Законодательство Российской Федерации в сфере информационной безопасности, защиты государственной тайны и конфиденциальной информации

Объекты информационной безопасности не сосредоточены
в едином нормативном правовом акте. Нормы, регламентирующие их, находятся в значительном числе различных законодательных
и подзаконных актов, что заметно усложняет правоприменительную практику. Для единообразного применения подобные нормы нуждаются в кодификации, результат которой может воплотиться
в Информационном кодексе. Но для создания подобного кодекса изначально необходимо не только определить все объекты информационной безопасности и все источники, в которых они находятся, но и систематизировать их по отраслевой принадлежности
и классифицировать по юридической силе, а также расположить
и те, и другие в соответствии с законодательной иерархией, установленной Конституцией.

Правовое регулирование защиты информации и государственной тайны осуществляется на основе п. 4 ст. 29 и п. «м» ст. 71 Конституции. Данные правоотношения относятся к ведению Российской Федерации, формируются и регулируются государством.

В Федеральном законе от 04.07.1996 № 85-ФЗ «Об участии
в международном информационном обмене» (утратил силу 09.08.2006) было указано: «Информационная безопасность — это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». Данную формулировку в настоящее время можно считать определением информационной безопасности (за неимением другой — законодательной).

Следует отметить, что в Доктрине информационная безопасность России определена, как «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». Эта формулировка не является законодательно-официаль-
ным определением информационной безопасности, однако она имеет право быть использованной в учебном процессе.

Законодательство РФ в сфере информационной безопасности, защиты государственной тайны и конфиденциальной информации состоит из ряда нормативных правовых актов, к числу которых следует относить: Конституцию, ГК, ТК, НК, УК, КоАП, УПК, ГПК, Закон о безопасности 2010 г., Закон о государственной тайне, Закон об информации, Закон о банках и банковской деятельности, Закон о персональных данных и т. д.

Закон Российской Федерации
«О безопасности»

Закон о безопасности 1992 г. закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

В ст. 1 указано: «Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».

К основным объектам безопасности относятся: личность — ее права и свободы, общество — его материальные и духовные ценности, государство — его конституционный строй, суверенитет и территориальная целостность. А основным субъектом обеспечения безопасности является государство, осуществляющее функции
в этой области через органы законодательной, исполнительной
и судебной власти.

«Угроза безопасности — совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства» (ст. 3 Закона о безопасности 1992 г.).

Законодательными основами обеспечения безопасности в Российской Федерации являются Конституция, указанный Закон и другие нормативные акты РФ, регулирующие отношения в области безопасности.

Согласно ст. 2 Закона о безопасности 1992 г. основными принципами обеспечения безопасности являются: соблюдение баланса жизненно важных интересов личности, общества и государства; законность; системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности; приоритет предупредительных мер в целях обеспечения безопасности; взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности.

На смену Закону о безопасности 1992 г. пришел новый Закон
о безопасности 2010 г., в котором уточнены принципы и содержание деятельности по обеспечению безопасности, закреплены основные цели международного сотрудничества в данной области. Расширены функции Президента РФ в соответствующей сфере.
В частности, он определяет основные направления государственной политики в указанной области. Правительство РФ только участвует в этом. Президент РФ утверждает стратегию национальной безопасности. Он не только возглавляет, но и формирует Совет безопасности РФ. Глава страны принимает меры, чтобы защитить граждан от противоправных посягательств, противодействовать терроризму и экстремизму.

Новый Закон о безопасности устанавливает основные принципы и содержание деятельности по обеспечению безопасности государства, общественной и экологической безопасности, безопасности личности, иных видов безопасности, полномочия и функции федеральных органов государственно власти, органов государственной власти субъектов РФ, органов местного самоуправления
в области безопасности, а также статус Совета Безопасности РФ.

В частности, определено, что Совет Безопасности РФ является конституционным совещательным органом, осуществляющим подготовку решений Президента РФ по вопросам обеспечения безопасности, организации обороны, военного строительства, оборонного производства, военно-технического сотрудничества Российской Федерации с иностранными государствами, по иным вопросам, связанным с защитой конституционного строя, суверенитета, независимости и территориальной целостности Российской Федерации, а также по вопросам международного сотрудничества в области обеспечения безопасности. Вступившие в силу решения Совета Безопасности РФ обязательны для исполнения государственными органами и должностными лицами.

Силы обеспечения безопасности включают в себя: Вооруженные Силы РФ, федеральные органы безопасности, органы внутренних дел, внешней разведки, службы обеспечения безопасности средств связи
и информации и другие государственные органы обеспечения безопасности, действующие на основании российского законодательства.

Закон Российской Федерации «О государственной тайне»

Закон о государственной тайне регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Согласно указанному Закону государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Носителями сведений, составляющих государственную тайну, являются материальные объекты, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Допуск к государственной тайне — процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений.

Доступ к сведениям, составляющим государственную тайну, — санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

Гриф секретности — реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства,
в которых они реализованы, а также средства контроля эффективности защиты информации.

Перечень сведений, составляющих государственную тайну, — совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

Законодательство РФ о государственной тайне основывается на Конституции, Законе о безопасности 2010 г., Законе о государственной тайне, а также положениях других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны.

Представляют государственную тайну следующие сведения:

1) в военной области;

2) в области экономики, науки и техники;

3) в области внешней политики и экономики;

4) в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму.

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Президентом РФ. Для осуществления единой государственной политики в области засекречивания сведений Межведомственная комиссия по защите государственной тайны формирует Перечень сведений, отнесенных к государственной тайне.

Законом регламентирован и порядок рассекречивания сведений и их носителей — снятия ранее введенных ограничений на распространение сведений, составляющих государственную тайну,
и на доступ к их носителям. Основаниями для рассекречивания сведений являются: взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими в России государственную тайну; изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной. Закреплены положения о распоряжения сведениями, составляющими государственную тайну.

Финансирование деятельности органов государственной власти, бюджетных предприятий, учреждений и организаций и их структурных подразделений по защите государственной тайны осуществляется за счет средств соответствующих бюджетов, а остальных предприятий, учреждений и организаций — за счет средств, получаемых от их основной деятельности при выполнении работ, связанных с использованием сведений, составляющих государственную тайну.

За обеспечением защиты государственной тайны предусмотрены парламентский, межведомственный и ведомственный контроль, а также прокурорский надзор.

Федеральный закон «Об информации,

информационных технологиях и о защите информации»

27 июля 2006 г. был принят Закон об информации, регулирующий отношения субъектов в области информации.

Согласно ст. 1 названный Закон регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации.

Следует отметить, что положения Закона об информации не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности.

Информация на основании данного Закона может являться объектом публичных, гражданских и иных правовых отношений.

Статьей 2 Закона об информации устанавливаются следующие основные понятия:

- информация — сведения (сообщения, данные) независимо от формы их представления;

- информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

- информационная система — совокупность содержащейся
в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

- обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

- доступ к информации — возможность получения информации и ее использования;

- конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

- электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

- документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством РФ случаях ее материальный носитель;

- электронный документ — документированная информация, представленная в электронной форме, т. е. в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телеком-
муникационным сетям или обработки в информационных системах;

- оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Согласно положениям Закона об информации правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

- свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

- установление ограничений доступа к информации только федеральными законами;

- открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

- обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

- достоверность информации и своевременность ее предоставления;

- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

- недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Таким образом, Закон об информации устанавливает факт того, что информация может свободно использоваться любым лицом
и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект РФ, муниципальное образование.

Обладатель информации исходя из п. 3 ст. 7 Закона об информации, если иное не предусмотрено иными федеральными законами, вправе: разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; использовать информацию, в том числе распространять ее, по своему усмотрению; передавать информацию другим лицам по договору или на ином установленном законом основании; защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами и т. д.

Государственное регулирование в сфере применения информационных технологий предусматривает:

1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных настоящим Законом;

2) развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;

3) создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети Интернет и иных подобных информационно-телекоммуникационных сетей.

В ст. 16 Закона об информации указано, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа, а также реализацию права на доступ к информации.

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен соответствующими федеральными законами. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством РФ о государственной тайне.

Федеральными законами устанавливаются: условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам только в соответствии с федеральными законами и (или) по решению суда.

Федеральный закон «О персональных данных»

В нашем высокотехнологичном мире проблема защиты персональных данных долгое время оставалась без должного законодательного урегулирования. В рамках реформирования информационного законодательства 27 июля 2006 г. был принят Закон о персональных данных, вступивший в силу 25 января 2007 г. Данный Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну. Для достижения этой цели законом вводятся различного рода ограничения на обработку информации персонального характера.

Указанным Законом регулируются отношения, связанные с обработкой персональных данных различными органами, а также лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

В Законе о персональных данных также определяются такие основные понятия, как обработка и распространение персональных данных, распространение и использование, блокирование и уничтожение персональных данных, а также их конфиденциальность.

Рассматриваемый документ состоит из шести глав, включающих в себя 25 статей, в нем определены принципы и условия обработки персональных данных. Устанавливая запрет на обработку персональных данных без согласия субъекта, данный Закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

В Законе о персональных данных выделены также права субъекта персональных данных.

Право субъекта на доступ к персональным данным конкретизирует и развивает правомочие, согласно которому органы государственной власти и органы местного самоуправления, их должностные лица, иные субъекты обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Право на уточнение, блокирование или уничтожение информации во многом характерно для норм трудового законодательства, затрагивающего вопросы защиты персональных данных работников, поскольку связано с возможностью заявления в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия.

Право на получение сведений в отношении оператора персональных данных подразумевает не только наименование последнего, место его расположения и способы деятельности, информацию
о его руководителях, о режиме работы организации, документах, необходимых при оформлении запроса, но также и возможность получения полных и достоверных сведений в отношении используемых оператором формах, методах и средствах работы с персональными данными, перечень обрабатываемых персональных данных субъекта, сроки их обработки. В том числе и сроки хранения, сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Следует помнить, что в обязанности операторов
и третьих лиц, получивших доступ к персональным данным, входит обеспечение их конфиденциальности.

Важнейшей гарантией прав субъекта персональных данных является право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков. Контроль и надзор за обработкой персональных данных возложен на Федеральный орган исполнительной власти, осуществляющей функции по контролю и надзору в сфере информационных технологий. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Обеспечение безопасности персональных данных при их обработке — один из ключевых моментов, обусловивший принятие описываемого нормативного правового акта.

В целях предотвращения и нейтрализации угроз безопасности конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, связанным с возможностью неправомерного или случайного доступа к их персональным данным, законодатель допускает использование оператором практически неограниченных мер, препятствующих уничтожению, изменению, блокированию, копированию, распространению персональных данных, а равно осуществлению иных неправомерных действий
с ними. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке представляется разработчикам настоящего Закона в принятии последним необходимых организационных и технических мер.

Устанавливается ответственность за нарушение Закона о персональных данных, в ст. 24 указывается: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

Таким образом, Закон о персональных данных обеспечивает полноценную защиту прав и свобод человека и гражданина при обработке его персональных данных, а также защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон «Об электронной цифровой подписи»

В Законе об электронной цифровой подписи (утратил силу) определяются правовые условия использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи в документе на бумажном носителе. Под электронной цифровой подписью понимается реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Данный Закон устанавливает условия использования ЭЦП, определяет статус удостоверяющих центров, выдающих сертификаты ключей подписей, а также некоторые особенности использования электронной цифровой подписи.

Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если соответствующими федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование
о составлении такого документа на бумажном носителе.

В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, рассматривается как обмен документами. Право собственности и иные вещные права на материальные носители, содержащие документированную информацию, устанавливаются гражданским законодательством.

Федеральный закон «Об электронной подписи»

6 апреля 2011 г. был принят Закон «Об электронной подписи», регулирующий отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.

Кроме того, данный Закон регулирует использование различных видов электронных подписей, выдачу и использование сертификатов ключа подписи, проверку электронных подписей, оказание услуг удостоверяющих центров, а также аккредитацию удостоверяющих центров.

Отныне граждане и юридические лица могут оформить цифровую подпись — информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию, которую можно будет использовать наравне с традиционной подписью на бумаге (ст. 2). Цифровая подпись предназначена для использования в электронных документах, в частности, при обращении в государственные службы и ведомства.

Устанавливаются презумпции использования отдельных видов электронной подписи в рамках конкретных отношений. Простая электронная подпись может использоваться для подписания электронных сообщений, направляемых в государственный орган, орган местного самоуправления или должностному лицу. При этом актами государственных органов и органов местного самоуправления могут устанавливаться случаи, в которых направляемые им электронные сообщения не могут быть подписаны простой электронной подписью и требуется их подписание другим видом электронной подписи либо составление документа на бумажном носителе. Такие акты должны, однако, приниматься с учетом принципов регулирования отношений в области использования электронных подписей и иных требований закона об использовании отдельных видов подписей.

Усиленная электронная подпись может использоваться во всех видах отношений, если иное не установлено нормативным правовым актом или соглашением участников отношений.

Квалифицированная электронная подпись может использоваться при обращении в форме электронного сообщения физических и юридических лиц в государственные органы и (или) органы местного самоуправления о предоставлении (осуществлении) государственной (муниципальной) услуги (функции), влекущей возникновение, изменение или прекращение прав и обязанностей физических и юридических лиц, при направлении государственными органами и органами местного самоуправления иным лицам электронных документов.

Согласно указанному Закону за выдачу электронных подписей отвечают удостоверяющие центры, работа которых регулируется уполномоченными федеральными органами. Удостоверяющие центры принимают обращения граждан и выдают ключи подписи, ключи проверки подписи, а также сертификаты ключей проверки.

В этих сертификатах указывается информация о владельце электронной подписи. При этом она имеет ограниченный срок действия. Длительность этого срока в названном Законе не уточняется.