По букве закона: правовое обеспечение информационной безопасности

Правовое обеспечение информационной безопасности — это значимая для российского бизнеса и государства отрасль права. Ее важность возрастает по мере осознавания обществом необходимости защиты данных граждан и компаний.

В российском праве сферы информационной безопасности имеется множество законодательных актов, регулирующих эту деятельность. Определены и сформированы правовые режимы. Однако за последние годы направление претерпело существенные изменения и продолжает активно развиваться.

К какому разделу права принадлежит

Правовое обеспечение безопасности информации является разделом информационного права. Задачей данной отрасли права выступает защита от киберугроз в информационной среде на различных уровнях: личности, организации, общества и наконец государства в целом. Для этого в рамках ИБ-права разработан ряд правовых норм, используемый для регулирования деятельности субъектов. Сама же информационная безопасность — это объект раздела права.

Еще один важный вопрос: что регулирует правовое обеспечение информационной безопасности? Защиту информации и информационной инфраструктуры, которая используется гражданами, юридическими лицами и государством обособленно или во взаимодействии для реализации собственных прав и исполнения обязанностей.

Какие бывают правовые режимы

Важное понятие любой отрасли права — правовой режим, то есть

конкретный порядок регулирования взаимоотношений, затрагивающих нормы защиты информации. В этой отрасли права целью установления и использования конкретного правового режима также является защита информации и информационной инфраструктуры.

При всем многообразии установленных в разных странах правовых ИБ-режимов, все они подразделяются всего на два типа:

• международные, то есть действующие на основе соответствующей отрасли международного права;
• внутренние или национальные, то есть установленные в конкретной стране.

Первый устанавливается международными конвенциями, заключенными по различным аспектам информационного права. В качестве дополнительных инструментов применяются правовые прецеденты — решения международных судебных инстанций по различным вопросам, связанным с информационным правом.

Национальный правовой режим информационной безопасности действует только на территории той страны, в которой он принят. При его формировании заимствуется многое из международного права. Однако основой правового режима становятся законодательные акты страны, а также техническая документация, описывающая конкретный порядок действий для специалистов.

Информационная безопасность в юриспруденции России определяется международным правом только в том случае, если страна ратифицировала соответствующую конвенцию и по-прежнему остается ее участницей. Предложенная Россией и рядом других стран Международная конвенция по информационной безопасности на момент написания статьи находится на рассмотрении в ООН. Если соответствующие документы не ратифицированы,

международные правовые нормы носят в нашей стране лишь рекомендательный характер, а ориентироваться следует на установленный российским законодательством правопорядок.

Алена Игнатьева

Руководитель направления консалтинга и аудита информационной безопасности STEP LOGIC

В последнее время среди населения проводится много просветительских мероприятий: рекламные кампании в общественном транспорте, специальные мероприятия Центрального Банка, РКН, вендоров в области ИБ. Но все они, в первую очередь, направлены на предупреждение нарушений в отношении граждан. В то же время массовых кампаний, которые разъясняют гражданам их обязанности по соблюдению законов, к сожалению, я не встречала. 

На мой взгляд, такая деятельность должна проводиться начиная с детского сада, ведь современные дети берут в руки планшет раньше, чем начинают разговаривать.

В рунете традиционно ведется много споров о том, является ли российское законодательство в сфере информационной безопасности более жестким, чем в Евросоюзе, США, странах Азии. Сформировать единую точку зрения по этому вопросу сложно. Мнения опрошенных Cyber Media экспертов также разошлись.

Артём Избаенков

Директор по развитию направления кибербезопасности EdgeЦентр

Российское законодательство в сфере информационной безопасности можно назвать довольно жестким в сравнении с законодательством других стран. Принятие законов «О суверенном интернете» и «О персональных данных», внесло существенные изменения в способ, которым информационные технологии и кибербезопасность регулируются в России.

Закон «О суверенном интернете» дает правительству России полномочия контролировать интернет-трафик и введение специальных технических средств для обеспечения устойчивости сети в условиях угроз. Это вызвало опасения в отношении свободы интернета и возможного повышения контроля со стороны государства.

Закон «О персональных данных» устанавливает строгие требования к обработке личных данных граждан России и дополнительные меры безопасности для их защиты.

Следует отметить, что подход России к законодательству в области информационной безопасности может отличаться от подхода других стран, где баланс между безопасностью и личной свободой может быть настроен по-разному.

Однако многие считают, что правовое регулирование в РФ ненамного жестче, чем в других странах. Ведь защите персональных данных и другим аспектам информационной безопасности уделяют достаточно внимания многие государства.

Дмитрий Давкин

Начальник отдела ТЗКИ Cloud Networks

Далеко не во всех аспектах российское законодательство может конкурировать в жесткости с другими странами — особенно в части неотвратимости применения и степени строгости санкций. Самый «популярный» пример — это контрольная деятельность в области персональных данных. В сравнении с GDPR у нас все существенно лояльнее.

Чем регулируют

Как именно осуществляется регулирование, определяют средства правового обеспечения ИБ. К ним относят:

• федеральные законы, указы и прочие законодательные акты, касающиеся обеспечения информационной безопасности;
• распоряжения, регламенты, методические рекомендации регуляторов, в частности, ФСТЭК;
• нормативную документацию конкретных государственных ведомств, а также политику информационной безопасности, разработанную в конкретной компании.

В последние годы усилилось регулирование ряда сфер информационной безопасности. Указ №250 сделал обязательным наличие в государственных организациях ответственного за ИБ подразделения, а типовое положение определило должностные обязанности и необходимые компетенции заместителя, отвечающего за информационную безопасность. Закон «О персональных данных» усилил требования и ввел дополнительные обязательства для организаций в этой области.

Какие-то предложения только ожидают рассмотрения. Вопрос о введении оборотных штрафов для компаний, допустивших утечку данных, вызвал негативную реакцию у многих представителей бизнеса, а также дискуссию о необходимости смягчения предложенного порядка внутри российских ведомств. 

«Серые зоны» в законодательстве

Ответ на вопрос «Что такое правовое обеспечение информационной безопасности» был бы неполным без описания областей, которые пока остаются за пределами правового регулирования. Например, вне правового поля в России на момент написания статьи находится понятие этичный или «белый хакер». Возможность привлечения таких хакеров к поиску уязвимостей может быть включена госструктурами в рейтинг цифровой трансформации. Для правоохранительных органов взлом в любом случае остается взломом. Хотя законодательно эту ситуацию обещают изменить в ближайшее время.

Оксана Романова

Главный аналитик компании Pointlane

В законодательстве о персональных данных определенно присутствуют “серые зоны”. Вот некоторые из них:

1. Уничтожение ПДн. В приказе РКН, регламентирующем порядок уничтожения ПДн, указано, что в случае уничтожения ПДн из электронных систем помимо фиксирования других сведений нужно указать электронный журнал об уничтожении ПДн. На сегодняшний день нет однозначного понимания, что именно должен содержать в себе электронный журнал, и в каком виде его необходимо предоставить в случае проверки.

2. Обезличивание ПДн. Для коммерческих компаний нет утвержденного нормативного акта, регламентирующего обезличивание ПДн. РКН работает над документом уже несколько лет, но процесс пока не завершен.

3. Отсутствие четкого перечня персональных данных. Определение в законодательстве указывает только на то, что можно отнести к ПДн, а конкретный перечень обрабатываемых ПДн определяет сам Оператор, исходя из практики и субъективного мнения. РКН работает над матрицей, в которой будет отражено, какую совокупность данных необходимо относить к ПДн.

При этом наличие подобных «серых зон» не стоит считать какой-то национальной особенностью именно России. Динамичная развивающаяся отрасль информационной безопасности не позволяет законотворчеству любой страны достаточно оперативно реагировать на изменения.

Татьяна Никонорова

Ведущий консультант по информационной безопасности Innostage

Законодательство по ИБ в России больше определяет отдельные нормы по защите информации, упуская процессы взаимодействия нормативных актов и органов исполнительной власти между собой. Также недостаточно стандартизации терминов и определений, используемых в законодательстве. В каждом направлении информационной безопасности есть не один десяток понятий, определенных разными документами и органами власти: из-за этого возникают разночтения при реализации требований.

Подготовка специалистов и общий уровень осведомленности

Мероприятия, связанные с правовым  обеспечением безопасности информации, делятся на собственно подготовку правовых норм, обучение специалистов в этой сфере в соответствии с этими нормами, повышение осведомленности населения и ряд других. В российских вузах готовят и бакалавров, и магистров по данному направлению. При этом уже к моменту получения диплома часть изученного ими материала может устареть.

По уровню осведомленности граждан о требованиях информационной безопасности России еще явно есть куда расти. Часто нарушения обусловлены не столько желанием причинить злой умысел, сколько незнанием того, что совершаемых действий достаточно для уголовного дела.

Дмитрий Давкин

Начальник отдела ТЗКИ Cloud Networks

Уровень осведомленности на данный момент не так высок, как хотелось бы, учитывая современные темпы цифровизации и развития технологий. Хотя и некоторая положительная динамика безусловно тоже есть. Именно это является причиной того, что граждане зачастую сами становятся жертвами киберугроз, а не действуют как нарушители.

Иногда не только простые граждане не ведают о нормах действующего законодательства. Проблема актуальна и для сотрудников различных ведомств. Один из них недавно имел беседу с сотрудниками управления ФСБ по Кировской области. Причиной встречи стало хранение и обработка являющихся государственной тайной сведений на компьютере, подключенном к интернету.

Эту проблему также не назовешь исключительно российской. Сотрудник полиции Северной Ирландии недавно заставил всю страну пересматривать меры защиты полицейских. Отвечая на запрос об общей численности сотрудников ведомства, заданный на сайте, он опубликовал в открытом доступе файл с данными работников.

Татьяна Никонорова

Ведущий консультант по информационной безопасности Innostage

Проблема недостаточной осведомленности заметна не только среди обычных граждан, но даже среди специалистов, работающих в данной сфере. Причины тому немотивированность и сложность понимания законодательных актов. Сейчас на рынке очень актуально направление по повышению осведомленности по информационной безопасности, когда эксперт может перенести требования, написанные языком законодателя, на язык простых пользователей.

Что в итоге

Уже через полгода после публикации этой статьи часть изложенной в ней информации по правовому обеспечению информационной безопасности вероятно устареет. Будут приняты новые законодательные акты, изменится порядок начисления штрафов за допущенные компаниями утечки или произойдут другие изменения. Динамичное развитие данного направления права требует от специалистов по информационной безопасности привычки «всегда держать руку на пульсе», поэтому и вузовские программы подготовки можно рассматривать лишь как основу для дальнейшего самообучения уже на практике.

Российское законодательство в сфере информационной безопасности сложно оценить как самое жесткое или самое либеральное. Неосведомленные даже о базовой безопасности не только рядовые обыватели, но и сотрудники различных ведомств также встречаются в каждой стране. Поэтому проблемы правового обеспечения ИБ можно назвать схожими для всех континентов. Счастливое исключение здесь составит разве что Антарктида.