При обсуждении проблем цифровой безопасности мы часто «держим перед глазами» смартфоны с ноутбуками и сайты с мессенджерами. И в результате говорим, как правило, о правилах публикации контента, цифровой идентификации, решениях для хранения данных. Причем термин «угроза» обычно ассоциируется с хакерской атакой или в лучшем случае с публикацией противоправной информации.
Однако на практике ситуация выглядит несколько сложнее. Мы часто забываем, что цифровая среда – это сложнейший и очень многогранный комплекс, сплав технологий, программ, правил, контента и инфраструктуры. А такое понятие, как «цифровой контур», добавляет сюда и сферы экономики и общественной жизни, активно использующие «цифру».
Разрозненность цифровой сферы приводит к серьезным различиям в регулировании. Очень часто специалисты, ответственные за безопасность, «знают» только свою узкую сферу – и в результате, сталкиваясь с нормой регулирования чего-то смежного, очень удивляются, потому что «смежная» норма может говорить про что-то другое. Или, что чаще, физически не может обеспечить «желания» «смежника». Итог – юридические лакуны и физические уязвимости.
Объединить «цифру» попытались в рамках модельного законодательства на уровне СНГ – тем более что интеграция «цифровых контуров» стран Содружества весьма высока. Осознание регулятивных проблем и необходимости гармонизировать вопросы связи, программ и информации, привело к формулированию концепции соответствующего модельного закона.
Эта концепция интересна в первую очередь появлением термина «нарушение в информационно-коммуникационной сфере». На первый взгляд он выглядит заимствованием из старого лексикона связистов. Однако в реальности он объединяет любые явления, негативно влияющие на основные процессы использования ИКТ – которые сводятся к непрерывности, целостности и своевременности оборота информации в установленном режиме конфиденциальности. Как ни крути, программный код, «делающий живыми» сайты и сервисы – это все та же информация. Однако за разные виды информации отвечают подчас разные специалисты и даже разные ведомства…
Вообще же вопросы профилактики и пресечения нарушений в ИКТ на пространстве СНГ регулируются разными видами нормативно-правовых актов, в том числе о связи, о развитии информационного общества, об информации; специальные вопросы рассматриваются в рамках нормативно-правовых актов о различных видах охраняемой законом тайны. Подобное положение связано с многообразием нарушений в цифровых сетях, в результате чего правовое поле весьма разнообразно.
Преимущественно вопросы профилактики и пресечения нарушений рассматриваются в разделах национального законодательства, посвященных защите информации и информационной безопасности. Трендом последнего десятилетия является смещение акцента на пресечение нарушений в сетях, предназначенных для оборота цифровой информации, то есть для цифровой экосистемы; именно применительно к цифровому обороту информации соответствующие положения находят свое наибольшее развитие, как в плане понятийного аппарата, так и в плане предписанных алгоритмов действий соответствующих субъектов.
Самым полным законодательством по теме профилактики и пресечения нарушений в комплексе может похвастаться Казахстан. Там эти вопросы преимущественно рассматриваются в рамках законодательства об информатизации, то есть развития и внедрения систем цифровой (информационной) экосистемы. Основным нормативно-правовым актом РК в этой сфере является Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 г. № 418-V.
В целом, казахстанский закон характеризуется чрезвычайно развитым понятийным аппаратом – как непосредственно в части системы защиты от нарушений в сетях цифровой электросвязи, так и общеописательного характера. К примеру, законодатель Казахстана различает понятия программного обеспечения и программного продукта – если в первом случае понимается «совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации», то во втором (более частном) случае — «самостоятельная программа или часть программного обеспечения, являющаяся товаром, которая независимо от ее разработчиков может использоваться в предусмотренных целях в соответствии с системными требованиями, установленными технической документацией». Исходя из этих понятий, казахстанский законодатель выводит понятие средства защиты информации, «аппаратно-программный комплекс», исходя из которого, в свою очередь, формулируется понятие системно-технического обслуживания (мероприятий по обеспечению бесперебойного функционирования аппаратно-программного комплекса и сетей телекоммуникаций). Одним из ключевых понятий является понятие мониторинга событий информационной безопасности — он определяется как «постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности». В целом понятийный аппарат казахстанского закона содержит рекордное число дефиниций – около сотни.
Задачи профилактики и пресечения нарушений прямо указаны в числе задач казахстанского законодательства об информатизации. Исходя из этого, казахстанский законодатель закрепляет за правительством утверждение единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, а также вводит Уполномоченный орган в сфере информационной безопасности. Следует отметить, что в изначальной редакции комментируемого Закона такого органа как отдельной структуры не предусматривалось, и он был введен (очевидно, по результатам анализа ситуации и трендов в сфере информационной безопасности) в 2017 году. К числу наиболее интересных практических полномочий этого органа относятся осуществление координации деятельности по разработке средств защиты информации в части обнаружения, анализа и предотвращения угроз информационной безопасности, осуществление государственного контроля в сфере информатизации в части обеспечения информационной безопасности, а также организация содействия собственникам, владельцам и пользователям объектов информатизации в вопросах безопасного использования информационно-коммуникационных технологий, включая предотвращение неправомерных действий по получению, копированию, распространению, модификации, уничтожению или блокированию электронных информационных ресурсов.
Помимо уполномоченного органа, казахстанский закон предусматривает наличие оперативных центров информационной безопасности, службы реагирования на инциденты информационной безопасности, национального координационного центра информационной безопасности, а также регламентирует полномочия отраслевых центров информационной безопасности (отличных от оперативных центров). К примеру, в число полномочий Службы реагирования на инциденты информационной безопасности входят сбор и анализ информации об инцидентах информационной безопасности и актуальных угрозах информационной безопасности, предоставление рекомендаций по их устранению, выработка рекомендаций, направленных на противодействие угрозам информационной безопасности, информирование собственников и владельцев объектов информатизации, а также уполномоченного органа о ставших известными инцидентах и угрозах информационной безопасности. При этом задача собственно реагирования на инциденты в сфере информационной безопасности возложена казахстанским законодателем на собственников и владельцев объектов информатизации. Интересно, что формально положение об обязанности обеспечивать защиту электронных информационных ресурсов и информационной системы в соответствии с законодательством возложено и на пользователя.
Следуя тренду детализации, казахстанский законодатель дает весьма развернутое определение понятий и процессов, связанных с защитой объектов информатизации. Под последней понимается «реализация комплекса правовых, организационных и технических мероприятий, направленных на сохранность объектов информатизации, предотвращение неправомерного и (или) непреднамеренного доступа и (или) воздействия на них». Среди целей защиты объектов информатизации законодатель указывает недопущение несанкционированного и (или) непреднамеренного доступа, утечки и иных действий в отношении электронных информационных ресурсов, а также несанкционированного и (или) непреднамеренного воздействия на объекты информационно-коммуникационной инфраструктуры; недопущение нарушений функционирования объектов информационно-коммуникационной инфраструктуры и критической инфраструктуры; недопущение несанкционированного и (или) непреднамеренного доступа к служебной информации об абонентах сетей телекоммуникаций и сообщениям телекоммуникаций; а также недопущение несанкционированного и (или) непреднамеренного блокирования работы абонентских устройств сетей телекоммуникаций, а также – помимо недопущения модификации, копирования и\или уничтожения информационных ресурсов — использование программного обеспечения без разрешения правообладателя, нарушение работы информационных систем и (или) программного обеспечения либо нарушение функционирования сети телекоммуникаций, несанкционированное и (или) непреднамеренное блокирование работы абонентских устройств сетей телекоммуникаций. Таким образом, законодатель перечисляет основные типы нарушений на сетях электросвязи, являющиеся предметом профилактики и пресечения.
Закон, посвященный непосредственно защите информации (при этом отличный от закона об информации), наличествует с 2002 года в Таджикистане. Под защитой информации таджикистанский законодатель понимает комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки),несанкционированного копирования и блокирования информации. Исходя из этого, цели защиты информации определяются как предотвращение утечки, хищения, утраты, искажения, подделки информации, а также предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации и предупреждение санкционированных и несанкционированных действий, которые могут повлечь за собой преднамеренное или непреднамеренное уничтожение, блокирование, искажение (подделку), хищение, копирование, утечку, модифицирование и преобразование информации.
Понятийный аппарат закона подчинен определению целей защиты информации и поэтому весьма скромен. В частности, определяются понятия модификации информации, ее блокирования, преобразования, искажения и подделки, уничтожения. При этом в понятийном аппарате присутствуют понятия безопасности информации, утечки информации, эффективности защиты информации и контроля эффективности защиты информации. Интересным элементом понятийного аппарата представляется наличие определений технического и программного обеспечения информационной системы, хотя оба понятия определяются через совокупность технических средств и программ соответственно.
Понятие безопасности информации определяется как состояние защищенности информации, обрабатываемой в информационных системах от внутренних или внешних угроз. При этом понятие «угроза» в понятийном аппарате не присутствует и не расшифровывается – понятие «утечка» не является синонимом «угрозы». Утечка информации определяется как неконтролируемое распространение защищаемой информации в результате несанкционированного доступа, при этом последний определен как «получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником (владельцем) информации прав или правил доступа к защищаемой информации». Данное определение представляется неполным, так как не охватывает утечки информации, возникшие в результате правомерного доступа к информации (к примеру, в нарушение правил обработки информации). Столь же интересна дефиниция объекта защиты информации – во-первых, информация должна быть документированной, во-вторых, в отношении нее законодательством или собственником должны быть установлены некие правила или ограничения оборота, что затрудняет понимание обычным пользователем степени применимости этой нормы к общедоступной информации.
Под эффективностью защиты информации законодатель понимает степень соответствия достигнутых результатов действий по защите информации поставленным целям защиты; под контролем эффективности — проверку соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты. В законе присутствуют типы средств защиты информации, а именно: организационные, технические, программные, аппаратные, физические, криптографические. В отличие от казахстанского закона, закон Таджикистана не выделяет отдельно правовые средства защиты информации, очевидно включая их в организационные. При этом закон отдельно гарантирует юридическую защиту в форме возмещения ущерба от инцидентов в сфере защиты информации, а также при нарушении авторских прав.
Собственно процесс защиты информации обеспечивается путем соблюдения субъектами правовых отношений норм, требований и правил организационного и технического характера по защите информации, использования средств вычислительной техники, программного и аппаратного обеспечения и в целом средств защиты, отвечающих установленным требованиям по защите информации; осуществления контроля по защите информации. Упомянутые требования в части информации, собственником которой является государство, информации, защита которой гарантируется государством, устанавливаются уполномоченными правительством государственными органами.
В Республике Беларусь общие вопросы профилактики и пресечения нарушений определяются Законом РБ «Об информации, информатизации и защите информации» и Законом РБ «Об электросвязи». Последний, в принципе, посвящен регулированию сферы электросвязи в целом и не является законом, специально направленным на регулирование сетей передачи цифровых данных. Тем не менее, многие положения закона применимы и к таким сетям; более того, несмотря на преимущественную ориентированность обширного понятийного аппарата закона на «доцифровые» сети, в нем встречается и прямое упоминание сетей передачи цифровых данных. К примеру, определения понятий «пропуск международного трафика», «пропуск межсетевого трафика», «сеть передачи данных» детализируют виды сообщений электросвязи и включают в себя «сетевые пакеты сетей передачи данных». Под электросвязью как таковой белорусский законодатель понимает «вид связи, представляющий собой любые излучения, передачу или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или иных сообщений по радиосистеме, проводной, оптической и другим электромагнитным системам».
Специальных глав и статей, посвященных профилактике либо пресечению нарушений на сетях электросвязи, белорусский закон не содержит, тем не менее соответствующие положения в тексте закона присутствуют. Так, государственное регулирование в сфере электросвязи включает в себя «осуществление мер профилактического и предупредительного характера», а также ряд контрольных мероприятий в целях выявления определенных видов нарушений. В статье закона про контроль и надзор за использованием излучающих радиоэлектронных средств и высокочастотных устройств также содержится перечень нарушений, подлежащих выявлению и пресечению при осуществлении контрольно-надзорных мероприятий – к ним законодатель относит радиопомехи, эксплуатацию радиоэлектронных средств и (или) высокочастотных устройств без разрешения на право использования радиочастотного спектра, нарушения порядка регистрации (снятия с регистрации) радиоэлектронных средств и (или) высокочастотных устройств, нарушения установленного порядка использования радиочастотного спектра. Собственно порядка осуществления контроля закон не содержит, предусматривая его установление подзаконными актами. Аналогично отсылочной является норма о лицензировании в области связи. Тем не менее, в законе можно найти положения, повышающие правовую определенность относительно порядка использования отдельных устройств и сетей электросвязи.
Если же говорить конкретно о терминологии цифровых систем передачи данных, то она в основном сформулирована в белорусском законе «Об информации, информатизации и защите информации» и при этом является весьма детальной. К примеру, белорусский законодатель дифференцирует понятия «информационная сеть», «информационная система», «информационная технология», «информационный ресурс», «комплекс программно-технических средств». Конкретно защита информации определяется как «комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации». При определении полномочий государственных органов в сфере оборота информации законодатель также вводит понятия «техническая защита информации» и «криптографическая защита информации». Исходя из целей защиты информации, можно считать, что к числу нарушений в сфере оборота информации в сетях электросвязи также следует относить случаи неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также «иных неправомерных действий».
Объектом защиты является информация, неправомерные действия в отношении которой могут причинить вред ее обладателю, пользователю или иному лицу.
Белорусский законодатель перечислил основные положения в сфере защиты информации. К примеру, для информации, распространение и (или) предоставление которой ограничено, но не отнесенной к государственным секретам, установлено требование обработки с применением системы защиты информации, аттестованной в соответствующем порядке. При этом требования по защите информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено, определяются законодательством Республики Беларусь. Обеспечение целостности и сохранности информации, содержащейся в государственных информационных системах, осуществляется путем установления и соблюдения единых требований по защите информации от неправомерного доступа, уничтожения, модификации (изменения) и блокирования правомерного доступа к ней, в том числе при осуществлении доступа к информационным сетям. Для создания системы защиты информации используются средства технической и криптографической защиты информации, имеющие сертификат соответствия, выданный уполномоченным органом, или положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой опять же определяется уполномоченным органом.
В Республике Узбекистан основные положения в сфере защиты информации и информационной безопасности содержатся в Законе «О принципах и гарантиях свободы информации», но при этом защита информации (и, соответственно, вопрос профилактики и пресечения соответствующих нарушений) в автоматизированной банковской сфере регулируется отдельным законом. Узбекистанский закон отличается от аналогов в других странах СНГ наличием понятия «информационная безопасность», которая определяется как «состояние защищенности интересов личности, общества и государства в информационной сфере». При этом присутствует и понятие «защита информации», которое в данном случае определяется как производное от понятия «информационная безопасность» в форме процесса – «меры по предотвращению угроз информационной безопасности и устранению их последствий». Таким образом, пресечение и профилактика нарушений в сфере передачи информации является одной из целей информационного законодательства страны.
Есть прямой запрет на искажение и фальсификацию информации. Хотя способы и методы совершения этих действий не указываются, логично полагать, что в данном случае подразумевается и возможность совершения указанных недопустимых действий посредством технического и (или) программного воздействия. Очевидно, что данные два нарушения являются предметом особого внимания узбекистанского законодателя.
Узбекистанский закон характеризуется, по-видимому, наиболее качественным определением объекта защиты информации – это «любая информация, противоправное обращение с которой может причинить ущерб ее собственнику, владельцу, пользователю и иному лицу». Цели защиты информации определяются как предотвращение угроз безопасности личности, общества и государства в информационной сфере, сохранение конфиденциальности информации, предотвращение ее утечки, хищения, утраты, а также (отдельно) предотвращение искажения и фальсификации информации. Здесь следует отметить еще одну особенность узбекистанского закона – при наличии большого числа статей, посвященных информационной безопасности различных объектов правоотношений, эти статьи не содержат норм, описывающих и определяющих программно-технические механизмы профилактики и пресечения нарушений в сфере передачи информации, ограничиваясь организационными, правовыми и информационными методами. Так, к примеру, информационная безопасность общества достигается посредством обеспечения развития основ демократического гражданского общества, свободы массовой информации, недопущения противоправного информационно-психологического воздействия на общественное сознание, манипулирования им, сохранения и развития духовных, культурных и исторических ценностей общества, научного и научно-технического потенциала страны, а также создания системы противодействия информационной экспансии, направленной на деформацию национального самосознания, отрыв общества от исторических и национальных традиций и обычаев, дестабилизацию общественно-политической обстановки, нарушение межнационального и межконфессионального согласия.
В законодательстве Украины вопросы защиты информации на сетях электросвязи регулируются в первую очередь Законом Украины «О телекоммуникациях». Таким образом, украинский подход демонстрирует схожесть с белорусским. Однако, в отличие от белорусского закона, его украинский аналог характеризуется большей универсальностью в части цифровых телекоммуникационных сетей. Так, к примеру, в понятийном аппарате, помимо собственно телекоммуникационных сетей, присутствуют определения Интернета, домена, доменной зоны .ua, домена второго уровня, адресного пространства сети Интернет, собственно адреса в сети Интернет. Термин «электросвязь» обозначен как синоним термина «телекоммуникации» и определяется как процесс передачи информации (а не инфраструктура) – для последней существует детализированная терминология, например «сети телекоммуникации».
Следует отметить, что действие украинского закона принципиально распространяется только на телекоммуникационные сети общего пользования. В законе украинским по белому написано, что «действие этого Закона не распространяется на телекоммуникационные сети, которые не взаимодействуют с телекоммуникационными сетями общего пользования, за исключением их использования в условиях чрезвычайной ситуации, чрезвычайного и военного положения».
Как и в Узбекистане, используется термин «информационная безопасность» — присутствует понятие «информационная безопасность телекоммуникационных сетей», определяемое как «способность телекоммуникационных сетей обеспечивать защиту от уничтожения, искажения, блокировки, несанкционированной утечки или от нарушения установленного порядка ее маршрутизации». Однако интересно, что в числе принципов деятельности в сфере телекоммуникаций информационная безопасность и\или защита информации не указаны. Тем не менее, присутствует норма, согласно которой «операторы, провайдеры телекоммуникаций обязаны принимать в соответствии с законодательством технических и организационных мер по защите телекоммуникационных сетей, средств телекоммуникаций, информации с ограниченным доступом об организации телекоммуникационных сетей и информации, передаваемой по этим сетям», а также запрет на снятие информации с технических каналов связи (кроме случаев, разрешенных законом).
Большинство положений украинского закона имеют сильную направленность на защиту прав потребителей в телекоммуникационной сфере. Общее количество норм в сфере информационной безопасности представляется незначительным — к примеру, из 21 пункта обязанностей операторов телекоммуникаций только один прямо направлен на защиту информации. Также операторы телекоммуникаций обязаны за собственные средства устанавливать на своих телекоммуникационных сетях технические средства, необходимые для осуществления уполномоченными органами оперативно-розыскных мероприятий, и обеспечивать функционирование этих технических средств, а также в пределах своих полномочий содействовать проведению оперативно-розыскных мероприятий и недопущению разглашения организационных и тактических приемов их проведения. При этом операторы телекоммуникаций обязаны обеспечивать защиту указанных технических средств от несанкционированного доступа. При взаимодействии телекоммуникационных сетей украинский законодатель обязывает операторов не создавать препятствия для взаимодействия телекоммуникационных сетей, а также принимать меры для обеспечения устойчивой и качественной работы взаимосоединений телекоммуникационных сетей в течение суток, сообщать друг другу о повреждении сети телекоммуникаций или возникновения других обстоятельств, которые привели или могут привести к снижению к недопустимым значениям показателей качества телекоммуникационных услуг.
Основные выводы.
В законодательстве стран СНГ фактически отсутствует детальная проработка регулирования вопросов профилактики и пресечения нарушений на сетях электросвязи. Соответствующие аспекты находят отражение лишь на уровне общих целей защиты информации.
Наибольшей проработанностью практических вопросов профилактики и пресечения нарушений на сетях электросвязи применительно к цифровым сетям характеризуется законодательство Казахстана. Казахстанский закон имеет детализированный понятийный аппарат и содержит детально разработанную организационную структуру в сфере обеспечения безопасности передачи информации с детализацией полномочий и обязанностей соответствующих субъектов обеспечения информационной безопасности – как государственных органов, так и операторов. Четко определены цели, задачи, средства и методы профилактики и пресечения нарушений, а также объем и порядок взаимодействия между субъектами информационной безопасности. Следует особо отметить, что все вышеуказанные вопросы применяются к общим практикам и субъектам оборота информации, т.е. не специальным (к которым, например, может быть отнесена т.н. критическая информационная инфраструктура).
Применительно к нецифровым сетям электросвязи определенная проработка вопросов профилактики и пресечения нарушений наблюдается в законах Беларуси, России и Украины. К примеру, белорусский закон содержит весьма разветвленный понятийный аппарат и универсальный перечень нарушений на сетях электросвязи, однако собственно вопросы защиты информации отражены лишь на уровне общих принципов. Украинский закон более универсален в части применимости к цифровым и нецифровым сетям, однако имеет преимущественный акцент на защиту прав потребителей информационных услуг. Российское законодательство, содержа отдельные организационные положения в части выявления и пресечения нарушений на доцифровых сетях связи, демонстрирует сильный акцент на контентные цифровые угрозы, обладая в этой сфере наибольшей проработанностью. В Узбекистане детализированность регулирования вопросов профилактики и пресечения нарушений наблюдается в первую очередь применительно к автоматизированным банковским системам, то есть к узкому сегменту цифровых сетей электросвязи.
Специальный закон «О защите информации» имеется в законодательстве Таджикистана, однако уровень его детализированности серьезно уступает казахстанскому.
Сложившееся положение свидетельствует о необходимости регламентации процедур профилактики и пресечения нарушений на сетях электросвязи на более детальном и высоком уровне, чем это имеет место в настоящий момент, посредством специального модельного закона, посвященного защите информации в форме профилактики и пресечения соответствующих нарушений. Одним из главных требований к гармонизации соответствующих регулятивных процедур представляется универсальность, то есть применимость как к нецифровым, так и к цифровым сетям электросвязи. При этом разрабатываемый закон должен содержать модельную структуру в сфере профилактики и пресечения нарушений, основные рекомендуемые полномочия и обязанности ее субъектов, и в особенности процедуры обмена информацией между ними о нарушениях на сетях электросвязи. Все вышеуказанные аспекты должны быть применимы к общим цифровым и нецифровым сетям электросвязи, при этом рекомендуя специальные практики для специальных сетей (например, КИИ).