Авторефераты диссертаций >> Международный опыт правового регулирования информационной безопасности и его применение в российской федерации
На правах рукописи
Крылов Григорий Олегович
МЕЖДУНАРОДНЫЙ ОПЫТ
ПРАВОВОГО РЕГУЛИРОВАНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И
ЕГО ПРИМЕНЕНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ
Специальность 05.13.19 –
методы и системы защиты информации,
информационная безопасность
Автореферат
диссертации на соискание ученой степени
кандидата юридических наук
Москва
2007
Диссертация выполнена на кафедре компьютерного права факультета информационной безопасности Государственного образовательного учреждения высшего профессионального образования Московском инженерно-физическом институте (государственном университете).
Научный руководитель: доктор юридических наук, профессор
Морозов Андрей Витальевич
Официальные оппоненты: доктор юридических наук, профессор
Стрельцов Анатолий Александрович
доктор юридических наук, профессор
Соковых Юрий Юрьевич
Ведущая организация:
Военный университет Министерства обороны Российской Федерации
Защита диссертации состоится 21 мая 2007г. в 16.00 часов на заседании диссертационного Совета ДМ 212.130.08 в МИФИ по адресу: 115409,г. Москва, Каширское шоссе, д. 31, в конференц-зале главного корпуса
С диссертацией можно ознакомиться в библиотеке МИФИ.
Автореферат разослан ____ апреля 2007г.
Просим принять участие в работе совета или прислать отзыв в одном экземпляре, заверенный печатью организации.
Ученый секретарь
диссертационного совета Горбатов В.С.
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы исследования. На протяжении веков достижения естественно-научной культуры порождали проблемы гуманитарной культуры. Техника, будучи усилителем способностей человека, всегда бросала вызов праву, ибо использовалась не только во благо, но и во вред личности, обществу и государству. Единство и борьба противоположностей двух культур особенно усиливается при переходе человечества от эпохи усилителей физических способностей человека в энергетической сфере к эпохе усилителей умственных способностей в информационной сфере. Такими усилителями, как известно, являются средства вычислительной техники и связи, которые существенно меняют пространственно-временные характеристики общественных отношений и порождают новые, ранее неизвестные виды девиантных отношений. Господствующей социальной группой в обществе становятся владельцы информации и ноу-хау технологий, общество трансформируется из постиндустриального в информационное. Изменяется геополитическое информационное противоборство государств, которое все чаще принимает форму планомерных информационных операций под прикрытием принципа свободы информации.
Нынешний этап развития информационных технологий характеризуется возможностью массированного информационного воздействия на индивидуальное и общественное сознание вплоть до проведения крупномасштабных информационных войн, в результате чего неизбежным противовесом принципу свободы информации становится принцип информационной безопасности (ИБ).
Этот принцип обусловлен глобальной информационной революцией, стремительным развитием и повсеместным внедрением новейших информационных технологий и глобальных средств телекоммуникаций. Проникая во все сферы жизнедеятельности государств, информационная революция расширяет возможности развития международного сотрудничества, формирует планетарное информационное пространство, в котором информация приобретает свойства ценнейшего элемента национального достояния, его стратегического ресурса.
Вместе с тем, становится очевидным, что наряду с положительными моментами такого процесса создается и реальная угроза использования достижений в информационной сфере в целях, не совместимых с задачами поддержания мировой стабильности и безопасности, соблюдения принципов суверенного равенства государств, мирного урегулирования споров и конфликтов, неприменения силы, невмешательства во внутренние дела, уважения прав и свобод человека. Опасным источником угроз является растущая отечественная и международная компьютерная преступность.
Мировое сообщество признало международную информационную безопасность как глобальную проблему, как необходимое условие существования человеческого сообщества.
В этой связи требуется выработка общих принципов и общего понимания всего комплекса проблем, связанных с информационной безопасностью, начиная с понятийного аппарата, научных и методических концепций и кончая практическим решением стоящих задач.
За последние годы в Российской Федерации начато формирование нормативного правового обеспечения информационной безопасности. Приняты федеральные законы от 27.12.2002 № 184-ФЗ «О техническом регулировании»1 и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»2. Разработаны Основные направления нормативного правового обеспечения информационной безопасности Российской Федерации, одобренные Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности 27 ноября 2001г. № 4.1.
Однако имеющаяся в России законодательная база не в полной мере отражает потребности обеспечения информационной безопасности
Системная работа в сфере правового обеспечения информационной безопасности требует научного обоснования дальнейшей разработки таких нормативных актов, в которых бы в полной мере были учтены международные принципы и нормы, направленные на укрепление международной информационной безопасности, и вместе с тем максимально учитывались бы национальные интересы. В связи с изложенным тема исследования представляется актуальной.
Цель диссертационного исследования заключалась в обобщении международного опыта правового регулирования информационной безопасности и в обосновании концептуальных положений системы нормативного регулирования в сфере практического обеспечения информационной безопасности кредитных организаций России.
Для достижения сформулированной цели в работе поставлены следующие задачи:
1.Исследовать понятийный аппарат, применяемый в отечественном и зарубежном правовом обеспечении информационной безопасности, с учетом состояния и перспектив развития информационных операций, как источника крупномасштабных массированных информационных угроз;
2.Систематизировать международные правовые нормы в сфере информационной безопасности и соотнести их с международными стандартами информационной безопасности;
3.Обобщить международный опыт правоприменительной практики в сфере информационной безопасности на основе применения международных стандартов информационной безопасности;
4. Исследовать особенности информационных отношений в сети Интернет, как инфраструктуры глобального информационного общества и перспективных международных отношений, а также особенности сетевых информационных угроз;
5. Провести сравнительно - правовой анализ обеспечения информационной безопасности в сети Интернет;
6.Разработать рекомендации по развитию договорного режима оказания безопасных Интернет-услуг в России;
7.Разработать типовые нормативные акты Службы информационной безопасности кредитной организации;
8.Разработать рекомендации по нормативному обеспечению аудита информационной безопасности кредитной организации с учетом международного опыта;
9.Исследовать проблемы латентности и прогнозирования угроз информационной безопасности.
Объектом исследования являются информационные отношения, возникающие в связи с обеспечением безопасности национальных интересов в глобальной информационной сфере.
Предметом исследования являются международные нормы и стандарты регулирования информационной безопасности в информационных отношениях.
Степень разработанности темы исследования. Опубликованные и проводимые в информационно-правовом поле научные исследования охватывают широкий круг проблем. Так, изучались вопросы, касающиеся защиты авторских прав на произведения, доступные в сети Интернет, прав на доменное наименование, распространения вредной информации, оказания услуг посредством сети Интернет, ответственности за правонарушения в информационной среде Интернет, а также вопросы электронного документооборота, осуществления безналичных платежей с использованием телекоммуникационных сетей, заключения сделок в электронной форме с использованием электронной подписи и др.
Однако системное исследование международного опыта правого регулирования информационной безопасности и его применения в Российской Федерации с учетом роли информационных операций как источника крупномасштабных массированных угроз информационной безопасности до последнего времени не проводилось, равно, как недостаточно полно рассматривались в правовых исследованиях проблемы применения международных стандартов информационной безопасности. Не были ранее исследованы проблемы латентности и прогнозирования угроз информационной безопасности.
Методологическую основу исследования составляют такие научные методы, как анализ и синтез, индуктивный и дедуктивный методы, аналогия и моделирование, диалектическая логика и системный подход. В работе применялись и специальные методы: формально-юридический, сравнительно-правового исследования.
Нормативно-правовую основу исследования составляют российские и зарубежные правовые акты, действующие в области правового обеспечения информационной безопасности. Развитие и совершенствование законодательства в области правового регулирования информационной безопасности предусмотрено принятыми в Российской Федерации концептуальными и доктринальными документами. Среди них необходимо выделить Доктрину информационной безопасности Российской Федерации3, одобренную Президентом Российской Федерации 9 сентября 2000 года, Концепцию национальной безопасности Российской Федерации в редакции, утвержденной Указом Президента Российской Федерации от 10 января 2000 года № 244, Концепцию внешней политики Российской Федерации, утвержденную Президентом Российской Федерации 28 августа 2000 года, Концепцию использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года, одобренную распоряжением Правительства РФ от 27.09.2004г. № 1244-р.
Международную правовую основу регулирования общественных отношений в сфере информационной безопасности составляет достаточно большое количество директив, конвенций, деклараций, хартий. резолюций, рекомендаций, иных международных актов. Среди них необходимо выделить такие, как Резолюция 54/49 Генеральной Ассамблеи ООН «Достижения в сфере информатизации и телекоммуникации в контексте международной безопасности», принятая
1 декабря 1999 года на 54-й сессии Генеральной Ассамблеи ООН; Конвенция Совета Европы о киберпреступности от 23.11.2001г.; Конвенция ООН об использовании электронных сообщений в международных договорах 2005г.; Декларация «О европейской политике в области новых информационных технологий» 1999г.5; Декларация принципов построения информационного общества, принятая на Всемирной встрече на высшем уровне в Женеве в декабре 2003г.; Рамочное решение Европейского Союза об атаках на информационные системы от 24.02.2005г.; Рекомендации Совета Европы по защите неприкосновенности частной жизни в Интернете от 23.02.1999г.; Рекомендации Совета Европы № Rec (2001) 3 по предоставлению судами и оказанию других правовых услуг гражданам с помощью новых технологий от 28.02.2001г.; Рекомендации Совета Европы № 1706 «Средства массовой информации и терроризм» 2005г; Тунисское обязательство, принятое на Всемирной встрече на высшем уровне по вопросам информационного общества в 2005г. и др.
Теоретической основой исследования послужили труды ведущих ученых в области теории государства и права, философии права и в области информационного права, таких, как А.Б. Агапов, С.С. Алексеев, Ю.М. Батурин, И.Л. Бачило, А.Б. Венгеров, В.А. Копылов, В.Н.Лопатин, Е.А.Лукашева, Б.Н.Мирошников, Н.Н.Моисеев, А.В.Морозов, В.Б.Наумов, Т.АПолякова, Ю.Г.Просвирнин, М.М.Рассолов, А.Г.Серго, Ю.Ю.Соковых, А.А.Стрельцов, В.М. Сырых, Ю.А. Тихомиров, Б.Н. Топорнин, А.А. Фатьянов, Л.В.Филатова, А. В. Шамраев и др.
Использовались также труды таких зарубежных авторов, как Ю. Хаяши, И. Масуде, Т. Стоуньер, З. Бжезинский, Д. Белл, О. Тоффлер, Г. Кан и др.
Эмпирической основой исследования являются результаты, полученные автором в процессе работы начальником отдела защиты информации АСУ ВС РФ, в Межведомственном координационном совете по проблемам защиты информации ВПК, в финансовой корпорации «УРАЛСИБ», в диссертационных советах ВАГШ и МИФИ, в Российском фонде фундаментальных исследований и Федеральном агентстве по науке и инновациям по проблемам информационной безопасности; профессором кафедр компьютерного права, информационного права, уголовного процесса, геополитики; в Научном центре информационной безопасности Военной академии Генштаба ВС РФ, Академии военных наук по отделению национальной безопасности (секция информационной безопасности).
Научная новизна исследования состоит в том, что автором впервые проведено системное исследование международного опыта правового регулирования информационной безопасности и проблем его применения в кредитных организациях Российской Федерации с учетом особенностей национальных интересов и тенденций мирового развития.
В ходе исследования получены новые научные результаты:
1. Развита и конкретизирована теория правового обеспечения информационной безопасности А.А.Стрельцова. В частности, ключевые понятия этой теории дополнены по открытым источникам Словарем терминов и определений в области информационной безопасности6
,первичную подготовку которого осуществил автор, а также каталогом зарубежных аббревиатур и глоссарием зарубежных терминов в области информационного противоборства. Классификация источников угроз информационной безопасности дополнена информационными операциями, осуществление которых регламентировано такими нормативными правовыми актами, как новый полевой устав Сухопутных войск, по вопросам ведения войсками информационной борьбы – FM-106 «Информационные операции», «Объединенная доктрина информационных операций» Комитета Начальников Штабов (США), инструкция КНШ «О политике в совместных информационных операциях» и «О проведении оборонительных информационных операций», новый устав Сухопутных войск FM-1 «Операции», с объемным разделом «Информационное превосходство» и ряд других.
2.Разработаны предложения в раздел 1.2.5. «Проблемы международно-правового регулирования в области информационной безопасности» Основных направлений нормативного правового обеспечения информационной безопасности Российской Федерации, одобренных Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности 27 ноября 2001г. №4.1. Систематизированы международные нормы правового регулирования информационной безопасности, отмечена неполнота системы таких норм. Показана роль международных стандартов информационной безопасности в ее практическом обеспечении и роль международного гуманитарного права в информационной сфере при вооруженных конфликтах.
3.Обобщен международный опыт регулирования информационной безопасности. Показано, что практическое регулирование общественных отношений в области использования инфраструктуры информационного общества развивается в направлении повсеместного применения международных стандартов информационной безопасности, таких как ISO 17799. COBIT, BS 7799-2, ISO 9001 и др.
4. Разработана классификация информационных отношений в глобальной сети Интернет по признакам субъектного состава и по признакам информационного процесса, посредством которого удовлетворяются информационные интересы в информационных отношениях. Выявлено, что в сети Интернет может реализоваться 27 видов информационных отношений, из которых 9 видов содержат угрозы
5.Установлено, что законодательные инициативы правительств государств Европы, Азии и Америки свидетельствуют об отсутствии единого подхода по основополагающим принципам правового регулирования информационных отношений субъектов сети Интернет, их правам и обязанностям, пределам правового регулирования информационных отношений субъектов, правовым механизмам защиты субъектов от угроз ИБ. Выделено два подхода к регулированию информационных отношений субъектов Интернет - европейский и азиатский. Сделан вывод, что в России подход к регулированию отношений абонента, оператора Интернет и третьих лиц не сформирован, но более соответствуют европейскому подходу.
6.На основании сравнительно-правого исследования для обеспечения информационной безопасности абонента сети Интернет выработаны рекомендации по разграничению прав, обязанностей и ответственности российского оператора Интернет и абонента в договорном режиме.
7.Установлено, что при разработке Концепции и политики информационной безопасности, положений о структурных подразделениях службы информационной безопасности, должностных инструкций ее сотрудников, других актов, в интересах интеграции России в мировое сообщество, в том числе посредством глобальной сети Интернет, необходимо выполнять требования международного стандарта информационной безопасности ISO 17799. Автор впервые в ОАО КБ «НИКойл», ФК «УРАЛСИБ» и в структурных подразделениях этих организаций лично реализовал требования этого стандарта при разработке перечисленных актов.
8. Выявлено, что нормативной основой проведения аудита информационной безопасности в развитых странах и в крупных корпорациях являются в основном стандарты Контроля COBIT и стандарт ISO 17799, которые использовались и автором при проведении аудита информационной безопасности с дополнением их в конкретных случаях профилями защиты.
9.Показано, что проблемы латентности и прогнозирования угроз информационной безопасности относятся к фундаментальным проблемам не только в области правового обеспечения информационной безопасности, но и в правовой науке в целом, так как их решение позволит управлять развитием правотворчества и правоприменения в широком диапазоне конфликтных ситуаций. На примере заведомо ложного сообщения об акте терроризма (ст.207 УК РФ7
) показана методика решения этих проблем.
Положения, выносимые на защиту:
1. На основе анализа международных актов и законодательства Российской Федерации в понятийный аппарат, применяемый в правовом обеспечении информационной безопасности, в научно-практических целях вводятся термины и понятия современных информационных операций, как источника крупномасштабных массированных угроз информационной безопасности.
