Правовое регулирование информационной безопасности судебных АИС

Информатизация судебной системы Российской Федерации на основе внедрения и использования при осуществлении правосудия крупномасштабных (государственных) автоматизированных информационных систем (типа ГАС «Правосудие» — Государственная автоматизированная система судов общей юрисдикции и органов Судебного департамента при Верховом Суде РФ, ЕАИКС — Единая автоматизированная информационно-коммуникационная система арбитражных судов РФ, автоматизированных информационных систем конституционных (уставных) судов, комплексов средств автоматизации мировых судей субъектов РФ и др.) поставила перед судебной властью сложную научно-прикладную проблему обеспечения безопасности формирующегося единого информационного пространства [24, 30] судов России.

Основным источником общественно-правовых противоречий, «порождающих» угрозы информационной безопасности судебных автоматизированных информационных систем (АИС), и, следовательно, объектом правового воздействия для предотвращения реализации настоящих угроз являются информационные отношения, возникающие в связи с реализацией прав на судебную информацию^[76], циркулирующую в АИС, и использованием средств её переработки.

Информационная безопасность АИС выражается в свойствах их элементов, характеризующих защищённость информационного обмена, осуществляемого в целях непрерывного информационно-аналитического обеспечения деятельности судов общей юрисдикции, органов судейского сообщества,

Судебного департамента при ВС РФ и его управлений (отделов) в субъектах РФ, арбитражных судов РФ, конституционных (уставных) судов и мировых судей субъектов РФ, а также Правительства РФ по управлению (в рамках ГАС «Управление») реализацией национальных проектов в части, касающейся обеспечения правосудия.

Обеспечение информационной безопасности субъектов АИС, как защищённости их потребностей в качественной (достоверной, полной, своевременной, релевантной и др.) судебной информации, необходимой им для соответствующего выполнения функциональных обязанностей, общения и обучения, является одной из основных организационно-правовых проблем внедрения данных АИС [18, 57]. Необходимый уровень информационной безопасности АИС может быть достигнут только при адекватном правовом регулировании действий субъектов информационного обмена, которое порождает их права и обязанности в использовании соответствующих материально-технических и иных средств обеспечения информационной безопасности, т.е. создаёт необходимые условия для предотвращения нанесения вреда защищаемым информационным объектам в ходе информационного обмена.

Таким образом, требуется обоснование и установление прав, обязанностей и ответственности субъектов информационного обмена судебных АИС, как участвующих в нём, так и имеющих потенциальную возможность такого участия.

Структура понятия информационной безопасности современных судебных АИС включает следующие основные элементы (первые три из которых уже рассматривались в научной литературе [67]):

объект — судебная информация, как циркулирующая в структуре АИС, так и используемая вне её пределов, а также специальный режим доступа к ней;

угроза — возможность проявления взаимодействия объекта АИС с идентичными или иными объектами, либо проявление такого взаимодействия подсистем и элементов самого объекта АИС, вредное для его функционирования или свойств (угрозы могут быть потенциальными или реальными — представляющими непосредственную опасность для АИС);

обеспечение информационной безопасности — деятельность по предотвращению реализации угроз, характеризующаяся применением средств защиты информационных потребностей АИС субъектами обеспечения информационной безопасности;

политика информационной безопасности — свод предписаний, обязательных для субъектов обеспечения информационной безопасности, закрепляющих принципы, цели и средства управления защитой, правила и ответственность при работе в АИС (отражаемые, как правило, в документах нормативного правового характера), и являющийся основой системы управления информационной безопасностью АИС (причём политика эффективна, если соответствует существующим международным стандартам, в частности, ISO 17799-2005, ISO 27001 и др., и учитывает оценки сотрудников собственника АИС, а также результаты аудитов информационной безопасности);

субъекты обеспечения информационной безопасности — все участники информационных отношений, возникающих в связи с использованием АИС, имеющие реальную возможность воздействия на информационные процессы в этих системах и, следовательно, на информационные интересы других участников отношений.

Субъекты обеспечения информационной безопасности как ключевые элементы в настоящей структуре осуществляют права и исполняют обязанности по обеспечению соответствующего уровня информационной безопасности, а также несут за это ответственность в пределах своего юридического статуса.

Таким образом, в качестве субъектов обеспечения информационной безопасности необходимо рассматривать информационных деятелей: обладателей, посредников, пользователей (рис. 3.2), между которыми возникают информационные отношения, т.е. отношения по поводу и в связи с использованием циркулирующей в АИС судебной информацией, подлежащей защите.

В результате декомпозиции соответствующей системы информационных отношений с учётом особенностей каждого её элемента и возможных действий субъектов образуется следующие четыре основные направления обеспечения информационной безопасности АИС, т.е. правового регулирования:

• деятельности обладателей информации судебных АИС;

• деятельности пользователей судебных АИС как на территории РФ, так и

за её пределами;

• деятельности посредников (провайдеров) как на территории РФ, так и за

её пределами и организационно-технического обеспечения ими информационной безопасности;

• безопасности информационного ресурса и режима доступа к нему.

При этом с развитием международного информационного пространства пятым направлением, содержащим частично все приведённые выше, может стать правовое регулирование информационной безопасности судебных АИС, применяемых в рамках контактов судов РФ с иностранными и международными судами.

На сегодняшний день основным специальным законодательным актом, регулирующим отношения как в сфере обеспечения информационной безопасности АИС, так и в сфере защиты информации в целом является Закон об информации^[77].

Рис. 3.2. Функциональная схема отношений субъектов обеспечения информационной безопасности АИС и направлений информационных потоков

В числе участников информационных отношений и, следовательно, субъектов обеспечения информационной безопасности (в том числе и судебных АИС) в указанном Законе называются «обладатель информации» и «оператор информационной системы». Если исходить из приведённой (см. рис. 3.2) функциональной схемы (логической организации) существующих отношений и соответствующих направлений правового регулирования с целью обеспечения информационной безопасности судебных АИС, это не отвечает сложившейся в настоящее время реальной обстановке.

Для реализации задач правового регулирования применительно к данной функциональной схеме представляется необходимым определить виды субъектов информационной безопасности, информационных ресурсов, а также пределы регулирования (юрисдикцию) их отношений при эксплуатации судебных АИС.

Правовое регулирование деятельности обладателей информации АИС. Применительно к ныне действующему Закону об информации обладателем информации АИС является физическое или юридическое лицо, самостоятельно создавшее в АИС информацию для её использования в целях осуществления правосудия и (или) имеющее право разрешать или ограничивать возможность других лиц получать и (или) использовать такую информацию.

Однако на практике круг указанных субъектов существенно расширяется за счёт лиц, разместивших или предоставивших в ходе судопроизводства в различной форме судебную информацию, которая становится информацией АИС и ограничена для получения и (или) использования её другими лицами в силу закона.

Обладателями информации судебных АИС могут быть собственники АИС либо иные лица, вступающие в информационный обмен для реализации своих прав и исполнения обязанностей посредством эксплуатации АИС. Собственниками судебных АИС являются Российская Федерация и субъекты РФ в лице органов судебной власти, Судебный департамент при Верховном Суде РФ, Правительство РФ.

Указанные субъекты в пределах своих полномочий могут устанавливать правовые режимы информации, проводить политику и аудит информационной безопасности, определять критерии разграничения доступа к информационным ресурсам АИС относительно статуса пользователей, осуществлять подготовку кадров в сфере информационной безопасности и проводить иные мероприятия централизованного организационного и правового обеспечения автоматизированного судопроизводства.

Иными лицами выступают юридические или физические лица, участвующие в судопроизводстве, судьи и работники аппаратов судов, работники аппаратов Судебного департамента, которые вправе и (или) обязаны создавать, предоставлять, получать или использовать судебную информацию в АИС. Вместе с тем к особой категории субъектов следует отнести государственные органы, осуществляющие контроль и надзор в сфере информационных ресурсов, которым необходимо обладать определённой информацией, но не разрешено использовать её в целях, не связанных с реализацией своих функций.

Таким образом, в целях правового регулирования под обладателем информации судебной АИС можно понимать лицо, самостоятельно создавшее, получившее или предоставившее в АИС или её собственнику информацию и имеющее правомочие по определению и (или) обязанность по обеспечению её правового режима.

Правовое регулирование деятельности пользователей АИС. Пользователь судебной АИС — лицо, использующее информацию в рамках определённого комплекса средств автоматизации (КСА) АИС на основе «баланса между потребностью свободного обмена информацией и необходимыми ограничениями на её распространение».

На основе контурного разграничения различных КСА можно выделить три категории пользователей:

• защищённого контура, предназначенного для закрытого (конфиденциаль

ного) электронного документооборота с использованием электронной

цифровой подписи [28] и других криптографических средств [51];

• ведомственного контура, предназначенного для открытого и служебного

документооборота;

• публичного контура, предназначенного для открытого документооборо

та по глобальной сети Интернет.

На основе ведомственной принадлежности пользователей судебных АИС можно разделить на внутренних и внешних.

К внутренним пользователям относятся должностные лица органов судебной власти и иных учреждений собственника, осуществляющие свою деятельность в информационной среде АИС на основе своих должностных обязанностей, а к внешним — все другие пользователи.

Таким образом, в целях правового регулирования под пользователем информации судебной АИС можно понимать лицо, обращающееся к АИС самостоятельно либо через обладателя или информационного посредника (провайдера) за получением судебной информации, необходимой ему для реализации прав и (или) исполнения обязанностей.

Правовое регулирование деятельности информационных посредников (провайдеров). В соответствии с приведённой функциональной схемой (см. рис. 3.2), пользователи АИС могут непосредственно участвовать в информационном обмене с обладателями информации, без участия в нём информационных посредников, либо быть в одном лице и пользователями, и обладателями судебной информации. Однако, учитывая географические особенности России, обмен информацией осуществляется, главным образом, через информационных посредников.

На сегодняшний день актуальной является также проблема определения степени и границ ответственности информационных посредников (провайдеров).

Ответственность провайдеров основана на том, что они имеют организационно-техническую возможность в любое время воздействовать на информационные отношения пользователей, а также непосредственно на потоки информации в АИС. В зависимости от возложенных на него прав и обязанностей провайдер может осуществлять такое воздействие различными способами, начиная от информирования третьих лиц о содержании циркулирующей информации и установления специальных информационных фильтров для предотвращения распространения вредоносной информации (компьютерные вирусы, «черви», «троянские кони», спам [51]) до блокирования информационного обмена.

При этом информационный посредник не может инициировать информационные отношения, выбирать содержание передаваемой информации, её отправителей и получателей, влиять на её содержание. Он хранит информацию только в пределах времени, определяемых техническими стандартами и протоколами для нужд передачи информации.

В соответствии со ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Применительно к этому конституционному принципу представляется возможным ограничить ответственность информационного посредника, исходя из того, что пользователь доверяет ему лишь перемещение (временное хранение и распространение) информации и соответствующее техническое обеспечение этого процесса, и посредник не вправе следить за содержанием информации, передаваемой пользователем, за исключением случаев ограничений прав на основании соответствующего судебного решения.

Кроме того, в соответствии со ст. 7, 53 Федерального закона РФ «О связи» на таких информационных посредников, как операторы связи возложена обязанность по защите во время эксплуатации средств и сооружений связи от несанкционированного доступа, и, соответственно, обязанность по соблюдению тайны связи и конфиденциальности сведений об абонентах и оказываемых им услугах связи, ставших известными этим операторам в силу выполнения профессиональных обязанностей.

Данная проблема исследовалась, в частности, рабочей группой по электронной коммерции Комитета по экономической политике и предпринимательству Государственной Думы РФ, подготовившей «Рекомендации по организации деятельности лиц в сфере Интернет-коммерции в Российской Федерации». В статье 18 Рекомендаций закреплено, что провайдер не несёт ответственности, если не знал или не мог знать о противоправности действий лиц, использующих его услуги. И несёт ответственность за модификацию и задержку передачи информации, если иное не предусмотрено законом или договором, а также за неполное или недостоверное ознакомление пользователей сети Интернет с условиями использования и существенными особенностями функционирования информационных ресурсов.

Провайдеры в российском законодательстве ранее были определены в ст. 2 утратившего силу ФЗ РФ «Об информации, информатизации и защите информации» как «посредники», однако настоящий термин упоминался лишь в определении понятия пользователя информации, и, кроме того, ни в этом, ни в иных предметных законодательных актах федерального уровня каких- либо положений о правах и обязанностях настоящих субъектов информационных отношений не отражено.

В действующем Законе об информации этот термин отсутствует, хотя в нём имеется указание о лицах, распространяющих информацию, к числу которых, несомненно, относятся и провайдеры. В статье 17 данного Закона установлено ограничение гражданско-правовой ответственности лиц, распространяющих информацию, ограниченную или запрещённую к распространению федеральными законами, в случае если эти лица оказывают услуги либо по передаче информации, предоставляемой другим лицом, при условии её передачи без исправлений и изменений, либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Применительно к рассматриваемой схеме (см. рис. 3.2) и в зависимости от функционального использования представляется целесообразным разделить информационных посредников на два вида: