Законодательство не должно быть противоречивым
Отечественное законодательство в области защиты информации достаточно противоречиво, а потому его зачастую сложно использовать в юридической практике. Например, полтора года не работал закон «Об ЭЦП» из-за отсутствия корневого удостоверяющего центра. А закон «Об информации, информатизации и защите информации» (он же на сленге юристов, занимающихся этой проблемой, — «трехглавый»), который был принят десять лет назад, так ни разу и не применялся в суде. Такая ситуация дала право Ирине Богдановской, старшему научному сотруднику Института государства и права, заявить на круглом столе «Вопросы совершенствования законодательства об информации и защите информации», состоявшемся в рамках недавнего «Инфофорума», что «дать общее юридическое определение информационной безопасности невозможно».
В частности, в нормативной базе для информационной безопасности использованы разные термины. Так, «трехглавый» закон говорит о защите информации, а «Доктрина информационной безопасности» использует другие формулировки. Когда же какой термин использовать? В чем разница между информационной безопасностью и безопасностью информации?
Скажем, ведущий системный аналитик «Открытых технологий» Александр Кузнецов определил информационную безопасность как сочетание безопасности информации и средств поддержки работоспособности ИТ-систем. Но, с другой стороны, информация может существовать не только в информационных системах, но и в бумажной форме и на еще менее контролируемом носителе — в головах людей. Таким образом, «безопасность информации» и «информационная безопасность» — понятия далеко не тождественные, хотя и сильно пересекающиеся между собой. Какое же из них должно использоваться в нормативных документах? Видимо, лучше, если государство не будет регулировать ИТ, как отдельный носитель информации, но сконцентрируется на самой информации, независимо от ее носителя, то есть будет заниматься безопасностью, защитой или охраной информации.
Однако отечественное законотворчество идет в противоположном направлении, порождая проекты специальных «электронных» норм: проекты законов «Об электронном документе», «Об электронной торговле» и даже «Об электронной медицине».
В то же время информация, которая собирается в государственных реестрах и регистрах для исполнения различных нормативных актов, имеет слабую защиту и, что более важно, эта защита никак не регулируется на уровне нормативных актов.
В результате собранные государством данные продаются на черном рынке.
В целом же рекомендации юристов для государства и законодателей сводятся к тому, чтобы защищать информацию вне зависимости от ее носителя, имплантировать в существующие законы «электронные» нормы и предусматривать в нормативных актах о создании регистров и реестров режимы их защиты. Однако пока не понятно, последуют ли этим рекомендациям законодатели.