9. Информационная безопасность
9.1. Место информационной безопасности в системе национальной безопасности
Прежде, чем определить само понятие информационной безо-пасности, рассмотрим более общее понятие безопасности и соот-ветственно то место, которое информационная безопасность за-нимает в системе национальной безопасности.
Общее понятие «безопасность», широко употребляемое в рус-ском языке, характеризует собой «положение, при котором не угрожает опасность кому-нибудь и чему-нибудь»1. В. Даль ука-зывал, что безопасность есть отсутствие опасности, сохранность, надежность2. По С. Ожегову безопасность — это «состояние, при котором не угрожает опасность, есть защита от опасности»3.
Однако «защита», «защищенность» — это только одна сторо-на значения слова безопасность. С другой стороны, безопасность означает отсутствие угрозы со стороны объекта, явления или процесса, о безопасности которого идет речь, его безвредность.
В связи с этим, когда мы говорим о безопасности чего-либо или кого-либо, необходимо рассматривать два плана: внутренний — состояние защищенности от внешних угроз и внешний — безвредность для окружающих.
Понятия безопасности законодатель привел в ст. 1 Закона о безопасности, где безопасность определяется как «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».
В Концепции национальной безопасности РФ существенно дополнены и конкретизированы положения, ранее закрепленные в Законе о безопасности.
В Концепции введено понятие национальных интересов как со-вокупности сбалансированных интересов личности, общества и государства. При этом ограничен перечень областей, национальные интересы в которых определяют предмет национальной безопасно-сти: в области экономики, в социальной, внутриполитической, международной, информационной сферах, в области военной (обо-ронной), пограничной и экологической безопасности.
Интересы личности определены в Концепции как полное обеспечение конституционных прав и свобод, личной безопас-ности, повышение качества и уровня жизни, физическое, духов-ное и интеллектуальное развитие. Интересы общества установ-лены в упрочении демократии, создании правового государства, достижении и поддержании общественного согласия, духовном обновлении России. Интересы государства состоят в незыбле-мости конституционного строя, суверенитета и территориаль-ной целостности России, в политической, экономической и со-циальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии международного со-трудничества.
Таким образом, укрепление информационной безопасности названо в Концепции национальной безопасности РФ в числе важнейших долгосрочных задач. Роль информационной безопас-ности и ее место в системе национальной безопасности страны определяется также тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое
1. В Доктрине информационной безопасности РФ информа-ционная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информа-ционной сфере, определяющихся совокупностью сбалансирован-ных интересов личности, общества и государства.
В научной литературе в составе «информационной сферы об-щества» выделяют:
• субъекты информационной сферы;
• общественные отношения в информационной сфере;
• информационную инфраст• информацию1.
В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информацион-ной безопасностью будем понимать состояние защищенности жиз-ненно важных интересов личности, общества и государства в информационной сфере.
9.2. Концепция информационной безопасности Российской Федерации
Совокупность официальных взглядов на цели, задачи, прин-ципы и основные направления обеспечения информационной безопасности Российской Федерации представлена в Доктрине информационной безопасности РФ.
На основе анализа положений, содержащихся в доктриналь-ных и нормативных правовых документах, можно выделить сле-дующие жизненно важные интересы в информационной сфере2:
• для личности:
соблюдение и реализация конституционных прав и свобод че-ловека и гражданина на поиск, получение, передачу, производст-во и распространение объективной информации;
реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопас-ность;
использование информации в интересах не запрещенной за-коном деятельности, физического, духовного и интеллектуально-го развития;
защита права на объекты интеллектуальной собственности;
обеспечение права граждан на защиту своего здоровья от не-осознаваемой человеком вредной информации;
• для общества:
обеспечение интересов личности в информационной сфере;
построение правового социального государства; структуру общества;
упрочение демократии, построение информационного обще-ства;
духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравствен-ности, патриотизма и гуманизма, развитие многовековых духов-ных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;
достижение и поддержание общественного согласия;
предотвращение манипулирования массовым сознанием;
приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;
• для государства:
создание условий для реализации интересов личности и обще-ства в информационной сфере и их защита;
формирование институтов общественного контроля за орга-нами государственной власти;
безусловное обеспечение законности и правопорядка;
создание условий для гармоничного развития российской ин-формационной инфраструктуры;
формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;
защита государственных информационных систем и государ-ственных информационных ресурсов, в том числе государствен-ной тайны;
защита единого информационного пространства страны;
развитие равноправного и взаимовыгодного международного сотрудничества.
К основным задачам в области обеспечения информационной безопасности относятся:
формирование и реализация единой государственной полити-ки по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан в сфере информационной деятельности;
разработка и создание механизмов формирования и реализа-ции государственной информационной политики России, в том числе разработка методов повышения эффективности участия
государства в формировании информационной политики госу-дарственных телерадиовещательных организаций, других госу-дарственных средств массовой информации;
совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;
определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, орга-нов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения инфор-мационной безопасности;
развитие и совершенствование системы обеспечения инфор-мационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая со-вершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Россий-ской Федерации, а также системы противодействия этим угрозам;
координация деятельности органов государственной власти по обеспечению информационной безопасности;
совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с уче-том вхождения России в глобальную информационную инфра-структуру;
проведение единой технической политики в области обеспе-чения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; разви-тие стандартизации информационных систем на базе общепри-знанных международных стандартов и их внедрение для всех видов информационных систем;
обеспечение технологической независимости Российской Фе-дерации, развитие отечественной индустрии телекоммуникацион-ных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
развитие научно-практических основ обеспечения информаци-онной безопасности Российской Федерации с учетом современной
геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения «информационного оружия»;
разработка современных методов и средств защиты информа-ции, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными про-изводствами;
создание и развитие современной защищенной технологиче-ской основы управления государством в мирное время, в чрезвы-чайных ситуациях и в военное время;
защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на пред-приятиях оборонного комплекса, в том числе государственной тайны;
создание условий для успешного развития негосударственно-го компонента в сфере обеспечения информационной безопасно-сти, осуществления эффективного гражданского контроля за дея-тельностью органов государственной власти;
защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
сохранение традиционных духовных ценностей при важней-шей роли Русской православной церкви и церквей других кон-фессий;
пропаганда средствами массовой информации элементов на-циональных культур народов России, духовно-нравственных, ис-торических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;
повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и госу-дарств — участников СНГ;
создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и фун-кционирования учреждений культуры;
противодействие угрозе развязывания противоборства в ин-формационной сфере;
создание единой системы подготовки кадров в области обес-печения информационной безопасности;
организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного парт-нерства.
Представляется, что юридическая наука в той или иной мере должна принимать участие в решении всех задач и реализации соответствующих целей, однако ее приоритет, решающая роль просматривается в двух областях:
во-первых, в определении разумного баланса между правом субъектов на свободное получение информации путем ее сбора или доступа к имеющимся ресурсам и правом субъектов на уста-новление ограничений в указанных действиях со стороны иных лиц по отношению к сведениям, обладателями которых они яв-ляются,
во-вторых, в разработке и реализации правовых мер защиты информации, доступ к которой должен ограничиваться по право-мерным основаниям, а также в обеспечении сохранности инфор-мационных ресурсов
Виды угроз информационной безопасности Российской Федерации
По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться:
противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий; закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам; вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи; увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.
Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:
уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации; использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры; несанкционированный доступ к информации, находящейся в банках и базах данных; нарушение законных ограничений на распространение информации.
Источники угроз информационной безопасности Российской Федерации
Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся: стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков; обострение международной конкуренции за обладание информационными технологиями и ресурсами; увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий; разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности; недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации; недостаточная экономическая мощь государства; снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
Общие методы обеспечения информационной безопасности Российской Федерации
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:
законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан; разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование; создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, повышение надежности программного обеспечения; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-коммуникационных и телекоммуникационных систем; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; подготовка кадров в области обеспечения информационной безопасности Российской Федерации.
Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и производящих средства информатизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу возникновения технологической зависимости России от иностранных государств.
Серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций.
К числу основных внутренних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести:
сохраняющуюся сложную экономическую ситуацию в России, ведущую к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок; неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники, передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры; серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых; сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.
Реальный путь противодействия угрозам информационной безопасности Российской Федерации в области науки и техники - это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники, включая общественные научные советы и организации независимой экспертизы, вырабатывающие рекомендации для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по предотвращению противоправного или неэффективного использования интеллектуального потенциала России.
В общегосударственных информационных и телекоммуникационных системах. Основными объектами обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
средства и системы информатизации , программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля; технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
Основными угрозами информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных и телекоммуникационных систем; нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах; использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности; привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
Основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств; исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи; предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; обеспечение информационной безопасности при подключении общегосударственных информационных и телекоммуникационных систем к внешним информационным сетям, включая международные; обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности; выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:
лицензирование деятельности организаций в области защиты информации; аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну; сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи; создание и применение информационных и автоматизированных систем управления в защищенном исполнении.