C развитием компьютерных технологий, коммуникационных сетей появляются новые термины которым не всегда могут дать исчерпывающее определение, в результате чего появляются некоторые пробелы в действующем законодательстве. Такими терминами являются «кибербезопасность» и «киберзащита», а также их соотношение с общеизвестными терминами, как «информационная безопасность» и «защита информации».
С развитием информационных и компьютерных технологий проблемы правового регулирования вопросов связанных с информационной и кибернетической безопасностью набирают все большую популярность и актуальность.
Если раньше компьютеры и связанные с ними технологии не имели широкого распространения и использования, то в настоящее время они присутствуют повсеместно, с их применением построены системы управления различного назначения, состава и уровня, без компьютера немыслима практически ни одна современная профессия.
Исследованию феноменов информации и управления посвящено большое количество научных работ, отражающих различные взгляды на их природу и соотношение [1; 2; 3; 4]. Однако работ, посвященных проблемам соотношения понятий «информационная безопасность», «защита информации» и «кибербезопасность», «киберзащита», в общем, так и по законодательству Республики Казахстан в частности, отсутствуют. А это, в свою очередь, создает некоторые проблемы в правовом регулировании общественных отношений связанных с использованием информации и киберпространства.
В этой связи, в рамках Фундаментального НИР МОН РК 1546/ГФ2: «Правовые основы борьбы с правонарушениями в глобальных коммуникационных сетях», мы посчитали необходимым рассмотреть вопрос соотношения таких понятий, как «информационная безопасность» и «кибербезопасность», а также «защита информации» и «киберзащита» в законодательстве Республики Казахстан.
На территории бывшего Советского пространства, для понимания кибернетической безопасности («кибербезопаснсости), как правило, используют более широкое понятие информационной безопасности, под которым понимают состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие.
В то же время, в демократических странах запада используют термин «кибербезопасность» под которым понимают надежность, устойчивость и неприкосновенность компьютерных сетей, какая бы информация по ним ни распространялась (за исключением детской порнографии и подобного уголовно-наказуемого контента).
В национальном законодательстве Казахстана отсутствуют понятия «кибербезопасность» и «киберзащита», в принципе, то есть, в действующем законодательстве применяются только понятия «информационная безопасность» и «защита информации».
Так, пункт 29 статьи 1 Закона Республики Казахстан «Об информатизации» [5] содержит в себе определение понятия «защита электронных информационных ресурсов», что по сути своей тождественно понятию «защита информации» и означает следующее: «защита электронных информационных ресурсов, информационных систем – комплекс правовых, организационных и технических мероприятий, направленных на их сохранение, предотвращение неправомерного доступа к электронным информационным ресурсам, информационным системам, включая незаконные действия по получению, копированию, распространению, искажению, уничтожению или блокированию информации».
Что касается определения понятия «информационная безопасность», то в пункте 2 статьи 1 Закона «О национальной безопасности Республики Казахстан» [6] «информационная безопасность – состояние защищенности государственных информационных ресурсов, а также прав личности и интересов общества в информационной сфере».
Закон РК «Об информатизации» не содержит как такового определения термина «информационная безопасность», но в пункте 11 статьи 1 данного Закона содержится отсылка к национальному оператору в сфере информатизации, которое представляет собой «юридическое лицо, созданное по решению Правительства Республики Казахстан, на которое собственником в лице государства возложены задачи по интеграции и обеспечению безопасности государственных информационных систем и государственных электронных информационных ресурсов».
Таким образом, проводя соотношение исследуемых терминов в законодательстве Республики Казахстан, мы можем ориентироваться только на имеющиеся в законодательстве Казахстана термины «информационная безопасность» и «защита информации», и отсутствующие в том же законодательстве, но имеющиеся в специальной литературе термины «кибербезопасность» и «киберзащита».
Информационная безопасность, может выражаться в двух вариантах, во-первых, представляет собой организационный элемент системы государственного управления, а во-вторых, представляет собой индикатор эффективности функционирования государственного управления. Это обусловлено тем, что реализация угроз свидетельствует о неэффективности функционирования системы государственного управления.
В настоящее время любые угрозы в информационной сфере необходимо рассматривать с учетом того контекста, в котором они возникают и находят свою реализацию.
Раскрывая понятие «защита информации», стоит оговориться, что под данное понятие подпадает огромный комплекс мер, направленный на защиту информации имеющей неограниченный спектр, то есть информация может касаться как индивида, так и целого государства, представлять собой данные персонального или публичного характера и т.д.
Поэтому в законодательстве Республики Казахстан нет четкого определения термина «защита информации», в каждом нормативном правовом акте имеющем отношение к какой-либо конкретной информации дается такое определение защиты информации, которое имеет непосредственное отношение к тому или иному нормативному правовому акту.
Из этого мы можем сделать вывод, что понятия «информационная безопасность» и «защита информации» взаимосвязаны между собой, как на практике, так и в законодательстве.
На основании тесной взаимосвязи рассматриваемых понятий, разработаны основные принципы, обеспечивающие как защиту информации, так и информационную безопасность:
- целостность данных – защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;
- конфиденциальность информации;
- доступность информации для всех авторизованных пользователей.
При решении проблемы отсутствия понятия «защита информации» в законодательстве Казахстана можно обратиться к опыту Российской Федерации, где имеется Государственный Стандарт Российской Федерации «Защита информации» (ГОСТ Р 50922-96) [7], в котором говорится, что «Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию», причем в данном нормативном акте даются определения таким понятиям, как защита информации от утечки, защита информации от несанкционированного воздействия, защита информации от непреднамеренного воздействия и т.д.
По нашему мнению, данный опыт будет более чем полезным.
Отсутствие в законодательстве Казахстана понятия «защита информации» сближает в данном случае это понятие с понятиями «кибербезопасность» и «киберзащита», определение которых также не имеется в действующем законодательстве Республики Казахстан.
В этой связи, для раскрытия понятий «кибербезопасность» и «киберзащита», считаем целесообразным обратиться к специализированной литературе, в которой термин «кибербезопасность» чаще заменяется термином «кибернетическая безопасность».
Так, по мнению М.С. Соколова, «Кибернетическая безопасность – это состояние защищенности управления, при котором его нарушение невозможно» [8].
В данном случае, логичным было бы заменить слово «невозможно», на «нежелательно», так как кибербезопасность все чаще стала восприниматься, как стратегическая проблема государственной важности, затрагивающая все слои общества. Именно поэтому, любое вмешательство, в частности, нарушение компьютерных сетей, баз данных информационного пространства, абсолютно нежелательно, с точки зрения национальной безопасности государства.
Кроме того, по мнению представителя Финского независимого инвестиционного фонда «Sitr» Микко Косонен, «кибербезопасность – это электронная и сетевая безопасность всех членов общества» [9].
Что касается термина «киберзащита», то данный термин практически не изучен, более того, даже в специальной литературе редко прибегают к его применению.
Известно одно, и «кибербезопасность» и «киберзащита» имеют непосредственную связь с кибернетическим пространством, которое, в свою очередь, представляет собой «второй мир», находящийся в компьютерах и компьютерных сетях.
Следовательно, проблема определения терминов «кибербезопасность» и «киберзащита» обладает высокой степенью актуальности, в этой связи необходимо договориться об общепринятом толковании данных терминов для того, чтобы в дальнейшем сформулировать общие цели для всего мирового сообщества.
Если говорить о внутреннем законодательстве Республики Казахстан, то анализ такового показал, что имеющиеся термины «информационная безопасность» и «защита информации» содержатся лишь в некоторых нормативных правовых актах республики, более того, они не раскрыты полностью, что затрудняет реализацию норм данных законов.
В частности, можно привести в пример Закон Республики Казахстан «Об информатизации» в котором применяются понятия «информационная безопасность» и «защита информации», однако указанный нормативный правовой акт не применяет такие понятия, как «кибербезопасность» и «киберзащита», что в принципе и понятно, ведь эти термины имеют определенную специфику. А Закон «Об информатизации» не может содержать в себе настолько разноплановые нормы.
Таким образом, можно утверждать, что современная реальность диктует необходимость принятия отдельного Закона «О борьбе с правонарушениями в глобальных коммуникационных сетях», в котором будут содержаться не только определения понятий «кибербезопасность» и «киберзащита», но и нормы направленные на регулирование правительственной модели по обеспечению кибербезопасности, определения подходящего механизма (в основном общественно-государственного партнерства), позволяющего частным и государственным органам занимающихся кибернетической безопасностью обсуждать и утверждать политику, связанную с проблемой кибербезопасности.
Из изложенного выше, следует, что информационная безопасность относительно широкое понятие, включающее в себя обеспечение безопасности информации о чем бы то ни было, не подразумевающее под собой конкретики, то есть на чью информационную безопасность посягают и посредством чего.
Кибербезопасность подразумевает под собой безопасность информации и информационных баз данных, а также различных программ входящих в компьютерные сети.
Следовательно, становится очевидным тот факт, что «кибербезопасность» и информационная безопасность – это совсем не одно и то же, так как безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью, но имеет лишь частичное к ней отношение. Кроме того, отсутствие определения термина «кибербезопасность» во многих государствах объясняется тем, что там испытывают некоторый дефицит демократии, предпочитая использование термина «информационная безопасность», поскольку помимо защиты компьютерных сетей они стремятся предотвратить распространение информации, представляющую угрозу для их политической, экономической и социальной стабильности.
Что касается соотношения терминов защита информации и «киберзащита», то эти термины менее соотносимы.
Защита информации означает довольно широкий спектр деятельности, включающий в себя деятельность, направленную на предотвращение получения защищаемой информации заинтересованным субъектом (субъектами) с нарушением установленных собственником или владельцем информации прав или правил доступа к защищаемой информации.
Киберзащита подразумевает под собой защиту компьютерных сетей, компьютера от посягательств из вне, способных привести к модификации, уничтожению или повреждению компьютерных программ, сетей и баз данных.
Однако и тот и другой термины практически не применяются в национальном законодательстве Республики Казахстан.
В этой связи необходимо принятие Закона «О борьбе с правонарушениями в глобальных коммуникационных сетях», в котором будут определены термины «кибернетическая безопасность (кибербезопасность)», «киберзащита».
Так, по нашему мнению, в статье 2 «Основные понятия» Закона «О борьбе с правонарушениями в глобальных коммуникационных сетях» одним из терминов будет «кибернетическая безопасность (кибербезопасность)», «киберпространство», которые мы можем определить следующим образом:
- кибернетическая безопасность (кибербезопасность) – это защищенность жизненно важных интересов человека и гражданина, общества и государства в киберпространстве;
- кибернетическое пространство (киберпространство) – среда, возникающая в результате функционирования на основе единства и по общим правилам информационных, глобальных телекоммуникационных и информационно-телекоммуникационных систем.
Также в качестве рекомендации необходимо отметить важность внесения дополнений в некоторые нормативные правовые акты по вопросам безопасности по части кибербезопасности.
Например, в пункт 3 статьи 5 Закона РК «О национальной безопасности Республики Казахстан» внести дополнения и изложить в следующей редакции: «… 3) ослабление обороноспособности страны, угроза неприкосновенности государственной границы и применения силы в отношении Республики Казахстан, агрессия, в том числе с использованием кибернетического пространства для подготовки и осуществления вооруженной агрессии против Республики Казахстан».
Литература
- Винер Н. Кибернетика, или управление и связь в животном и машине. – М.: Наука, – 341 с.
- Шеннон К. Работы по теории информации и кибернетике. – М.: Издательство иностранной литературы, – 832 с.
- Косса П. Кибернетика. От человеческого мозга к мозгу искусственному. – М.: Издательство иностранной литературы, 1958. – 124 с.
- Глушков В.М. Кибернетика. Вопросы теории и практики. – М.: Наука, – 448 с.
- Закон Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 03.07.2013 г.).
- Закон Республики Казахстан от 6 января 2012 года № 527-IV «О национальной безопасности Республики Казахстан» (с изменениями по состоянию на 03.07.2013 г.).
- Уникальная база нормативно-технической документации: ГОСТ, ГОСТР, СНиП, СП, ПБ, РД, ОСТ, СанПиН и другие стандарты // http://moregost.ru/see/gost/oks/01/01040/gost_r_50922-96/index.html
- Соколов М.С. Кибернетическая безопасность – понятие, значение и эволюция // http://lib.znate.ru/download/docs59946/59946.doc
- Кибербезопасность – хороший ресурс // http://www.goodnewsfinland.ru/arhiv/mesyaca/c703aa4e/c87e38d0/