Административно-правовое регулирование обеспечения информационной безопасности таможенных органов РФ
Содержание
Актуальность данной темы исследования заключается в том, что на современном этапе развития общества любая человеческая деятельность связана с использованием информации, информационных ресурсов, информационных технологий. Таможенные органы всегда работали с большим количеством информации, большая часть из которой конфиденциальна и её разглашение способно нанести серьёзный ущерб. Кроме того, постоянная модернизация таможенного законодательства, развитие электронного декларирования, развитие информационных систем и технологий, совершенствование хакерства требуют постоянного обеспечения и совершенствования информационной безопасности.
Отсутствие качественно проработанной и одновременно динамически развивающейся системы информационной безопасности в таможенных органах способно не только нанести крупный ущерб, но и подорвать экономическую безопасность государства в целом. При этом подрыв экономической безопасности несомненно повлечёт дестабилизацию внутри государства и, как следствие, нарушение национальной безопасности общества, а это неминуемо приведёт к человеческим жертвам.
Обеспечить информационную безопасность можно различными способами, однако административно-правовой является одним из наиболее эффективных в виду того, что позволяет предусмотреть соответствующее поведение должностных лиц и организовать их деятельность таким образом, при которой информация будет находиться под надежным контролем с помощью государственно-властных предписаний.
Целью настоящей работы является исследование, выявление и выработка рекомендаций по разрешению актуальных вопросов и проблем в сфере административно-правового регулирования обеспечения информационной безопасности в таможенных органах Российской Федерации.
Задачами настоящей работы является:
— проанализировать научные положения обеспечения информационной безопасности на современном этапе развития информационных технологий;
— изучить действующее законодательство в сфере обеспечения информационной безопасности;
— раскрыть проблемы административно-правового регулирования обеспечения информационной безопасности в таможенных органах РФ и предложить варианты решения выявленных проблем.
Объектом настоящей работы является группа общественных отношений, складывающихся в сфере административно-правового регулирования по обеспечению информационной безопасности в таможенных органах РФ.
Предметом настоящей работы является административно-правовое законодательство, регулирующее информационную безопасность в таможенных органах РФ.
Методология настоящей работы заключается в использовании принципа методологического плюрализма, применении общенаучных методов анализа, синтеза, индукции, а также частно-научного метода, а именно формально- юридического.
При написании работы были использованы законодательные акты, научные и учебные издания, материалы периодических изданий, посвящённые вопросам обеспечения информационной безопасности.
Проблемы административно-правового обеспечения в научной литературе рассматриваются исследователями с конца 20 века, с момента развития информационных технологий. Российские ученые, исследовавшие в своих работах особенности обеспечения информационной безопасности: Р.В. Амелин, Г. И. Барбышева, М.М. Безкоровайный, А.Н. Буренин, М. Воровнова, М.А. Ефремова, А.К. Жарова, П.Э. Жигоцкий, В.Я Ищейнов, А.А Карцхия, Н.М. Кожуханов, А.Н. Козырин, В.И. Коренькова, К.Е. Легков, Т.А. Мартиросян, Ш. Ф. Мирзаев, Е.С. Недосекова, А.И. Савельев, В. П Седякин, А.Н. Сухаренко, А.Л Татузов, Т.А. Тризно, Ю.Г. Федотова, А.И. Хуснутдинов, С.В Шайхаттарова и другие специалисты.
Настоящая дипломная работа состоит из введения, основной части, заключения и списка использованных источников. Основная часть состоит из двух глав, в каждой из которых по два параграфа. В первой главе рассмотрены научные положения и правовое регулирование в сфере обеспечения информационной безопасности на современном этапе развития информационных технологий. Во второй главе проанализировано административно-правовое обеспечение информационной безопасности в таможенных органах и актуальные вопросы, возникающие при обеспечении информационной безопасности в таможенных органах.
Роль, понятие, содержание и принципы информационной безопасности в научных работах отечественных исследователей
В результате передачи информации человечество получило возможность передачи опыта, которого с каждым поколением накапливается всё больше. Использование данного опыта, например, научных открытий, изобретений, различных технологий позволяет использовать информацию как во благо, так и во вред обществу.
Использование информации во благо, в первую очередь, направлено на сокращение энергетических, сырьевых, ископаемых и иных ресурсов. Информация предоставляет людям возможность за короткий промежуток времени создавать различные технологии в огромных масштабах, например, прочные гигантские сооружения, позволяет исцелять и предотвращать развитие смертоносных болезней, а также даёт такие возможности, которые ранее были недоступные человечеству.
Однако информацию можно использовать и во вред обществу, например, разрушать деятельность индивидуальных предпринимателей, различных юридических лиц, государств, наносить вред собственности с помощью таких противоправных деяний, как подделка документов, вымогательство, мошенничество, терроризм, компьютерные сетевые атаки, использование секретов производства в рамках недобросовестной конкуренции и иных противоправных деяний.
Данные действия в отношении информации в неконтролируемых масштабах несомненно приведут к подрыву национальных основ безопасности общества, как это произошло при организации «цветных революций» в таких странах, как: Украина, Ливия, Сирия, Ирак.
Огромный экономический ущерб в мировом сообществе в 2017 году нанёс вирус Petya и вирус Wanna Cry.[1]
В связи с последними международными событиями и высказываниями в средствах массовой информации рассмотрение таких понятий, как информационное противоборство и информационная война становится актуальным.
Под информационным противоборством следует понимать форму соперничества между государствами посредством воздействия на системы управления других государств для достижения определённых задач.
Под информационной войной следует понимать противоборство между странами с целью нанесения ущерба противникам государства, структурам противника, а также подрыва политической, экономической, социальной систем, дестабилизации государства и общества противника.[2]
Под угрозой безопасности информации следует понимать события или действия, которые могут привести к искажению, несанкционированному использованию или разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств, то есть нанесению ущерба национальным интересам в информационной сфере.[3]
Таким образом, интенсивное развитие информационных технологий наряду с положительным эффектом создает угрозы национальной безопасности государства, связанные с нарушением установленных режимов функционирования информационных систем и использованием этих технологий для осуществления враждебных, террористических и других преступных действий.
Понятие информационной безопасности в различных науках рассматривается соответствующими специалистами по-разному; в разных сферах общества информационная безопасность аналогично может рассматривается не одинаково и, как правило, зависит от цели, которую необходимо достигнуть при обеспечении информационной безопасности.
Следует отметить, что существуют различные дефиниции понятий информация, безопасность и информационная безопасность.
Информация, согласно мнению Ожегова С.И.,- это, во-первых, общие сведения о мире и процессах в нём; во-вторых, сообщения, осведомляющие о каком-либо положении дел; в-третьих, сведения, являющиеся объектом обработки, хранения и передачи.
В конце 1980-х годов сформировалось мнение, согласно которому понятие информации в каждой науке имеет разное значение.[4]
Однако в настоящее время дефиниция информации существует в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», где указывается, что информация — это сведения (сообщения, данные) независимо от формы их представления.
Что касается безопасности, то, по мнению Лопатина В.Н., безопасность – это защита от любых нападений извне, например, шпионажа.
Гольтяпина И.Ю. отмечает, что безопасность должна характеризоваться защищаемыми интересами субъектов.[5]
Под информационной безопасностью в научных источниках следует понимать состояние защищённости национальных интересов в информационной сфере, определённых, как совокупность интересов личности и государства.[6]
Следует также отметить, что информационная безопасность с точки зрения национального законодательства- это состояние защищённости личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.
Данное понятие в настоящее время используется в российском законодательстве, исходя из анализа Указа Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
В международных источниках используется похожая дефиниция: информационная безопасность – состояние защищённости личности, общества и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве.
Подробнее нормативно-правовую регламентацию понятия информационная безопасность в национальном законодательстве и международных нормативно-правовых актах рассмотрим в рамках второго параграфа первой главы настоящей работы.
Информационную безопасность можно рассматривать и как защищённость общества, граждан и государств в информационной сфере от внутренних и внешних угроз.[7]
Кроме того, под информационной безопасностью часто рассматривают классическую теорию о свойствах, которые должны быть присущи информации, например, защите конфиденциальности, целостности и доступности информации. [8]
При этом указанные понятия информационной безопасности необходимо отличать от безопасности информации. Понятие информационный безопасности шире, так как защита информации входит непосредственно в информационную безопасность. В информационную безопасность, кроме безопасности информации, могут входить нормативно-правовые акты, методические рекомендации и иные способы обеспечения информационной безопасности. Под безопасностью информации стоит рассматривать положения о конфиденциальности, целостности и доступности информации, наличие навыков у персонала и использование необходимых технологий. Не все специалисты придерживаются подобного подхода и часто относят данные свойства к содержанию либо к модели информационной безопасности, которые будут рассмотрены далее.[9]
Информационную безопасность также необходимо отличать от кибербезопасности. Информационная безопасность обеспечивает защиту информации в любых видах, например, на бумажных носителях, аудио, видео материалах, цифровых данных. Кибербезопасность базируется на защите только цифровых данных, которые оформлены на цифровых носителях: жестких дисках, твердотельных накопителях, CD дисках и тому подобных устройствах.[10]
Информационная защита граждан основана на доступности граждан к информации, использовании её в рамках закона с целью развития граждан в духовной, физической, интеллектуальной сферах. Информационная защита общества взаимосвязана с защитой государства и основана на поддержании правового социального государства, общественном согласии создания информационной инфраструктуры.
Слабое обеспечение информационной безопасности приобретает характер механизма, с помощью которого возможно осуществлять влияние на людей, сформировать их мировоззрение. Данный механизм позволяет воспрепятствовать субъективной оценке людьми при принятии ими решений в различных ситуациях. [11]
В сфере информационных технологий существует теория дуалистичности информационной безопасности. Это означает прямую взаимозависимость информационной безопасности с национальной безопасностью в рамках иных видов безопасности, например, безопасности личности, общества от внутренних и внешних угроз, в результате обеспечения которых возможна реализация прав и свобод всех граждан РФ, независимости государства, а также обеспечение стабильного социально-экономического развития России. В следующем параграфе настоящей работы на основе действующего законодательства данная теория будет проанализирована.[12]
Среди средств обеспечения информационной безопасности можно отметить и программно-аппаратные средства, которые направлены на предотвращение взлома компьютеров, например, способы шифрования данных, использование цифровых подписей, систем резервного копирования, ключей доступа, паролей, сертификатов.
Стоит заметить, что не только технические средства, но и правовые источники имеют значительную роль среди других способов обеспечения информационной безопасности, так как противоправное либо халатное отношение должностных лиц к информационной безопасности способно открыть доступ даже к наиболее программно- защищенной информации. [13]
Правовые средства обеспечения информационной безопасности можно разделить в зависимости от отраслей права, например, с точки зрения административного права, уголовного права, гражданского права, финансового права, информационного права и иных отраслей.
Так, например, в рамках уголовного права нормы по обеспечению информационной безопасности расположены в различных главах Уголовного кодекса РФ, а административно-правовое регулирование обеспечивается различными должностными инструкциями, внутренними нормативно-правовыми актами, иными нормативно-правовыми актами, имеющими властные предписания в отношении обеспечения информационной безопасности. Однако при рассмотрении положений об информационной безопасности и обеспечении информационной безопасности следует рассматривать все данные отрасли в совокупности.
Игнорирование даже одной правовой отрасли может привести к различным правовым коллизиям, пробелам, к состоянию неурегулированности в полной мере информационных правоотношений, например, отсутствию наказаний либо невозможностью реализации наказаний за нарушение правил по обеспечению информационной безопасности. [14]
Объектами охраны информационной безопасности выступают три элемента:
Во-первых, это основные объекты, выражающиеся в защите законных интересов. В качестве таких интересов могут выступать персональные данные, государственная и коммерческая тайна и тому подобные интересы.
Во-вторых, — это объекты-носители, чьи интересы должны быть защищены. В качестве объектов- носителей выступают физические лица, различные организации, государственные органы, местное самоуправление, субъекты РФ и РФ в целом.
В-третьих, — это непосредственные объекты, которые должны защищаться. В качестве непосредственных объектов выступают помещения, информационные системы, информационно-вычислительные центры, информационные технологии, информация и тому подобные объекты.[15]
Существует множество научных подходов по обеспечению информационной безопасности и самого содержания информационной безопасности.
Согласно классическому подходу, обеспечение информационной безопасности основывалось на таких элементах, как конфиденциальность, доступность и целостность, а его целью было получение достоверной информации.
Конфиденциальность заключается в том, что доступ к информации должен осуществляться только теми субъектами, которые имеют на это право. Целостность направлена на защиту от неправомерной модификации информации, в результате чего содержание информации изменяется. Доступность основывается на возможности извлечения информации, её переработке и использовании. [16]
Специалисты по информационной безопасности, придерживающиеся изложенной концепции, считают приоритетной доступность информации, так как целью любой информационной системы является возможность получить сохранённую информацию в любое время.
В работе таможенных органов к рассмотренной нами классической концепции также предъявляются требования аутентичности (установление подлинности информации путём использования средств и способов криптографического преобразования информации), неотказуемости (возможность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты) и подотчетности (обеспечение идентификации субъекта доступа и регистрации его действий). Данные свойства были установлены нами путём анализа внутренних нормативных актов таможенных органов РФ при прохождении преддипломной практики.
При обеспечении информационной безопасности принято выделять элементы данного обеспечения. К ним относятся объекты безопасности, угрозы, которые могут нанести вред данному объекту, способы предотвращения возникших угроз и факторы, обеспечивающие предотвращение нанесения вреда. [17]
К основам принципам защиты информации следует отнести такие принципы, как принцип законности, принцип обоснованности защиты, принцип полноты защиты информации, принцип создания специальных подразделений по защите информации, принцип участия в защите информации всех должностных лиц, принцип персональной ответственности за защиту информации, принцип наличия и соблюдения всех правил защиты информации, принцип превентивности мер по защите информации. В различных научных источниках также выделяют и иные принципы. [18]
Принцип законности означает, что все меры защиты информации не должны противоречить национальному и международному законодательству.
Принцип обоснованности защиты информации заключается в оценке информации и целесообразности защиты той или иной информации с помощью анализа экономических последствий.
Принцип полноты защищаемой информации означает, что должна защищаться не только информация в рамках режимов государственной тайны, коммерческой тайны, служебной тайны, но и той информации, утрата которой способна нанести ущерб владельцу информации.
Принцип создания специальных подразделений по защите информации означает, что только штатные специалисты-сотрудники способны организовать на достаточном уровне постоянные защитные и контрольные мероприятия.
Принцип участия в защите информации всех должностных лиц основывается на том, что участие всех должностных лиц и их ответственное отношение к информационной безопасности способно значительно повысить качество защиты информации.
Принцип персональной ответственности за защиту информации означает необходимость разработки и применения справедливых мер ответственности за нарушение правил обеспечения информационной безопасности.
Принцип наличия и соблюдения всех правил защиты информации означает необходимость сотрудничества должностных лиц руководителей и исполнителей, а также соответствующих форм и методов защиты.
Принцип превентивности мер по защите информации означает необходимость планирования и опережающего принятия мер по защите информации до начала разработки и получения информации в процессе деятельности.
Таким образом, основы обеспечения информационной безопасности многогранны. Для уяснения основ обеспечения информационной безопасности необходимо рассматривать такие понятия, как информация, безопасность, безопасность информации, кибербезопасность.
Для того чтобы обеспечивать информационную безопасность в современных реалиях, следует учитывать также понятия информационного противоборства, информационной войны, угрозы безопасности информации.
Обеспечение информационной безопасности невозможно и без учёта теории дуалистичности информационной безопасности, а также классической модели безопасности информации, в которую входят такие категории, как конфиденциальность, целостность и доступность.
Кроме того, для эффективного обеспечения информационной безопасности в любой области следует разрабатывать и придерживаться таких типовых положений, как цель, защищаемые объекты и принципы обеспечения информационной безопасности.
Административные мероприятия в сфере обеспечения информационной безопасности в РФ
Административно-правовое обеспечение информационной безопасности может основываться на четырёх видах административных организационных мероприятий, тесно взаимосвязанных с административно-правовым регулированием обеспечения информационной безопасности с помощью издания локальных-нормативно правовых актов.
К первому виду организационных мероприятий относятся разовые мероприятия, которые проводятся однократно либо при принятии новых административных решений, а также при полном пересмотре ранее принятых решений. К разовым мероприятиям административно-правового обеспечения информационной безопасности следует отнести: [19]
1) создание нормативно-правовых, нормативно-методологических баз, в которых разработаны основные принципы и концепции по безопасной работе с информацией;
2) осуществление специальных проверок в рамках обнаружения утечек и наводок должностных лиц на подобные утечки;
3) выявление наиболее уязвимых мест при процессах обработки информации;
4) формирование и организацию охраны, и обеспечение надлежащего уровня пропускного режима;
5) организация порядка обновления программного обеспечения и установки нового, и распределение соответствующих полномочий среди должностных лиц.
Ко второму виду организационных мероприятий относятся периодические мероприятия, как правило, с указанием точной даты либо периода времени. Периодические мероприятия проводятся при наличии каких-либо изменений в защите автоматизированных систем. Среди периодических изменений можно отметить организацию: [20]
1) порядка распределения доступа, а именно, паролей и ключей шифрования;
2) порядка работы с различными системными журналами, а также принятия мер по обнаруженным нарушениям в данных журналах;
3) порядка анализа состояния и оценки применяемых мер и средств защиты.
К третьему виду организационных мероприятий относятся постоянные мероприятия, которые проводятся непрерывно. Среди них: [21]
1) Меры физической защиты компонентов автоматизированных систем, а именно, меры по охране помещений, противопожарной охраны, обеспечения сохранности носителей информации;
2) Меры по управлению (администрированию) используемых средств защиты;
3) Меры контроля;
4) Меры собственной службы безопасности, а также с привлечением сторонних специалистов.
К четвертому виду относят мероприятия при возникновении различных изменений в информационной автоматизированной системе либо изменений во внешней среде. К ним относят:
1) кадровые изменения в составе персонала, различные перестановки и увольнения действующего персонала;
2) процесс ремонта оборудования;
3) подборка и расстановка кадров, а именно, проверка при приеме на работу, ознакомление с правилами по работе с информацией, обучение персонала, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.
Наряду с осуществлением данных мероприятий и мер, в организационно-распорядительных документах должно быть отражено:
1) соотнесение критериев автоматизированных рабочих мер с категориями требуемой степени защищенности информации;
2) порядок отнесения автоматизированных рабочих мест к требуемым степеням защищенности информации, в том числе по заявкам руководителей соответствующих подразделений;
3) типовые настройки программного обеспечения;
4) отражение основных принципов комплексной защиты информации.[22]
Кроме указанных организационных мероприятий, в научных работах также отмечают такие подходы, как необходимость определения организационных мероприятий в рамках:
— определения объемов информации (входной и обрабатываемой);
— установления периодичности предоставления информации;
— установление источников исходной информации;
— установление порядка ввода информации, её движения;
-определение способов и форм хранения информации;
— определение достоверности информации.[23]
Регулирование информационной безопасности осуществляется с помощью таких нормативно правовых актов, как различные международные акты, федеральные законы, в том числе кодексы, указы президента, распоряжения правительства и иные локальные нормативно-правовые акты.
Среди международных актов следует отметить Соглашение о сотрудничестве государств — членов Организации Договора «о коллективной безопасности в области обеспечения информационной безопасности», заключённого в Минске 30.11.2017. Данный нормативный акт основан на Договоре «о коллективной безопасности», подписанном в г. Ташкенте 15.05.1992 (далее – соглашение о безопасности).
Данное соглашение о безопасности на данный момент ещё не вступило в силу, однако в нём отражены все основные тенденции по обеспечению информационной безопасности на международном уровне. Так, в данном соглашении понятие информационной безопасности означает состояние защищенности личности, общества, государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве. Целью данного соглашения является совершенствование механизмов по противодействию угрозам в информационной сфере, выражающееся в проведении совместных операций, формировании единой системы обеспечения информационной безопасности и осуществлении взаимной помощи между странами.
Так согласно статье 4 данного соглашения для совершенствования обеспечения информационной безопасности страны-участницы данного соглашения должны сформировать и развивать меры доверия, технологические основы информационной безопасности, а также условия для взаимодействия компетентных государственных органов.
В целом, данное соглашение обязывает участвующие в ней государства принять должные меры по содействию в области обеспечения информационной безопасности.
Кроме данного соглашения, правительства различных стран заключают аналогичные двухсторонние соглашения, например, Соглашение между Правительством Российской Федерации и Правительством Южно-Африканской Республики «О сотрудничестве в области обеспечения международной информационной безопасности», заключённое в г. Сямэне 04.09.2017; Соглашение между Правительством Российской Федерации и Правительством Китайской Народной Республики «О сотрудничестве в области обеспечения международной информационной безопасности», заключённое в г. Москве 08.05.2015 (далее – соглашение с КНР); Соглашение «О сотрудничестве государств-участников Содружества Независимых Государств в области обеспечения информационной безопасности», заключённое в г. Санкт-Петербурге 20.11.2013 и тому подобные соглашения.
Так в статье 3 Соглашения с КНР предусмотрены следующие основные направления для осуществления сотрудничества:
— создание специальных каналов связи для совместного реагирования на угрозы;
— разработка международных и национальных норм права обеспечения информационной безопасности, а также содействие в рамках создания нормативно-правовой базы;
— обмен информации в целях расследования происшествий в рамках обеспечения информационной безопасности, в том числе в правоохранительной области;
— сотрудничество государственных органов в рамках обеспечения информационной безопасности, а также создание условий для взаимодействия компетентных государственных органов;
— обмен технологиями и совместное реагирование на компьютерные инциденты;
— взаимодействие с ООН, Международным союзом электросвязи, Международным союзом стандартизации и иными международными организациями;
— формирование и содействие в научных исследованиях, в том числе проведение семинаров, конференций, совместной подготовке специалистов в данной области;
— изучение потенциальных рисков, угроз, уязвимостей информационной безопасности, их оценка, предупреждение.
Статья 6 соглашения с КНР также отсылает и на иное ранее заключенное Соглашение между Правительством Российской Федерации и Правительством Китайской Народной Республики «о взаимном обеспечении защиты и сохранности секретной информации», которое предусматривает обмен информацией в рамках государственных тайн обоих государств, соотношения грифов секретности России и Китая.
В международных актах также предусмотрены иные специальные нормативные акты, которые так или иначе затрагивают сферу обеспечения информационной безопасности, например, «Конвенция о преступности в сфере компьютерной информации», заключенная в г. Будапеште 23.11.2001; Окинавская хартия глобального информационного общества, принятая на о. Окинава 22.07.2000 (далее – Окинавская хартия).
Окинавская хартия предусматривает в п.10 необходимость для граждан предоставить максимально широкие возможности для доступа в Интернет, в том числе к доступу в публичные учреждения, способствовать совершенствованию доступа в неблагополучных районах.[24]
Суть подобных международных актов заключается в том, что развитие современного глобального информационного общества возможно только в условиях согласованных действий в рамках международного сообщества. При этом специалисты также отмечают, что если какая-либо информация выходит за рамки доступности, то для запрета доступа к данной информации должны быть разработаны специальные стандарты ограничений. [25]
Среди действующих федеральных законов следует отметить, в первую очередь, Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Федеральный закон об информации). Данный закон является базовым и регулирует права граждан в области информации, применения информационных технологий и обеспечения защиты информации, устанавливает ограничения доступа к информации.
Защита информации регламентируется ст.16 Федерального закона об информации. Анализируя данные положения, защита информации является обязанностью обладателя информации вне зависимости от характера такой информации за исключением общедоступной. Единой ответственности за нарушение данной обязанности в законодательстве не установлено, однако такая ответственность предусматривается в зависимости от того, какая категория информации была раскрыта, например, информация о государственной тайне, информация о персональных данных, налоговая тайна, банковская тайна и тому подобные тайны.[26]
Проанализировав действующее законодательство, можно отметить, что основания для ограничения доступа к информации предусмотрены следующими федеральными законами:
— в отношении государственной тайны — статьёй 5 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне»; Указом Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне»; статьями 5, 9 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности»;
— в отношении коммерческой тайны — Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
— в отношении персональных данных — статьёй 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— в отношении налоговой тайны — статьями 102 и 313 Налогового кодекса РФ;
— в отношении информации, полученной в ходе проведения проверок российских участников внешнеэкономической деятельности — статьёй 17 Федерального закона от 18.07.1999 № 183-ФЗ «Об экспортном контроле».
Необходимо отметить Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы» (далее – Указ об информационном обществе).
В Указе об информационном обществе в п.п. «а» п. 4 дана дефиниция безопасного программного обеспечения, под которой понимается непосредственно программное обеспечение и сервис, сертифицированные на соответствие требованиям к информационной безопасности, устанавливаемым федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, или федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
Кроме того, в Указе об информационном обществе указывается о необходимости обеспечения безопасности в п.п. «б» и «г» п. 21, в том числе с необходимостью создания безопасного взаимодействия между гражданами, организациями и государственными органами. При этом в п.п. «о» п. 26 регламентируется необходимость формирования нормативно-правовой, консультативной, технологической и технической помощи для предупреждения, обнаружения, предотвращения и отражения угроз информационной безопасности и ликвидации их последствий. В п.п. «д» п. 29 Указа об информационном обществе отмечается необходимость замены зарубежного оборудования отечественным, а также необходимость обеспечения технологической и производственной независимости информационной безопасности.
Анализируя Указ Президента РФ от 31.12.2015 № 683 «О Стратегии национальной безопасности Российской Федерации», можно заметить, что положения об информационной безопасности включены в такие разделы, как: государственная и общественная безопасность, экономический рост, стратегическая стабильность и равноправное стратегическое партнерство, организационные, нормативно-правовые и информационные основы реализации стратегии.
Данное обстоятельство подчёркивает особую роль информационной безопасности в сохранении национальной безопасности и является основой выражения теории дуалистичности информационной безопасности, рассмотренной в первом параграфе настоящей работы.
Данные положения отражены и в Указе Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» (далее – Доктрина информационной безопасности).
В Доктрине информационной безопасности отражены сами угрозы и средства по обеспечению надлежащего уровня защиты информационной безопасности. В п. 24 и 25 доктрины информационной безопасности регламентируется, что обеспечение информационной безопасности в экономической сфере является одной из стратегических целей. Обеспечение информационной безопасности в данном указе должно осуществляться с помощью сведения к минимуму негативных факторов, которые обусловлены недостаточным развитием отечественной отрасли информационных технологий, проведения политики инновационного развития отрасли информационных технологий, а также необходимостью оказания качественных услуг по обеспечению информационной безопасности.
Кроме того, в доктрине информационной безопасности отражено понятие информационной безопасности. Данное понятие является сочетанием ранее указанных научных понятий, проанализированных в первом параграфе настоящей главы. Дефиниция информационной безопасности в Доктрине информационной безопасности обозначает состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.
Проанализировав п. «к» статьи 12 Федерального закона от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности»; п. 5.1(1) Постановления Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»; абз. 3 п.п. 4 п. 4 Указа Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю», можно отметить, что:
— надзор за соблюдением государственной тайны осуществляет Федеральная служба безопасности;
— надзор за защитой персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
— надзор по технической защите информации — Федеральная служба по техническому и экспортному контролю.
Подводя итог, необходимо отметить, что административно-правовое регулирование обеспечения информационной безопасности построено на уровне всех видов законодательства, начиная с международных и заканчивая локальными нормативно-правовыми актами.
Локальные нормативно-правовые акты, как правило, закрепляют основные организационные мероприятия по обеспечению информационной безопасности, различные сроки их проведения, процедурные особенности проведения подобных организационных мероприятий.
Рассмотрев регламентацию обеспечения информационной безопасности в международных нормативно-правовых актах и национальном законодательстве, можно сделать вывод, что понятие информационной безопасности в наше время выработано и имеет значение состояния защищенности для определённых субъектов. Кроме того, в национальном законодательстве в настоящее время выработаны и основные направления по обеспечению информационной безопасности и совершенствованию данного обеспечения, принятые в виде указов президента, которые, в свою очередь, можно подразделить на доктрины, стратегии и иные нормативно-правовые акты.
В рамках международных соглашений, в которых участвует Россия, понятие информационной безопасности также разработано и имеет более компактную формулировку, являющуюся основой для сотрудничества государств в данной сфере. При этом в международных актах понятие информационной безопасности имеет аналогичную суть в виде формирования состояния защищённости необходимых субъектов. Кроме того, аналогично национальному законодательству, в каждом соглашении выработаны специальные направления по взаимодействию между странами для обеспечения информационной безопасности и совершенствования данного обеспечения. Более того, зачастую подобные международные соглашения взаимосвязаны с иными соглашениями, например, в рамках обеспечения различных видов тайн, например, государственной.
Система и особенности административно-правового регулирования обеспечения информационной безопасности в таможенном законодательстве РФ
Исходя из научных положений об обеспечении информационной безопасности, исследователи выделяют специальный режим для информации, полученной таможенными органами. Данный режим означает необходимость проработки организационных основ о неразглашении информации, о недопустимости использования должностными лицами таможенных органов информации в личных целях, о недопустимости передачи информации третьим лицам.
Под правовым режимом информационной безопасности таможенных органов следует понимать регламентированный правовыми нормами особый порядок правового регулирования информационных общественных отношений, складывающихся в сфере обеспечения информационной безопасности таможенных органов, осуществляемый при помощи различных юридических средств, направленный на создание состояния защищённости интересов участников информационно-таможенных правоотношений.[27]
Особенность данного правового режима – императивность регулирования. Императивный метод в данном случае означает наличие властных предписаний в регулировании данных отношений, властные предписания в данном случае исходят от компетентного вышестоящего государственного органа или должностного лица, например, ФТС России. Кроме того, данные решения компетентного вышестоящего государственного органа или должностного лица обеспечиваются мерами принудительного характера.[28]
Так, под действие данного режима может попадать следующая информация:
1) информация, составляющая государственную тайну;
2) информация, составляющая служебную или коммерческую тайну;
3) информация, составляющая налоговую тайну;
4) информация, составляющая банковскую тайну;
5) иную конфиденциальную информацию, разглашение которой способно нанести ущерб.[29]
Нормативно-правовые акты, относящиеся к данным режимам, мы упоминали в первой главе, втором параграфе настоящей работы.
При этом, обеспечение информации, связанной с защитой персональных данных в таможенных органах обеспечивается специальными приказами ФТС России, например, Приказ ФТС России от 18 декабря 2014 г. № 2495 «Об утверждении правил обработки персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, представительствах (представителями) таможенной службы Российской Федерации в иностранных государствах»; приказ ФТС России от 11 августа 2015 г. № 1611 «Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов Российской Федерации»; приказ ФТС России от 10 сентября 2015 г. № 1846 «Об ответственном за организацию обработки персональных данных в ФТС России» и иными приказами ФТС России и нижестоящих таможенных органов.
Данные приказы регламентируют, что при обеспечении защиты персональных данных выявляются факторы реальных и актуальных уровней угроз, достаточности и эффективности предпринимаемых мер, определяют систему контроля информации и тому подобных действий.[30]
В системе обеспечения информационной безопасности таможенных органов РФ при защите информации выделяют содержательную часть – это сохранение смысла информации и специальную часть – это защита информации от внешних воздействий и уничтожения.
При обеспечении информационной безопасности в таможенных органах РФ также выделяют два направления: внутреннее – нормальное функционирование таможенных органов и внешнее – обеспечение национальной безопасности в результате обеспечения информационной безопасности таможенных органов.[31]
Кроме того, необходимо отметить такие направления защиты, как:
1) защита данных внутри всех таможенных органов, в том числе при передаче информации между таможенными органами;
2) защита автоматизированных систем антивирусной защитой;
3) защита от несанкционированного доступа;
4) использование цифровых подписей и систем цифрового документооборота;
5) защита внутренней электронной почты;
6)защита персональных данных;
7)защита на международном уровне обмена информацией.
Данный перечень не является исчерпывающим, так или иначе невозможно точно описать все направления информационной защиты в таможенных органах.
Кроме указанных направлений защиты, необходимо выделить структуру защиты информации в таможенных органах РФ. Структура защиты информации состоит из законодательного уровня, административного уровня, процедурного уровня, программно-технического уровня.
Законодательный уровень является основой построения системы защиты информации. На данном уровне регламентируются базовые понятия, определяются меры наказания для правонарушителей.
Административный уровень является совокупностью распорядительной документации, а именно приказов ФТС России, РТУ, таможен, регламентирующих действия по защите информации.
Процедурный уровень является набором методических правил, применяемых пользователями в целях обеспечения безопасности информации. Формируется на основе инструкций пользователя, оформленных в соответствии с руководящими документами – специальными требованиями и рекомендациями, типовыми инструкциями.
Программно-технический уровень обеспечивается в ФТС России Системой Обеспечения Безопасности Информации, в состав которой входят подсистемы антивирусной защиты, криптографической защиты, межсетевого экранирования, защиты от несанкционированного доступа, выявления каналов утечки информации.
Таможенное законодательство Таможенного союза уделяет особую роль по обеспечению информационной безопасности. Так в ТК ЕАЭС выделена отдельная глава 48 Об информационных системах и информационных технологиях, используемых таможенными органами.
Кроме того, статья 367 ТК ЕАЭС регламентирует особенности защиты информации и прав лиц, которые учувствуют в информатизации и информационных процессах. Так применение специальных средств защиты, оценка уровня защиты, защита прав граждан определяется национальным законодательством стран-участниц ЕАЭС.
При этом в теории таможенного права под информационными системами таможенных органов, как правило, рассматривают упорядоченную совокупность информационных ресурсов и технологий для обеспечения эффективной работы таможенных органах, например, в области таможенного оформления и таможенного контроля.[32]
Последние изменения таможенного законодательства, создание центра электронного декларирования – всё это постоянно развивает информационные системы, в результате чего произошла и происходит интеграция информационных систем таможенных органов с участниками ВЭД, иных государственных органов и организаций.[33]
Вне рамок главы 48 ТК ЕАЭС особенности регулирования информации также регламентированы статьями 360 и 361 ТК ЕАЭС, в которых закреплены особенности ведения таможенной статистики и сбора таможенными органами информации о лицах. Кроме того, статья 375 ТК ЕАЭС устанавливает гарантии защиты информации, которая получена в рамках взаимодействия таможенных органов, в виде ограничения круга лиц, имеющих доступ к данной информации.
Итак, исходя из анализа норм ТК ЕАЭС, можно сделать вывод, что обеспечение информационной безопасности осуществляется национальным законодательством стран-участниц ЕАСЭ, каких-либо единых международных нормативных актов таможенное законодательство в рамках ЕАЭС не предусматривает.
Федеральный закон от 27.11.2010 № 311-ФЗ «О таможенном регулировании в Российской Федерации» (далее – Закон о таможенном регулировании) устанавливает п. 3 ст. 33, что защита государственной тайны, банковской тайны, налоговой тайны и иной информации обеспечивается законодательством РФ.[34]
Кроме того, Закон о таможенном регулировании в п.п. 4 п. 3 ст. 88 устанавливает одним из обязательных условий для юридического лица при приобретении статуса уполномоченного экономического оператора необходимость обеспечивать защиту информации, предотвращения несанкционированного доступа к информации, имеющейся у данного юридического лица.
Статья 101 Закона о таможенном регулировании устанавливает отсылочным регулированием к статьям ТК ЕАЭС, а также к Приказу ФТС России от 25.10.2011 № 2187 «Об утверждении Положения об использовании участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, средств электронной подписи при реализации информационного взаимодействия с таможенными органами Российской Федерации», который регламентирует использование средств электронной подписи. С помощью электронной подписи обеспечивается безопасное взаимодействие должностных лиц и граждан. Так, при пересылке электронных документов электронная подпись является надлежащим уведомлением о том, что информация передаётся именно тому лицу, которому она предназначена. Более того, квалифицированная электронная подпись расценивается аналогично обычной подписи и является гарантом подлинности документов.[35]
Необходимо также отметить, что современное обеспечение информационной безопасности и модернизация обеспечения безопасности основано на Приказе ФТС России от 13.12.2010 г. № 2401 «О Концепции обеспечения информационной безопасности таможенных органов РФ на период до 2020г» (далее – Концепция ИБТО). Концепция ИБТО регулирует защиту информации путём:
1) совершенствования соответствующих нормативно-правовых актов;
2) проведения единой политики в области обеспечения информационной безопасности таможенных органов РФ;
3) совершенствования режимов обеспечения информационной безопасности, а также перспективных информационных технологий;
4) внедрения в таможенные органы технических средств на основе последних достижений науки и техники;
5) подготовки предложений по постоянному совершенствованию ведомственных систем информационной безопасности таможенных органов РФ.
К национальным интересам, которые должны быть защищены, Концепция ИБТО относит:
1) защиту прав и свобод граждан в области использования таможенной информации, в том числе, полученной в результате оперативно-розыскной деятельности;
2) предоставление доступа гражданам к отрытой информации в таможенной сфере;
3) защиту от несанкционированного доступа.[36]
Ведомственная система обеспечения информационной безопасности представляет собой совокупность организационной структуры, правового и финансового обеспечения организационно-технических методов и средств, оперативно-розыскных мер, а также персональной ответственности должностных лиц и работников таможенных органов. Все данные элементы входят в основу понятия информационно-технической политики ФТС России.
Организационная структура информационной безопасности основана на разграничении полномочий среди должностных лиц таможенных органов. Данная структура включает в себя полномочия:
1) Руководителя Федеральной таможенной службы;
2) Совета по информационной безопасности таможенных органов РФ;
3) должностных лиц центрального аппарата ФТС России;
4) Центрального информационно-технического таможенного управления ФТС России;
5) Региональных таможенных управлений;
6) советов по информационной безопасности региональных таможенных управлений;
7) постоянно действующих технических комиссий по защите государственной тайны таможен;
8) структурных подразделений таможенных органов, принимающих участие в соответствии со своими функциями и полномочиями в обеспечении информационной безопасности таможенных органов.
Следует рассмотреть положения Приказа ФТС России от 22.08.2011 № 1702 «Об утверждении Положения и состава Совета по обеспечению информационной безопасности таможенных органов Российской Федерации, о Совете по информационной безопасности таможенных органов РФ». (далее – Совет). Совет является постоянно действующим внештатным органом ФТС России по проведению государственной политики в области обеспечения информационной безопасности, в том числе защиты сведений, составляющих государственную тайну, в таможенных органах Российской Федерации и в учреждениях, находящихся в ведении ФТС России.
Ключевыми задачами Совета являются: обеспечение государственной тайны, противодействие иностранным разведкам, совершенствование информационной безопасности, выработка единой политики в области защиты информации.
В рамках деятельности Находкинской таможни для обеспечения информационной безопасности 14 апреля 2005 года была создана Информационно-техническая служба, в состав которой включены два специальных отдела: отдел эксплуатации функциональных подсистем и информационного обеспечения и отдел системотехнического обеспечения средств вычислительной техники. [37]
Административный уровень защиты информации регламентируется ФТС России с помощью государственно-властных предписаний, участия в формировании нормативно-правовых актах, приказах и иных локальных нормативно-правовых актах.
Основной структурой, предназначенной для обработки информации в таможенных органах, является Доменная Структура ЕАИС ТО.
Для осуществления передачи информации между подразделениями и должностными лицами таможенных органов, введена в эксплуатацию система Ведомственной Электронной Почты.
Важная роль по идентификации и аутентификации пользователя доменной структуры возложена на механизмы электронной подписи.
Административно-правовое регулирование мы рассмотрим далее на примере деятельности Находкинской таможни и соответствующих приказов.
Среди основных задач согласно Приказу ФТС России от 18.07.2012 года № 361 «Об утверждении Положения информационно-технической службы» являются: оснащение структурных подразделений информационно-техническими средствами, сопровождение программного обеспечения, обеспечение информационной безопасности и технической защиты информации в системе Единой автоматизированной информационной системы, обеспечение необходимыми видами связи.
Вместе с тем, административно-правовое регулирование информационной безопасности в Находкинской таможне также регулируется Приказом ФТС России от 26.08.2011 № 1533 «Об утверждении Положения о Подсистеме ведомственной электронной почты Доменной структуры единой службы каталогов Единой автоматизированной информационной системы таможенных органов» (далее – приказ о ВЭП).
Так, доменная структура единой службы каталогов Единой автоматизированной информационной системы таможенных органов разработана с целью обеспечения централизованного администрирования эксплуатируемых в таможенных органах программных средств, управления политиками информационной безопасности на специализированных серверах и автоматизированных рабочих местах должностных лиц таможенных органов и учреждений, находящихся в ведении ФТС России, входящих в состав Единой автоматизированной информационной системы и повышения обеспечения информационной безопасности при доступе к ресурсам центральной базы данных таможенных органов.
Данный приказ о ВЭП описывает также организационную структуру, в том числе назначение на должность администраторов, порядок доступа к информационным ресурсам, создание учётных записей, а также сроки и порядок уведомления вышестоящих таможенных органов о совершении вышеописанных действий.
Приказ ФТС России от 28.08.2009 № 1349 «Об утверждении Положения о Доменной структуре единой службы каталогов Единой автоматизированной информационной системы таможенных органов» устанавливает непосредственно данную структуру, порядок назначения администратора на должность, порядок создания и удаления учётных записей для пользователей, регламентирует технические меры защиты информации.
Условия использования электронной подписи регламентированы Приказом ФТС России от 28.07.2012 № 1266 «Об утверждении Порядка эксплуатации средств криптографической защиты информации, реализующих механизмы электронной подписи должностными лицами (работниками) таможенных органов РФ» (далее – приказ об ЭП). Данный приказ устанавливает случаи, при которых должна быть использована электронная подпись, а именно, в процессе работы с программным обеспечением из состава Единой автоматизированной системы; в процессе осуществления электронного взаимодействия с иными органами исполнительной власти; в процессе осуществления юридически значимого информационного обмена.
Пункт 4 приказа об ЭП запрещает должностным лицам использовать электронную подпись для недостоверной информации либо информации, в истинности которой нет возможности убедиться.
В пунктах 9 -14 регламентируются действия должностных лиц, когда должна быть использована квалифицированная электронная подпись.
Приказ об ЭП также указывает порядок получения сертификатов электронной подписи, сроки их выдачи.
Кроме указанных ранее приказов, необходимо отметить приказ ФТС России от 21.11.2012 № 2367 «Об утверждении положения о подсистеме антивирусной защиты информации таможенных органов» (далее – положение об АЗ). Положение об АЗ регламентирует порядок эксплуатации АЗ, обновления антивирусных баз, действия должностных лиц при обнаружении вирусных программ, взаимодействие Главного управления информационных технологий с Центральным информационно-техническим таможенным управлением.
Таким образом, структура защиты информации в таможенных органах РФ состоит из законодательного уровня, административного уровня, процедурного уровня, программно-технического уровня.
Ключевой особенностью административно-правового регулирования информационной безопасности в таможенных органах РФ является наличие специального правового режима информационной безопасности таможенных органов РФ, который обеспечивается императивным методом регулирования.
При этом система обеспечения информационной безопасности таможенных органов РФ основана на содержательной и специальной частях; регламентирует два направления- внутреннее и внешнее. Административный уровень является совокупностью распорядительной документации, а именно, приказов ФТС России, РТУ, таможен, регламентирующих действия по защите информации.
Проблемы административно-правового регулирования, возникающие при обеспечении информационной безопасности в таможенных органах РФ
В данной главе настоящей работы рассмотрим проблемы административно-правового обеспечения информационной безопасности в таможенных органах РФ с точки зрения обычных пользователей программных средств — должностных лиц, не имеющих специальных знаний и образования в области обеспечения информационной безопасности.
Информационная безопасность в таможенных органах РФ в рамках административно-правового регулирования основана на множестве внутренних нормативно-правовых актах и рекомендационных писем. Соответствующие приказы и инструкции структурированы в рамках работы ФТС России, РТУ, нижестоящих таможенных органов, информационно- технических служб таможен и подконтрольных им отделов.
Информационная служба с помощью различных технических средств запрещает на рабочих станциях совершать определённые действия, которые способны привести к нарушению основ информационной безопасности, а в случае если были выявлены подобные нарушения, проводятся расследования произошедших инцидентов.
До должностных лиц таможенных органов доводятся все приказы и письма, регламентирующие информационную безопасность. Приказы, как правило, утверждают инструкции или порядок действий должностных лиц – пользователей, на которых накладываются определенные ограничения или запреты при использовании программных средств. Например, согласно письму ДВТУ от 03.07.2017 № 13-02-08/1000300 «Об отключении USB –носителей» (далее — Письмо ДВТУ), должностные лица таможенных органов не вправе использовать при работе с компьютером любые флэш-носители, что относится также к фотоаппаратам, мобильным телефонам и иному оборудованию, так как все перечисленные технические средства подключаются с применением однотипной технологии.
При необходимости передать сведения с вышеуказанных устройств пользователь обязан подать заявку, которая обрабатывается в течение определенного срока, после этого приобретается специальное оборудование, предназначенное для работы таможенных органов. По завершении проведения данной процедуры должностным лицам, оформившим заявку, выдаётся специальное оборудование.
Такая регламентация касается не только определённого оборудования- специальные нормы в различных приказах регламентируют работу с ведомственной электронной почтой, при использовании электронных подписей и прочих электронных сервисов. Данные приказы рассматривались в предыдущем параграфе настоящей работы.
Цель приведённых императивных норм в том, чтобы запретить должностным лицам использовать подобное оборудование вне рабочего места. Таким образом, предполагается, что отсутствие подключений данных устройств к рабочим станциям, по вопросам, не относящимся к деятельности таможенных органов, предотвратит заражение вируссодержащими программами оборудования, находящегося в ведении таможенного органа.
При этом, подобное сертифицированное оборудование может быть использовано должностными лицами и вне рабочих мест, где и может произойти заражение вирусами, что в свою очередь, снижает эффективность обеспечения информационной безопасности данным методом регулирования.
Следует отметить, что подрывают эффективность административно-правового регулирования и порождают противоречия положения письма ДВТУ с иными внутренними нормативными актами. Согласно абз. 2 п. 17 приказа ФТС России от 20.11.2014 № 2264 «Об утверждении порядка отбора таможенными органами российской федерации проб (образцов) товаров для проведения таможенной экспертизы, порядка приостановления срока проведения таможенной экспертизы», фотографии прилагаемые к акту таможенного досмотра товаров для экспертов таможенных органов должны быть записаны на неперезаписываемые компакт-диски в 2-х экземплярах, но применение внешних устройств информации не разрешено в соответствии письмом ДВТУ.
Вместе с тем, систематически должностными лицами таможенных органов игнорируется соблюдение правил информационной безопасности по причине личной недисциплинированности, либо в случае возникновения крайней необходимости, например, при выходе оборудования из строя, когда заканчивается срок для совершения определённых процедурных и (или) процессуальных действий, а подобное оборудование требуется для их совершения.
Должностные лица таможенных органов вынуждены пересылать электронной почтой необходимую информацию, однако размер данной информации ограничен, что не позволяет, одновременно пересылать большое количество фотографий со служебных фотоаппаратов, и это обстоятельство увеличивает сроки совершения таможенных операций и снижает эффективность работы таможенных органов, а также ведет к нарушению процедурных и процессуальных сроков.
Одним из способов решения данной проблемы является регистрация внештатной ситуации в каждом аналогичном случае.
Сведения о возникшей внештатной ситуации позволяют передавать данную информацию в рамках взаимодействия с отделами, специализирующимися на информационной безопасности. Предполагается, что необходимая информация со сторонних устройств должна быть передана специалисту по информационной безопасности, который передаст её в информационную систему таможенных органов без рисков для ущерба информационной безопасности таможенной ведомственной системы РФ.
Следует предусмотреть экстренный порядок получения специального оборудования, а также единый порядок взаимодействия между отделами для данных случаев. Административно-правовая регламентация позволит избежать ошибок в указанных ситуациях при обеспечении информационной безопасности в таможенных органах РФ.
Отсутствие единого нормативно-правового акта для пользователей — должностных лиц, не имеющих специальных знаний в области информационной безопасности таможенных органов, зачастую снижает эффективность обеспечения информационной безопасности, так как должностные лица-пользователи часто игнорируют правила работы с информацией в виду большого объёма в приказах и рекомендационных письмах норм технического характера, наличия технических дефиниций, сокращений технических наименований. Многие правила работы с информацией имеют рекомендательный характер, оформленный в форме писем ФТС России, РТУ, таможен и не обладают важным признаком правовой нормы – общеобязательности для исполнения.
Предлагаем рассмотреть предложение о необходимости разработки и принятия приказа на уровне ФТС России о введении инструкции об основах информационной безопасности и работе с персональными компьютерами в таможенных органах РФ, что позволит повысить информационную безопасность путем административно-правового регулирования. В данной инструкции требуется отразить следующую информацию:
— в общих положениях определить обязанность соблюдения мер информационной безопасности, установить основные дефиниции инструкции;
— разработать разделы с максимальным перечнем безопасных действий, которые должны совершаться должностными лицами постоянно во время работы, а также запреты на совершение определённых действий, например, раздел работы с внутренней электронной почтой, в который необходимо включить процедурные нормы; в порядок подачи заявки на создание электронной почты; следует включить раздел работы с электронными подписями, квалифицированными электронными подписями; включить процедурные нормы по порядку получения электронных подписей, квалифицированных электронных подписей; в раздел по работе с переносными информационными носителями, а также разработать иные разделы по обеспечению информационной безопасности в таможенных органах;
— рассмотреть возможность включения раздела о противодействии должностными лицами нарушения информационной безопасности со стороны иных третьих лиц, например, порядок действий при подозрении на осуществление третьими лицами методов взлома путем использования социальной инженерии, хакерских атак; регламентировать запреты хранения личных паролей на рабочих местах либо на различных технических устройствах;
— следует рассмотреть возможность о включении мер ответственности за нарушение норм данной инструкции.
Кроме того, актуальным вопросом на данный момент является вопрос проработки ответственности должностных лиц после их увольнения за нарушение правил информационной безопасности, выявленные при прохождении ими службы. Так, может возникнуть ситуация, когда работник, зная о приближающемся увольнении, может нанести вред информационной безопасности, например, не будет выполнять необходимые предписания либо, наоборот, повредит определённую информацию. В данных случаях работник должен был быть привлечён к дисциплинарной ответственности, но, когда он уволен, привлечь к дисциплинарной ответственности должностное лицо невозможно.
Для решения данной проблемы следует рассмотреть возможность дополнения действующих нормативно-правовых актов новыми нормами на федеральном уровне. По нашему мнению, за подобные действия должна быть предусмотрена административная ответственность. Состав подобного административного правонарушения следует включить в главу Административные правонарушения, в области информации и связи. Следует рассмотреть возможность дополнить КоАП РФ ч. 8 статьи 13.12 следующего содержания – умышленное нарушение правил информационной безопасности, не содержащее признаков уголовного деяния, совершённые при увольнении из государственных органов.
Актуальным вопросом административно-правового обеспечения информационной безопасности также можно отметить эффективность обучения должностных лиц. Некоторые пользователи не воспринимают теоретические материалы по информационной безопасности, так как имеют слабые навыки работы с информационными технологиями.
Следует рассмотреть возможность приобретения именно практических навыков работы с программными средствами, а точнее, правил хранения файлов, работы с электронной почтой, правил работы при обнаружении вирусов. Для этого следует рассмотреть возможность разработки и принятия приказа, в котором будет регламентировано практическое обучение сотрудников таможенных органов РФ основам информационной безопасности. Так, следует выделять программные комплексы для практической работы с вирусами, например, пользователю предоставляется заранее заражённые флэш-носители информации с вируссодержащей информацией, а также флэш-носители с отсутствием вируссодержащей информации, затем обучаемое лицо должно продемонстрировать, какие действия будет осуществлять с тем или иным флэш-носителем, при этом обучаемый не должен знать, заражён носитель или нет.
Такая административно-правовая организация обучения основам информационной безопасности в таможенных органах Российской Федерации позволит укрепить и усовершенствовать информационную безопасность.
С точки зрения научных положений, специалисты также выделяют такие проблемы по обеспечению информационной безопасности в таможенных органах РФ, как:
1) слабый уровень обмена информацией с иными государственными органами;
2) длительные сроки согласования с федеральными органами исполнительной власти технических условий информационного взаимодействия.
Для решения указанных проблем предлагается совершенствовать механизм межведомственного взаимодействия.[38]
Подводя итог, необходимо заметить, что в настоящее время административно-правовое обеспечение информационной безопасности в таможенных органах РФ осуществляется большим множеством специальных приказов и инструкций ФТС России, периодически не корреспондирующих между собой. Несмотря на указанные актуальные вопросы и выявленные проблемы, информационная безопасность в таможенных органах РФ функционирует на должном и высоком уровне, однако любой механизм следует совершенствовать, информационная безопасность в таможенных органах РФ также не стоит на месте. Постоянное изменение информационных технологий, модернизация оборудования, формирование новых концепций об обеспечении информационной безопасности, а также национальной безопасности, формирование новых нормативно-правовых актов — все данные мероприятия позволят обеспечить информационную безопасность в соответствии с современными реалиями информационного общества.
Заключение
В настоящей работе были рассмотрены вопросы относительно научных положений обеспечения информационной безопасности в РФ и, соответственно, правового регулирования в целом, внедрение информационной безопасности в таможенных органах методом административно-правового регулирования. Выделены и проанализированы проблемы, а также предложены рекомендации по совершенствованию административно-правового регулирования обеспечения информационной безопасности в таможенных органах РФ.
На основе выполненной работы можно сделать следующие выводы относительно обеспечения информационной безопасности:
1) Понятие информационной безопасности в различных науках рассматривается соответствующими специалистами по-разному, однако в настоящее время данное понятие сформировано в рамках Указа Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации». При этом в международных источниках, в которых участвует РФ, используется похожая устоявшаяся дефиниция информационной безопасности, заключающаяся в установлении ключевого признака – состояния защищённости от различных угроз для определённых субъектов, которые подлежат защите;
2) Информационная безопасность непосредственно взаимосвязана с национальной безопасностью, в научных источниках данное положение имеет название дуалистичность информационной безопасности.
3) Для обеспечения современного правового уровня обеспечения информационной безопасности необходимо учитывать и разграничивать такие понятия, как информация, безопасность, безопасность информации, кибербезопасность, информационное противоборство, информационная война, угрозы безопасности информации;
4) Для эффективного обеспечения информационной безопасности в любой области следует разрабатывать и придерживаться таких типовых положений, как цель, защищаемые объекты и принципы обеспечения информационной безопасности;
5) Информационная безопасность регламентирована на уровне всех видов законодательства, начиная с международных и закачивая локальными нормативно-правовыми актами, а при обеспечении информационной безопасности необходимо учитывать нормы всех отраслей права.
6) Среди организационных мероприятий по обеспечению информационной безопасности выделяют разовые, например, создание нормативно-правовой базы; периодические, например, распределение доступа к информации; постоянные, например, меры охраны помещений и контроля; а также мероприятия при возникновении различных изменений в информационной автоматизированной системе либо изменений во внешней среде, например, кадровые изменения или ремонт оборудования.
Относительно обеспечения информационной безопасности в таможенных органах РФ можно сделать следующие выводы:
1) Структура защиты информации в таможенных органах РФ состоит из законодательного уровня, административного уровня, процедурного уровня, программно-технического уровня;
2) Административно-правовое обеспечение при этом является совокупностью распорядительной документации, а именно приказов ФТС России, РТУ, таможен, регламентирующих действия по защите информации, и регламентируется с помощью государственно-властных предписаний;
3) Система обеспечения информационной безопасности таможенных органов РФ основана на содержательной части (сохранение смысла информации) и специальной (защита информации); а также регламентирует два направления: внутреннее (безопасность внутри таможенных органов) и внешнее (национальная безопасность);
4) Спецификой правового регулирования информационной безопасности таможенных органов в научной литературе считается наличие специального режима информационной безопасности таможенных органов РФ, регламентируемого императивным методом.
Среди актуальных вопросов и проблем, выявленных в рамках административно-правового обеспечения информационной безопасности, необходимо отметить:
1) ввиду невозможности использования любых внешних носителей информации, в том числе штатных фотоаппаратов и иного оборудования на автоматизированных рабочих местах, возникло множество неурегулированных ситуаций, не предусмотренных в нормативных актах, в том числе при выходе оборудования из строя;
2) отсутствие единого нормативно-правового акта для пользователей — должностных лиц, не имеющих специальных знаний в области информационной безопасности таможенных органов, что, зачастую, снижает эффективность обеспечения информационной безопасности.
3) неурегулированным вопросом на данный момент является вопрос ответственности должностных лиц после их увольнения за умышленное нарушение правил информационной безопасности, не содержащее признаков уголовного деяния, совершённое при прохождении ими службы.
4) актуальным вопросом административно-правового обеспечения информационной безопасности также можно отметить недостаточную эффективность обучения должностных лиц. Разрешение указанных актуальных вопросов в рамках административно-правового регулирования позволит повысить эффективность информационной безопасности в таможенных органах
[1] Карцхия А.А. Цифровой императив: новые технологии создают новую реальность // ИС. Авторское право и смежные права. 2017. № 8. С. 17.
[2] Жарова А.К. Право и информационные конфликты в информационно-телекоммуникационной сфере: монография. М.: Янус-К, 2016. С.3-15.
[3] Сухаренко А.Н. Законодательное обеспечение информационной безопасности в России // Российская юстиция. 2018. № 2. С. 3.
[4] Седякин В. П. Информация и знания/ Научные ведомости Белгородского государственного университета. Серия: Философия. Социология. Право. 2009. С. 181.
[5] Недосекова Е.С. Административно-правовой механизм обеспечения информационной безопасности таможенных органов Российской Федерации: монография / Е.С. Недосекова. М.: Изд-во Российской таможенной академии,2013. С. 25.
[6] Тризно Т.А. Электронное правительство как инструмент реализации государственной информационной политики Канады: Дис. … канд. полит. наук.: 23.00.02 Астрахань, 2014. С. 16, 60 — 63.
[7] Мартиросян Т.А. Правовое обеспечение информационной безопасности РФ: Автореф. дис. … канд. юрид. наук.: 12.00.14. М., 2005. С. 10.
[8] Жигоцкий П.Э., Чесноков Н.А. Проблемы информационной безопасности (защита от информации, распространение которой запрещается) // Российский следователь. 2015. № 4. С. 35.
[9] Буренин А.Н., Легков К.Е. Вопросы безопасности инфокоммуникационных систем и сетей специального назначения: основные угрозы, способы и средства обеспечения комплексной безопасности сетей // Наукоемкие технологии в космических исследованиях Земли. 2015. Т. 7. № 3. С. 46-48.
[10] Безкоровайный М.М., Татузов А.Л. Кибербезопасность подходы к определению понятия// Вопросы кибербезопасности № 1. 2014. C. 22-24
[11] Федотова Ю.Г. Электронная демократия как средство обеспечения информационной безопасности государства // Информационное право. 2016. № 3. С. 21.
[12] Ефремова М.А. Социальная обусловленность уголовно-правовой охраны информационной безопасности Российской Федерации // Вестник Пермского университета. Юридические науки. 2017. № 2. С. 222.
[13] Воровнова М. Персонал всегда остается главным «подозреваемым» при утечках информации // Трудовое право. 2016. № 11. С. 87.
[14] Ефремова М.А. Социальная обусловленность уголовно-правовой охраны информационной безопасности Российской Федерации // Вестник Пермского университета. Юридические науки. 2017. № 2. С. 224.
[15] Недосекова Е.С. Административно-правовой механизм обеспечения информационной безопасности таможенных органов Российской Федерации: монография / Е.С. Недосекова. М.: Изд-во Российской таможенной академии, 2013. С.22-23.
[16] Мирских И.Ю. Седьмой Пермский конгресс ученых-юристов (г. Пермь, 18 — 19 ноября 2016 г.): сборник научных статей / В.В. Акинфиева, Л.А. Аксенчук, А.А. Ананьева и др.; отв. ред. В.Г. Голубцов, О.А. Кузнецова. М.: Статут, 2017. С.277-278.
[17] Амелин Р.В. Правовой режим государственных информационных систем: монография / под ред. С.Е. Чаннова. М.: ГроссМедиа, 2016. С. 90.
[18] Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» (постатейный). М.: Статут, 2015. С.18-22.
[19] Ищейнов В.Я. Информационная безопасность // Делопроизводство. 2015. № 2. С. 55.
[20] Ищейнов В.Я. Информационная безопасность // Делопроизводство. 2015. № 2. С. 56.
[21] Там же. С.56.
[22] Ищейнов В.Я. Информационная безопасность // Делопроизводство. 2015. № 2. С. 56.
[23] Амелин Р.В. Правовой режим государственных информационных систем: монография / под ред. С.Е. Чаннова. М.: ГроссМедиа, 2016. С. 17.
[24] Хуснутдинов А.И. Право на доступ в Интернет — новое право человека? // Сравнительное конституционное обозрение. 2017. № 4. С. 118.
[25] Шайхаттарова С.В. Россия и международные стандарты по борьбе с киберпреступностью // Международное уголовное право и международная юстиция. 2016. № 4. С. 28.
[26] Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» (постатейный). М.: Статут, 2015. С.122.
[27] Клименко С.Н. Проблемы обеспечения административно-правовых режимов информационной безопасности в таможенных органах Российской Федерации // Юрист. 2016. № 23. С. 32 — 35.
[28] Кожуханов Н.М. Специфика правового регулирования информационной безопасности таможенных органов. [Электронный ресурс]. URL:http://www.tsouz.ru/db
/it/co№f/Docume№ts/Dow№loads/Materials/v21.pdf (дата обращения: 10.03.2017)
[29] Козырин А.Н. Организационно-правовые основы таможенного регулирования в Таможенном союзе ЕврАзЭс // Реформы и право. 2012. № 1. С. 13 — 14.
[30] Чеботарева А.А. Интернет-коммуникации таможенных органов с гражданами и участниками внешнеэкономической деятельности: вопросы информационной открытости и эффективного взаимодействия при соблюдении информационной безопасности // Таможенное дело. 2016. № 3. С. 34.
[31] Коренькова В.И. Обеспечение информационной безопасности: таможенный аспект // Ростовский научный журнал. 2017. С. 2.
[32] Барбышева Г. И., Мирзаев Ш. Ф. Обеспечение информационной безопасности таможенных органов РФ // Инновационная экономика: материалы II Междунар. науч. конф. Казань: Бук, 2015. С. 24.
[33] Сальникова А.В. Центры электронного декларирования как инновационная форма развития сервиса таможни // Вестник Российской таможенной академии. 2016. № 3. С. 126.
[34] Абрамова Н.В., Авдонина Г.Б., Андреева (Волкова) С.В. и др. Комментарий к Федеральному закону от 27 ноября 2010 г. № 311-ФЗ «О таможенном регулировании в Российской Федерации» под ред. С.А. Овсянникова, Г.Н. Комковой, С.В. Рыбкина // СПС КонсультантПлюс. 2016.
[35] Тимошин С. Утверждено Положение, регламентирующее порядок использования электронной подписи участниками ВЭД // СПС КонсультантПлюс. 2012.
[36] Коренькова В.И. Обеспечение информационной безопасности: таможенный аспект // Ростовский научный журнал. 2017. С. 2.
[37] Информация об информационно-технической службе. Официальный сайт ДВТУ [Электронный ресурс]. URL: http://dvtu.customs.ru (дата обращения: 30.03.2017)
[38] Барбышева Г. И., Мирзаев Ш. Ф. Обеспечение информационной безопасности таможенных органов РФ // Инновационная экономика: материалы II Междунар. науч. конф. (г. Казань, октябрь 2015 г.). Казань: Бук, 2015. С. 22-24.