Файл: Российское законодательство по информационной безопасности и безопасности сетей (Обзор российского законодательства в области информационной безопасности).pdf
Добавлен: 05.07.2023
Просмотров: 101
Скачиваний: 1
В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио ЦезарАрдита, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений "Крик", известный в компьютерном подполье под псевдонимом "ElGriton". Ему вменялись в вину систематические вторжения в компьютерные системы ВМС США, НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа "двойной криминальности", действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью
О текущем состоянии российского законодательства в области информационной безопасности
Как уже отмечалось, самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Пока такого механизма нет и, увы, не предвидится. Сейчас бессмысленно задаваться вопросом, чего не хватает российскому законодательству в области ИБ, это все равно что интересоваться у пунктирного отрезка, чего тому не хватает, чтобы покрыть всю плоскость. Даже чисто количественное сопоставление с законодательством США показывает, что наша законодательная база явно неполна.
Справедливости ради необходимо отметить, что ограничительная составляющая в российском законодательстве представлена существенно лучше, чем координирующая и направляющая. Глава 28 Уголовного кодекса достаточно полно охватывает основные аспекты информационной безопасности, однако обеспечить реализацию соответствующих статей пока еще сложно.
Положения базового Закона "Об информации, информатизации и защите информации" носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно. Характерно, что Закон разъясняет вопросы ответственности в случае использования несертифицированных средств, но что делать, если нарушение ИБ произошло в системе, построенной строго по правилам? Кто возместит ущерб субъектам информационных отношений? Поучителен в этом отношении рассмотренный выше закон ФРГ о защите данных.
Законодательством определены органы, ведающие лицензированием и сертификацией. (Отметим в этой связи, что Россия - одна из немногих стран (в список еще входят Вьетнам, Китай, Пакистан), сохранивших жесткий государственный контроль за производством и распространением внутри страны средств обеспечения ИБ, в особенности продуктов криптографических технологий.) Но кто координирует, финансирует и направляет проведение исследований в области ИБ, разработку отечественных средств защиты, адаптацию зарубежных продуктов? Законодательством США определена главная ответственная организация - НИСТ, которая исправно выполняет свою роль. В Великобритании имеются содержательные добровольные стандарты ИБ, помогающие организациям всех размеров и форм собственности. У нас пока ничего такого нет.
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств.
В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний. Второе (более существенное) - доминирование аппаратно-программных продуктов зарубежного производства.
На законодательном уровне должен быть решен вопрос об отношении к таким изделиям. Здесь необходимо выделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, военных), в принципе, может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.
Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако, как показывает опыт европейских стран, решить ее можно. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо ущерба для национальной безопасности.
Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:
- разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
- обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
- интеграция в мировое правовое пространство;
- учет современного состояния информационных технологий.
История
21 декабря 1993 года Президент России Б.Н. Ельцин подписал указ об упразднении Министерства безопасности Российской Федерации и о создании Федеральной службы контрразведки Российской Федерации (ФСК России). 3 апреля 1995 года Президент подписал Федеральный закон «Об органах федеральной службы безопасности в Российской Федерации», вступивший в силу 12 апреля 1995 года. В соответствии с ним ФСК России была переименована в Федеральную службу безопасности Российской Федерации, при этом не проводилось организационно-штатных мероприятий, сотрудники службы (включая директора и его заместителей) оставались на своих должностях без переназначений и переаттестаций. 23 июня 1995 г. соответствующие изменения «задним числом» были внесены в структуру федеральных органов исполнительной власти [4]. Этим же указом были утверждены положение о службе и структуре её центрального аппарата, повторявшей структуру ФСК за некоторыми исключениями (воссоздано следственное управление, появилось управление специальных операций, а секретариат преобразован в управление делами).
14 августа 1996 года официальное наименование службы было изменено с «Федеральная служба безопасности Российской Федерации» на «Федеральная служба безопасности России». 9 сентября 1996 года переименование было отменено.
В мае 1997 г. произведена крупная реорганизация центрального аппарата: из 22-х управлений осталось 5, остальные сгруппированы в 5 департаментов [5].
11 марта 2003 года Президент Российской Федерации В.В. Путин своим указом передал функции Федеральной пограничной службы Российской Федерации и часть функций ФАПСИ в ведение ФСБ России.
В июле 2004 г. произведена следующая крупная реорганизация центрального аппарата: вместо департаментов созданы службы Федеральной службы безопасности, количество заместителей директора уменьшено с двенадцати до четырёх (включая двух первых) .
Направления деятельности
В соответствии со статьёй 8 Федерального закона от 3 апреля 1995 г. №40-ФЗ «О федеральной службе безопасности», деятельность органов ФСБ осуществляется по следующим основным направлениям:
контрразведывательная деятельность;
борьба с терроризмом;
борьба с преступностью;
разведывательная деятельность;
пограничная деятельность;
обеспечение информационной безопасности.
Иные направления деятельности органов ФСБ определяются федеральным законодательством. Права и обязанности Федеральной службы безопасности Российской Федерации установлены статьями 12 и 13 федерального закона «О федеральной службе безопасности» №40-ФЗ
Контрразведывательная деятельность
Контрразведывательная деятельность — деятельность органов ФСБ России в пределах своих полномочий по выявлению, предупреждению, пресечению разведывательной и иной деятельности специальных служб и организаций иностранных государств, а также отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации .
Борьба с преступностью и террористической деятельностью
Органы ФСБ в соответствии с законодательством Российской Федерации осуществляют оперативно-розыскные мероприятия по выявлению, предупреждению, пресечению и раскрытию шпионажа, террористической деятельности, организованной преступности, коррупции, незаконного оборота оружия и наркотических средств, контрабанды и других преступлений, дознание и предварительное следствие по которым отнесены законом к их ведению, а также по выявлению, предупреждению, пресечению и раскрытию деятельности незаконных вооружённых формирований, преступных групп, отдельных лиц и общественных объединений, ставящих своей целью насильственное изменение конституционного строя Российской Федерации. На органы ФСБ нормативными правовыми актами федеральных органов государственной власти могут возлагаться и другие задачи в сфере борьбы с преступностью.
Разведывательная деятельность
Разведка — деятельность органов ФСБ России в пределах Российской Федерации по добыче, доставке и обработке секретной информации, связанной с организованными преступными и террористическими группировками. Разведывательная деятельность осуществляется органом внешней разведки федерального органа исполнительной власти в области обеспечения безопасности в соответствии с Федеральным законом Российской Федерации «О внешней разведке».
Пограничная деятельность
Направлениями пограничной деятельности являются:
защита и охрана Государственной границы Российской Федерации в целях недопущения противоправного изменения прохождения Государственной границы Российской Федерации, обеспечения соблюдения физическими и юридическими лицами режима Государственной границы Российской Федерации, пограничного режима и режима в пунктах пропуска через Государственную границу Российской Федерации;
защита и охрана экономических и иных законных интересов Российской Федерации в пределах приграничной территории, исключительной экономической зоны и континентального шельфа Российской Федерации, а также охрана за пределами исключительной экономической зоны Российской Федерации запасов анадромных видов рыб, образующихся в реках Российской Федерации.
Обеспечение информационной безопасности
Обеспечение информационной безопасности — деятельность органов ФСБ, осуществляемая ими в пределах своих полномочий:
при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;
при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в России и её учреждениях, находящихся за пределами России.
Структура органов ФСБ
Комплекс ФСБ на Лубянской площади. В центре — самое знаменитое из зданий, в 1919—1991 главное здание советских органов госбезопасности. Слева, на другой стороне Большой Лубянки — нынешнее главное здание ФСБ (построено в начале 1980-х)
К органам федеральной службы безопасности относятся: [2]
Федеральная служба безопасности Российской Федерации;
управления (отделы) ФСБ России по отдельным регионам и субъектам Российской Федерации (территориальные органы безопасности);