В ходе ключевой дискуссии «Безопасная Цифровизация» в рамках магнитогорского форума «Цифровая устойчивость и информационная безопасность России» представители государства отмечали, что такие нормативно-правовые акты, как 166-й и 250-й Указы Президента РФ, Приказ ФСБ России №77 «заставили многие организации всерьёз задуматься об обеспечении ИБ, после того, как проблема кибербезопасности из глубин отделов ИБ была поднята на уровень персональной ответственности руководителей компаний».
Однако бизнес в ходе этой же дискуссии отдал предпочтение экономическим механизмам обеспечения безопасности цифровизации.
«Пример Банка России и финансовой отрасли доказывает, что экономические рычаги надёжнее, чем право регулятора потребовать устранить недостатки. Специалисты всегда найдут лазейку в законе и оставят всё как есть. Когда затронута экономика организации, идёт совсем другой разговор», — отметил представитель Positive Technologies.
Что же заставляет бизнес не доверять праву?
Профессионалами разного толка давно понято, что информация и манипуляции с ней могут успешно использоваться в деловом, политическом, культурном и медийном обороте для извлечения выгоды и причинения пользы. При этом мироустройство таково, что «растворённая» в информационном пространстве выгода не возникает из ничего и не пропадает в никуда. В результате извлечение выгоды одними от использования информации и манипуляций с ней приводит явно или завуалировано к утрате или к недополучению выгоды другими и/или к нарушению интересов этих «других», в качестве которых могут выступать и общественные и/или государственные интересы. Эта ситуация в миру называется правовой коллизией, разрешение которой в обществе разделения властей отнесено в конечном итоге к компетенции судебной власти, работающей на основе указаний кодексов и законов, оперирующих с ОБЪЕКТАМИ ПРАВА и характеристиками их оборота.
Ещё в те времена, когда ИНФОРМАЦИЯ не была затасканным объектом досужих спекуляций в контексте пороков информационных технологий, эта категория нашего мира защищалась ПРАВОМ, но под другими «именами», с которыми можно ознакомиться, например, в статье 1225 Гражданского кодекса Российской Федерации (ГК РФ).
Шлейф этой «унаследованности» стал одной из причин разноголосицы терминологии в сфере той многогранной деятельности, которая ныне описывается в устной речи жонглированием терминами ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ЗАЩИТА ИНФОРМАЦИИ, КИБЕРБЕЗОПАСНОСТЬ. Уместно заметить, что ещё одной причиной является снижение авторитета института стандартизации в нашей стране, падение уровня профессионализма и квалификации в этой сфере деятельности и связанное с этим явлением смещение приоритетов в целях работ по стандартизации.
Теория информации и практика информационных технологий (не только цифровых) предлагают обществу минимальный набор характеристик, позволяющих описать оборот информации с точки зрения возможных неблагоприятных или спорных коллизий этого оборота — конфиденциальность, целостность, доступность.
В последнее время этот набор предлагается дополнять такими характеристиками, как подлинность информации; невозможность отказа от авторства информации, а также факта её отправки или получения.
Уместно заметить, что упомянутые характеристики в рамках некоторых систем их определений не образуют, образно говоря, «базис независимых векторов» понятий, описывающих характеристики оборота информации.
Так на сайте одной из авторитетных ИТ-компаний приведены такие определения:
Будучи немного занудой и формалистом, можно утверждать, что из этих определений следует, что характеристика конфиденциальности информации возникает (существует) только в процессе доступа к информации. Причём не просто доступа, а только такого, который может быть признан «своевременным и надёжным».
Подобное занудство легко пресекается в «курилке» инженерной среды единомышленников, однако ПРАВО в виде, например, судебного процесса — это состязание двух недружественно настроенных по отношению друг к другу сторон в присутствии третьей стороны, СУДА, в арсенале которого не только ЗАКОН, но и УСМОТРЕНИЕ СУДА. В этих обстоятельствах хотя бы понятия ЗАКОНА должны быть минимально эластичными, а лучше всего трактуемыми однозначно.
А какова же ситуация с однозначностью представлений множества законов об ИНФОРМАЦИИ и её обороте?
Прежде всего, бросается в глаза тот факт, что в статье 128 «Объекты гражданских прав» (в ред. ФЗ от 02.07.2013 №142-ФЗ) ГК РФ понятие «информация» отсутствует от слова «совсем» и это не результат забывчивости, а осознанный шаг законодателя, по-разному оцениваемый в юридическом сообществе.
А вот в статье 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» понятие «информация» раскрывается в виде ограниченного перечня: «информация — это сведения (сообщения, данные) независимо от формы их представления».
Что позволяет отечественным юристам делать то ли не вполне согласующиеся, то ли взаимодополняющие друг друга выводы:
При этом отсутствие в статье 128 ГК РФ понятия «информация» не препятствует с 2006 года охране прав на изображения гражданина в виде фотографий, видеозаписей и произведений искусства (статья 152.1 ГК РФ), а также наличию в ГК РФ целого раздела VII части четвёртой ГК РФ о правах на результаты интеллектуальной деятельности и средства индивидуализации и о порядке защиты этих результатов и средств, большинство из которых следует считать информацией, если не отрицать мнений классиков науки о сущности информации:
Но даже и без ссылки на признанные авторитеты, разве не информацией в смысле ФЗ от 27.07.2006 № 149-ФЗ «Об информации, …» являются «3) базы данных», «6) сообщение в эфире или по кабелю …», «15) наименования мест происхождения товаров». И это только дословные совпадения. А чем, как не «сведениями», являются «1) произведения науки», «7) изобретения», «12) секреты производства (ноу-хау)»?
Уместно также вспомнить о широкомасштабной кампании в стране по защите персональных данных с одновременной пропагандой тезиса о том, что «в цифровом мире персональные данные превратились в ценный актив, представляющий коммерческий интерес для бизнеса».
И усомниться в том, что результаты этой компании позволяют, например, сохранить в неприкосновенности исходные благие намерения, послужившие основанием для введения в Гражданский процессуальный кодекс Российской Федерации (ГПК РФ) статьи 10 «Гласность судебного разбирательства».
Статья 152.1 ГК РФ, раздел VII части четвёртой ГК РФ о правах на результаты интеллектуальной деятельности и средства индивидуализации и о порядке защиты этих результатов и средств, законодательство о персональных данных — всё это вполне укладывается в понятие о защите информации правовыми методами (подпункт 2.2.1, ГОСТ Р 50922-2006), но не согласуется с отсутствием понятия «информация» в статье 128 ГК РФ.
При этом термины «персональные данные», «личные данные», «обезличенные персональные данные», «цифровой профиль клиента» и понятия, скрывающиеся за ними, стремительно расплодились в федеральных законах и «нормативке» более низкого ранга, запутывая бизнес-сообщество и открывая широкое поле деятельности для спекуляций в рамках эмпирического правила «два юриста — это три мнения».
А продолжая исследование содержания Федерального закона от 27.07.2006 №149-ФЗ «Об информации, …» с удивлением обнаружим, что понятие КОНФИДЕНЦИАЛЬНОСТЬ информации в нём «КОНФИДЕНЦИАЛЬНОСТЬ информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её [информации] обладателя» принципиально отличается от стандартного де-юре и де факто представления об этой характеристики информации, пусть и в разных стилистиках, в «нормативке» уровня технического регулирования (государственные стандарты, рекомендации, …):
Согласитесь, что обеспечиваемое физическими, техническими и организационными мерами состояние конфиденциальности как «обеспечение доступа к информации только авторизованным пользователям, процессам и устройствам» отличается и по смыслу, и по своей «силе» от меры в виде «выполнения лицом… требования не передавать… информацию третьим лицам без согласия её [информации] обладателя».
И это помимо той коллизии, что связана с введением ФЗ от 27.07.2006 № 149-ФЗ юридического (?) понятия «обладатель информации» в дополнение к классическому набору правовых терминов «собственник», «владелец», «пользователь».
Двигаясь далее по страницам ФЗ от 27.07.2006 № 149-ФЗ «Об информации, …» можно обнаружить, что в пункте 4 статьи 3 «Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации» имеется весьма спорный тезис о равноправии языков народов Российской Федерации при создании информационных систем [ИС] и их эксплуатации.
Похоже, что при введении этого положения в закон законодатель не учёл того обстоятельства, что основанное на либеральных представлениях об «общечеловеческих ценностях» «равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации» может ущемить основанное на Конституции Российской Федерации право на доступ к информации в таких ИС гражданам нашей страны, не владеющим всем спектром языков народов Российской Федерации.
А пункт 8 статьи 3 того же ФЗ от 27.07.2006 № 149-ФЗ «Об информации, …» О НЕДОПУСТИМОСТИ установления нормативными правовыми актами каких-либо ПРЕИМУЩЕСТВ ПРИМЕНЕНИЯ одних информационных технологий перед другими, ЕСЛИ ТОЛЬКО обязательность применения определенных информационных технологий ДЛЯ создания и эксплуатации ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ не установлена ФЕДЕРАЛЬНЫМИ ЗАКОНАМИ просто таки ставил крест на политике импортозамещения, объявленной после событий 2014 года и не факт, что в иерархии правовых документов Указы Президента РФ стоят выше федеральных законов.
В контексте сказанного интересно взглянуть на систему законов, связанных в оборотом информации, через призму представления о ЦЕЛОСТНОСТИ информации, определяемой в одном из учебных пособий как внутреннюю НЕПРОТИВОРЕЧИВОСТЬ ИНФОРМАЦИИ и изменение ИНФОРМАЦИИ только ЗАКОННЫМИ и ИМЕЮЩИМИ соответствующие ПОЛНОМОЧИЯ пользователями.
Опираясь на проведённый даже краткий анализ основ законодательства, регулирующего оборот информации и защиту прав участников её оборота, и на применение к этому анализу приведённого выше определения целостности можно понять причины недоверия к возможностям права обеспечить безопасность цифровизации.
Пункт 1 статьи 4 ФЗ «О безопасности критической инфраструктуры Российской Федерации» называет «законность» в качестве первоосновы принципов обеспечения безопасности критической информационной инфраструктуры. Это окажется возможным, если в определение целостности законодательной базы внести уточнение о возможности изменение этой информации только законными и имеющими соответствующие полномочия и квалификацию пользователями.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных