический аппарат для корректного регулирования различных отношений. Например, используя указанную выше классификацию, ввести в оборот термин "информационно-техническая безопасность" или, наоборот, нормативно закрепить внутри института информационной безопасности понятие кибербезопасности.

Кроме того, подобный узкий подход к пониманию информационной безопасности практически полностью исключает гарантии обеспечения одного из базовых конституционных прав личности – права на информацию, которое, несомненно, входит в круг интересов, защищаемых как информационная безопасность личности. При реализации права на информацию в современных условиях речь идет уже не о максимально широком доступе к информации, а о качественном характере доступа к информации, отвечающей определенным критериям (не просто право на информацию, а право на объективную, достоверную, безопасную информацию) с учетом национальных и культурных традиций России, а также защиты от существующих информационных угроз.

В настоящее время в нормативных правовых актах и российской доктрине не существует однозначной позиции относительного соотношения терминов "информационная безопасность личности" и "информационная безопасность". Отсутствие единого терминологического аппарата приводит к многочисленным проблемам, коллизиям и в конечном итоге к недостаточной правовой защите личности в информационной сфере.

Существующие подходы к толкованию информационной безопасности в узком смысле являются некорректными и не отвечают основополагающим принципам и правам информационного права. В частности, приравнивание института информационной безопасности к реализации мер по защите информации, укреплению национального суверенитета в информационной сфере или обеспечению функционирования информационно-телекоммуникационных систем представляется слишком ограничительным и создающим барьеры для дальнейшего развития всех составных частей информационной безопасности.

Необходимо создание развитого терминологического аппарата в сфере информационной безопасности, который помог бы разграничить безопасность личности от информационной безопасности в целом, прекратить смешение терминов "информационная безопасность", "кибербезопасность" и т.д., а также разрешить проблемы, созданные при переводе иностранных терминов в российских нормативных и доктринальных источниках.

Литература

1. Diehl Eric. Ten Laws for Security / Eric Diehl // Springer International Publishing Switzerland. 2016. ISBN 978-3-319-42641-9.

2. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / В.Н. Лопатин. СПб., 2000. 428 с.

3. Лопатин В.Н. Информационная безопасность России: Автореф. дис. … докт. юрид. наук / В.Н. Лопатин. СПб., 2000.

4. Hongliang C. (2016). Protecting oneself online / C. Hongliang, E. Beaudoin Christopher & H. Traci // Journalism and Mass Communication Quarterly, 93(2), 409 – 429. doi: http://dx.doi.org/10.1177/1077699016640224.

5. Алпеев А.С. Терминология безопасности: кибербезопасность, информационная безопасность / А.С. Алпеев // Вопросы кибербезопасности. 2014. N 5(8).

6. Захаров М.Ю. Информационная безопасность – основополагающий элемент безопасности социального управления / М.Ю. Захаров // Вестник Университета (Государственный университет управления). 2012. N 9-1. С. 112 – 115.

7. Куликова Е.А. Информационная безопасность как залог национальной безопасности / Е.А. Куликова // Сборники конференций НИЦ "Социосфера". 2015. N 58. С. 76 – 79.

8. Лызь Н.А. Информационно-психологическая безопасность в системах безопасности человека и информационной безопасности государства / Н.А. Лызь, Г.Е. Веселов, А.Е. Лызь // Известия ЮФУ. Технические науки. 2014. N 8(157). С. 58 – 66.

9. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности / В.Н. Лопатин. М.: Издание Государственной Думы РФ, 1998. 159 с.

Распоряжение Правительства Российской Федерации от 4 июля 2017 г. N 1424-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики о сотрудничестве в области обеспечения международной информационной безопасности" // Официальный интернет-портал правовой информации (www.pravo.gov.ru), 06.07.2017 (N 0001201707060020); распоряжение Правительства Российской Федерации от 15 ноября 2013 г. N 2120-р "О подписании Соглашения о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности" // Собрание законодательства Российской Федерации. 2013. N 47. Ст. 6135; распоряжение Правительства Российской Федерации от 13 мая 2010 г. N 721-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Федеративной Республики Бразилия о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности" // Собрание законодательства Российской Федерации. 2010. N 21. Ст. 2628.

Указ Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" // Собрание законодательства Российской Федерации. 2015. N 21. Ст. 3092; Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства Российской Федерации. 2008. N 12. Ст. 1110.

Постановление Правительства Российской Федерации от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" // Собрание законодательства Российской Федерации. 2014. N 18 (часть II). Ст. 2159.

Распоряжение Правительства Российской Федерации от 12 ноября 2010 г. N 1976-р "О подписании Соглашения об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества" // Собрание законодательства Российской Федерации. 2010. N 47. Ст. 6182.