Ii. информационная сфера как объект правового регулирования
Курс лекций: «Правовые аспекты защиты информации»
I. ВВЕДЕНИЕ
Актуальность вопросов защиты информации особенно возросла в настоящее время в связи со стремительным повышением роли и значения информации в развитии современного общества вообще и в экономике в частности. Информация в настоящее время стала стержнем развития экономики. В ведущих индустриальных странах мира большая часть служащих занята обработкой информации (в США и Японии, например, этот показатель составляет 75-80%).
Одним из основных механизмов формирования информационного общества является информатизация, которая представляет собой организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов с применением современных информационных технологий.
Федеральный закон «Об информации, информационных технологиях и о защите информации» (27.07.2006г) определяет понятийный аппарат, связанный с информационной сферой, правовой статус различных категорий информации, закрепляет положение о регулировании создания и эксплуатации информационных систем, общие требования к использованию информационно-телекоммуникационных сетей, устанавливает принципы регулирования общественных отношений, связанных с использованием информации, формирует обязанности государства в сфере информации и информатизации. Государственная политика в этой сфере должна быть направлена на создание условий для эффективного и качественного информационного обеспечения стратегических и оперативных задач социального и экономического развития Российской Федерации.
Головным органом по политике информатизации в России является Министерство связи и массовых коммуникаций РФ (мин. Никифоров Н.А..). На законодательном уровне головным комитетом по этим проблемам является Комитет Государственной Думы Федерального Собрания РФ по информационной политике и связи. Головной исполнитель по проблемам формирования информационного законодательства – Научно-технический центр «Информсистема». Научно-методические основы развития информационного права разрабатываются также в отделении «Информатика и право» Международной академии информатизации.(Конституция Российской Федерации от 25 декабря 1993 года, с изменениями от 30 декабря 2008 годаПринята всенародным голосованием 12 декабря 1993 г.)
Современное информационное общество может формироваться и эффективно развиваться только в условиях правового государства, основанного на безусловном применении закона. Роль права в жизни информационного общества становится определяющей, все его члены должны исполнять нормы закона и разрешать возникающие споры цивилизованным способом на основе закона.
Повышение роли информации в совершенствовании государства и общества, развитие СМИ и информационных ресурсов в едином информационном пространстве, основанном на широком применении современных информационных технологий, средств вычислительной техники, связи телекоммуникаций, привело как к трансформации сложившихся, традиционных для права социальных норм и отношений, так, и к появлению новых отношений, отражающих особые условия и правила поведения субъектов в информационной сфере, - информационных отношений. В связи с этим активно формируется и развивается новая комплексная отрасль права – информационное право. Таким образом, можно определить информационное право как систему охраняемых силой государства социальных норм и отношений, возникающих в информационной сфере - сфере производства, преобразования и потребления информации. Основные объекты правового регулирования здесь - это информационные отношения, т.е. отношения, возникающие при осуществлении информационных процессов – процессов создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации. Основополагающим предметом, по поводу которого или в связи с которым возникают информационные отношения, является информация во всех ее видах и формах.
Нормативную базу информационного права составляет информационное законодательство, представленное совокупностью нормативных правовых актов и отдельных норм права, направленных на регулирование общественных отношений в информационной сфере.
Информационное право - это наука о предметах, принципах и методах правового регулирования деятельности и отношений в областях формирования и использования информационных ресурсов, технологий и коммуникаций и их сетей, организации управления процессами информатизации и обеспечения информационной безопасности граждан, государства и общества в целях удовлетворения их информационных потребностей и обеспечения процессов развития общества.
Информационное право представляет собой правовой фундамент информационного общества, активно формирующегося по всем странам и континентам с помощью глобальных информационных сетей и иных новых информационных технологий.
В связи с широким использованием новейших информационных технологий возникла проблема информационной безопасности в автоматизированных системах обработки, хранения и передачи конфиденциальной информации. Широкое распространение получила компьютерная преступность.
Весьма актуальными в нашей стране в настоящее время являются вопросы защиты интеллектуальной собственности и информации, составляющей, например, личную, коммерческую или служебную тайну.
Общепризнанным является также факт возрастания роли информационной безопасности в общей системе национальной безопасности. При этом под термином информационная безопасность понимается "состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства".
Таким образом, существует проблема защиты информации на всех уровнях – от физических и юридических лиц до государства в целом.
Эффективное функционирование любой организационной и организационно-технической системы, в том числе информационной среды, обеспечивается комплексом социальных норм, регулирующих поведение коллективных (юридических) и индивидуальных (физических) субъектов управления. Такими регуляторами являются нормы права, которые обеспечивают относительную стабильность системы и ее развитие. Особая роль при этом принадлежит сфере государственного управления, одной из главных задач которой является обеспечение действий субъектов в соответствии с нормами права. В то же время одно государство не способно справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну. В условиях различных форм собственности задача обеспечения информационной безопасности частично перераспределяется на граждан и на общественные структуры, что отвечает конституционному принципу самозащиты субъектами правоотношений своих интересов всеми способами, не запрещенными законом.
Необходимо отметить, что информационное законодательство в настоящее время в нашей стране находится еще в стадии формирования, а, следовательно, предстоит еще определенная работа по устранению имеющихся здесь пробелов и недостатков.
К первоочередным задачам в области обеспечения информационной безопасности, согласно выводам по итогам слушаний в Государственной Думе отнесены:
· разработка и внедрение механизмов реализации действующего законодательства, регулирующего отношения в информационной сфере;
· пресечение компьютерной преступности (включая методическое и технологическое обеспечение следственной, оперативно-розыскной деятельности правоохранительных органов, специальных служб, судебных разбирательств, в том числе подготовку кадров в этой сфере);
· повышение правовой и информационной культуры, а также компьютерной грамотности граждан.
Правовое обеспечение защиты информации зависит от вида и характера носителей информации. Электронная форма записи резко повышает возможность дистанционного перехвата информации без видимого перемещения материальных объектов. Наличие различных источников угроз, ведение бумажного и электронного делопроизводства конфиденциального характера требуют разграничения прав, обязанностей и компетенции коммерческих и некоммерческих структур, юридических и физических лиц, а также установления мер административной и уголовной ответственности.
Организационная структура, реализующая комплекс мер безопасности на предприятии - служба безопасности базируется на правовых, методических и организационно-распорядительных документах, определяющих статус, права и обязанности этих органов защиты, порядок лицензирования их деятельности и сертификацию используемых ими технических средств защиты информации.
Практический опыт показывает, что информационную безопасность предприятию может обеспечить только комплексная система защиты информации. Такая система должна включать правовые, организационные и технические методы защиты.
Данный курс посвящен правовому обеспечению используемых методов информационной безопасности.
II. ИНФОРМАЦИОННАЯ СФЕРА КАК ОБЪЕКТ ПРАВОВОГО РЕГУЛИРОВАНИЯ
Информационная сфера (среда) — сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации (см. ст. 2 Федерального закона « Об участии в международном информационном обмене» принят 4 июля 1996 г. № 85-Ф3 Собрание законодательств РФ 1996г. Изменен в «О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА» (в ред. Указа Президента РФ от 21.10.2008 N 1510)
Как сфера правового регулирования она представляет собой совокупность субъектов права, осуществляющих такую деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется, и социальных отношений, регулируемых правом или подлежащих правовому регулированию.
В основе производства, распространения, преобразования и потребления информации лежат информационные процессы — создания, сбора, обработки, накопления, хранения, поиска, получения, распространения и потребления информации в государстве и обществе, а также процессы создания и применения информационных систем, информационных технологий и средств их обеспечения, средств и механизмов информационной безопасности. Социальные (общественные) отношения, подлежащие правовому регулированию, возникают при выполнении именно этих информационных процессов. Такие общественные отношения называют информационными отношениями, а деятельность по осуществлению информационных процессов — информационной деятельностью.
Основным объектом правоотношений в информационной сфере является информация (в переводе с латинского — ознакомление, разъяснение, изложение).
С философской точки зрения понятие «информация» определил Н. Винер: информация — это не энергия и не материя. Простое и понятное каждому определение информации дал С.И. Ожегов. Это:
1) сведения об окружающем мире и протекающих в нем процессах;
2) сообщения, осведомляющие о положении дел, о состоянии чего- либо.
До середины 20-х годов ХХ века под информацией действительно понимались «сообщения и сведения», передаваемые людьми устным, письменным или иным способом. С середины ХХ века информация превращается в общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация); это одно из основных понятий кибернетики.
В связи с развитием средств связи и телекоммуникаций, вычислительной техники и их использованием для обработки и передачи информации возникла необходимость измерять ее количественные характеристики. Появились разные теории и понятие «информация» начало наполняться разным содержанием.
В середине ХХ столетия К. Шенноном и У. Уивером были предложены вероятностные методы для определения количества передаваемой информации. Однако такие вероятностные методы описывают лишь знаковую структуру информации и не затрагивают смысла, заложенного в ней (в сообщении, сведениях).
Н. Винер предложил «информационное видение» кибернетики как науки об управлении в живых организмах и технических системах. И под информацией стали понимать уже не просто сведения, а только те сведения, которые являются новыми и полезными для принятия решения, обеспечивающего достижение цели управления. Остальные сведения не считались информацией.
Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, полезность и ценность этих сведений для потребителя. Существенным становится субъективный подход, основанный и на априорной подготовленности субъекта к восприятию таких сведений или сообщений, и с их новизной для субъекта, и с их полезностью (или ценностью) для принятия им решений, направленных на достижение поставленных целей.
При рассмотрении же информации в качестве предмета правоотношений в правовой системе, предмета отношений государства, юридических и физических лиц, приходится возвращаться к исходному определению информации, например, данному С.И. Ожеговым: информацией являются сообщения и сведения. Это верно, поскольку при движении информации в процессе ее создания, распространения, преобразования и потребления подавляющее большинство общественных отношений возникает именно по поводу информации как сведений или сообщений. К сожалению, многие специалисты, в том числе и юристы, рассуждая на тему о том, что же такое информация в правовой системе, не определяют это понятие, что и приводит к многочисленным недоразумениям и противоречиям.
Анализируя информацию как предмет правоотношений, нельзя говорить о ней вообще, неконкретно. Предметом рассмотрения должна быть в первую очередь информация, которая находится в гражданском, административном или ином общественном обороте и по поводу которой или в связи с которой поэтому и возникают общественные отношения, подлежащие регулированию правом.
Федеральный закон «Об информации, информационных технологиях и о защите информации» определяет информацию как «сведения (сообщения, данные) независимо от формы их представления» (ст. 2). Учитывая социальный аспект рассматриваемого объекта, добавим: включаемой в оборот в виде, понятном для восприятия человеком. Такое определение дает возможность «вывести» из понятия «информация» программы для электронных вычислительных машин (ЭВМ), отнесенные названным Законом к средствам обеспечения ЭВМ.
Этот закон вводит термин «документированная информация (документ)» и определяет его как зафиксированную на материальном носителе информацию с реквизитами, позволяющими ее идентифицировать» (ст. 2).
Понятие «документированная информация» основано на двуединстве — информации (сведений) и материального носителя, на котором она отражена в виде символов, знаков, букв, волн или других способов отображения. В результате документирования происходит как бы материализация и овеществление сведений. Информация «закрепляется» на материальном носителе или даже «привязывается» к нему и тем самым обособляется от своего создателя. В итоге в качестве документированной информации мы получаем книгу, статью в журнале, сборник статей, фонд документов, банк данных или иной массив документов (данных) па бумажном, машиночитаемом и иных носителях.
Согласно приведенному выше определению, документированная информация (документ) есть по сути дела объект материальный, что дает основание относить ее также и к категории вещей. А это означает, что на нее распространяется право вещной собственности. Следует, однако, отметить, что документированная информация относится к вещам особого рода. Главное ее отличие от других вещей заключается в упомянутом выше двуединстве информации и материального носителя, что предопределяет специфику требований, касающихся ее правового режима.
Таким образом, с правовой точки зрения двуединство информации и материального носителя дает возможность защищать документированную информацию с использованием одновременно двух институтов: института интеллектуальной собственности и института вещной собственности.
Традиционно для документирования в качестве материального носителя применялась писчая бумага. Созданный на таком носителе документ, подтвержденный соответствующими реквизитами и снабженный подписями, широко использовался, да и используется в гражданских, экономических и иных отношениях, в том числе и как доказательственный материал при судебном разбирательстве. Известно, что доказательственная способность документированной информации основана на возможности установления с помощью почерковедческой экспертизы того факта, что данный конкретный документ является оригиналом и что подпись на нем точно (вернее, с большой степенью вероятности) принадлежит конкретному лицу.
С внедрением новых информационных технологий вместо бумаги в качестве материальных носителей стали использоваться машиночитаемые носители — магнитные и оптические диски, память ЭВМ, электрические колебания, электромагнитные волны. К сожалению, в отличие от информации, зафиксированной на бумажном носителе, информация на машиночитаемом носителе может быть легко изменена без желания ее автора в результате несанкционированного доступа к ней постороннего лица, причем без всяких следов такого вмешательства. Естественно, в этом случае документ на машиночитаемом носителе теряет свою доказательственную способность, его легко подделать и никакая экспертиза не в состоянии эту подделку выявить.
Возникла проблема установления доказательственной силы машиночитаемого документа. Необходимо было создать такой механизм записи информации на нем, который, с одной стороны, исключал бы возможность несанкционированного доступа постороннего лица к информации с целью ее искажения или подделки, а с другой, позволял бы конкретному лицу ставить на этом документе некоторую отметку, аналогично его подписи на бумаге, которую было бы невозможно подделать, а экспертиза могла бы надежно подтвердить принадлежность этой отметки-подписи данному лицу.
Отсюда возникло понятие «электронная цифровая подпись», которая посредством специального программно-информационного комплекса обеспечивает надежное подтверждение оригинальности сведений, реквизитов документа и факта его «электронного подписания» конкретным лицом.
Распространение в системах связи и телекоммуникации информации на машинном носителе, снабженной электронной цифровой подписью, аналогично распространению оригинала документов на бумажном носителе традиционными способами. Распространение же информации на машиночитаемом носителе без электронной цифровой подписи или других аналогичных средств идентификации подобно или передаче устной информации, идентичность содержания которой гипотетическому оригиналу может быть подтверждена показаниями свидетелей, или передаче копии документа, по отношению к которой требуется доказать возможными способами соответствие ее оригиналу.
Таким образом, электронная цифровая подпись обеспечивает ввод и передачу документа по системе связи и телекоммуникации с предоставлением возможности в любой точке трафика и в любой момент времени вывести этот документ из системы и представить его для разрешения спора.
Сложнее обстоит дело, когда документ автоматически формируется внутри автоматизированной системы (банка данных) алгоритмическим путем на основе исходных документов (данных), получаемых из разных точек информационного пространства этой системы и в разные моменты времени. Такие документы до последнего времени должны были подписываться должностным лицом, ответственным за их подготовку. Очевидно, что при большом количестве исходных данных и автоматических вычислений, необходимых для подготовки выходного документа, это лицо фактически не в состояния проверить правильность произведенных системой расчетов и должно подписывать документ, так сказать, по должности. Действительно, ведь кто-то должен нести ответственность за документ, хотя и подготовленный автоматизированной системой, но используемый для принятия ответственных решений.
Возникает вопрос: возможна ли автоматическая простановка электронной цифровой подписи на документе, подготавливаемом автоматически автоматизированной системой, самой этой системой (или компьютером)? С одной стороны, казалось бы, это нонсенс — ведь в данном случае создается впечатление, что никто не несет ответственности за содержание документа — с компьютера не спросишь. Но ведь, с другой стороны, возлагать обязанность подписывать такой документ на должностное лицо, которое не в состоянии проверить его содержание и привлекать к ответственности за недостоверность в нем сведений — тоже неправильно. Как же следует поступить?
По-видимому, простановку такой электронной подписи можно возложить на автоматизированную систему, но при условии четкого решения задачи распределения обязанностей и ответственности за качество исходной и промежуточной информации, используемой при автоматической подготовке окончательного документа компьютером, между:
субъектами, обеспечивающими подготовку исходной информации; субъектами, ответственными за разработку алгоритмов и программ обработки информации на ЭВМ; субъектами, обеспечивающими работоспособность технических средств.
Для этого должна быть разработана такая снабженная качественным организационно-правовым обеспечением технология подготовки и движения исходной и промежуточной информации в автоматизированной системе, которая в случае установления недостоверности окончательного результата, отмеченного в документе, позволила бы быстро и надежно выявить ту точку технологического процесса, в которой была допущена ошибка, приведшая к искажению окончательного результата, а также лицо, ее допустившее. В правовом плане здесь возникает необходимость урегулирования отношений по поводу обязанностей и ответственности лиц, осуществляющих подготовку, обработку и передачу исходной и промежуточной информации по всем этапам ее движения, а также разработку программы для ЭВМ и обеспечение надежной эксплуатации технических средств (ЭВМ, средств связи и телекоммуникации).
Для выявления множества видов документированной информации как разновидностей объектов правового регулирования, а также комплекса общественных отношений (информационных отношений), возникающих при осуществлении действий над такими объектами, необходимо рассмотреть движение информации в информационной сфере и процедуры ее трансформации при осуществлении процессов создания, преобразования и потребления информации.
СОСТАВ И СОДЕРЖАНИЕ ИНФОРМАЦИОННОЙ СФЕРЫ
Информационная сфера как сфера правового регулирования представлена на рис. 2.1.
Информационная сфера подразделяется на три основные предметные области, которые представлены на рисунке двумя секторами и внутренним овальным прямоугольником, и две обеспечивающие области — прямоугольники на рисунке.
Верхний сектор — это предметная область создания и распространения исходной и производной информации, нижний сектор — предметная область формирования информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг. Эти секторы как два мощных излучателя информации воздействуют на предметную область потребления информации (реализации права на поиск, получение, передачу и потребление информации), изображенную на рисунке в качестве внутреннего овального прямоугольника.
Сегодня информационная сфера немыслима без применения автоматизированных информационных систем, банков данных и их сетей, других информационных технологий, основанных на использовании средств вычислительной техники и связи. Внедрение информационных технологий создало новые возможности для ускорения и повышения эффективности информационных процессов, повысило качество информационного обслуживания и по сути дела совершило революцию в информационной коммуникации. Были созданы новые материальные носители информации, существенно отличающиеся от традиционных, новые механизмы ее тиражирования и распространения, что, в свою очередь, повлекло за собой возникновение новых отношений, связанных с особенностями автоматизированной обработки информации. Это отношения по поводу: права интеллектуальной собственности на результаты творчества в условиях телекоммуникации; права авторства и собственности на документированную информацию на машиночитаемом носителе; права авторства и собственности на информационные технологии и средства их обеспечения; права на создание и применение автоматизированных информационных систем и банков данных для обработки информации; охраны информации в автоматизированных информационных системах, банках данных, их сетях и другие.
Однако применение современных информационных технологий вызвало и негативные последствия — появление новых видов преступлений (компьютерных), ранее не известных праву, основанных, прежде всего, на возможностях несанкционированного и неправомерного доступа к информации в таких структурах. Это — компьютерные вирусы, логические бомбы, программы, допускающие неправомерное проникновение в информационные сети с целью «электронной кражи» денег, а также «электронный» информационный шпионаж и многое другое.
Все это привело к необходимости пересмотра комплекса традиционных информационных отношений в условиях новых информационных технологий. Появилась дополнительная предметная область, обеспечивающая основные предметные области, — область создания и применения информационных технологий.
Создание, преобразование и потребление информации, особенно в условиях современных систем связи и телекоммуникации, потребовало также акцентировать внимание на проблемах информационной безопасности (вернее безопасности в информационной сфере), обеспечивающей выявление угроз и защиту: информации от несанкционированного доступа; информационных прав и свобод граждан; государства и общества от воздействия недоброкачественной информации. Это обусловило возникновение еще одной обеспечивающей предметной области — создания и применения средств и механизмов информационной безопасности.
Разделение информационной сферы на предметные области условно, поскольку все они тесно связаны между собой. Исходная информация создается под воздействием окружающей среды, а также на основе производной информации и сведений из информационных ресурсов. Производная информация создается как на основе исходной информации, так и на основе сведений из информационных ресурсов. Информационные же ресурсы формируются на основе исходной и производной информации, прежде всего как «запасы» ретроспективной информации. И, наконец, в результате потребления информации вновь создается новая исходная и производная документированная информация, формируются или дополняются информационные ресурсы. Таким образом, замыкается кругооборот движения информации в информационной сфере.
Предметная область создания и применения информационных систем, информационных технологий и средств их обеспечения возникла и развивается в связи с потребностями всех остальных областей. В то же время все предметные области сегодня немыслимы и неосуществимы без этой области.
Предметная область создания и применения средств и механизмов информационной безопасности обеспечивает реализацию информационных процессов, исходя из требований безопасности личности, общества, государства в информационной сфере. Она возникла и развивается в связи с потребностями всех четырех перечисленных выше областей и обеспечивает их безопасное функционирование.
Для выявления разновидностей документированной информации и отношений, возникающих в связи с действиями субъектов по поводу такой информации (информационных отношений), рассмотрим более подробно каждую из указанных выше областей на протяжении «жизненного цикла» информации (см. рис. 2.2).