Проект доктрины информационной безопасности российской федерации. Доктрина информационной безопасности российской федерации Доктрина информационной безопасности
После недолгого ожидания в Сети появился Проект Доктрины информационной безопасности Российской Федерации . Документ очень высокоуровневый, определяющий лишь общие цели и направления развития системы информационной безопасности. В силу этого документ не содержит каких либо конкретных описаний процедур, продуктов, указаний и тд. Тем не менее документ очень интересен. Интересен в первую очередь тем, как видит государство информационную безопасность и как оно видит роль граждан в информационной безопасности.
Оставим в стороне политическую составляющую данного документа (так или иначе, а у каждого государства есть свои интересы и естественно каждое государство хочет их отстаивать) и посмотрим на него исключительно с точки зрения обеспечения информационной безопасности.
Любопытное начинается уже в разделе терминов и определений. Скажем что есть национальные интересы?
То есть национальные интересы это в первую очередь интересы государства, а не интересы общества в целом или отдельных граждан. Правда уже следующий абзац интересы общества и государства приводит на одном уровне:
То есть каждая из трех сторон в целях безопасности должна чем-то поступиться. В общем ситуация не вызывает вопросов - все мы живем в обществе и должны учитывать интересы иных лиц. Но вот кто определяет кто и чем должен поступиться? Тем более, что в документе есть еще один пункт:
То есть ущемление прав и свобод граждан недопустимо. Получается, что поступиться своими интересами должно государство? Вопрос крайне интересен, но в документе не раскрыт - хотя в конце документа говорится, что:
В связи с этим крайне интересно - должна ли такая масштабная программа проходить через законодательные органы?
Но вернемся к началу документа - в раздел определений:
Опять перекос в сторону мер со стороны государства, тогда как без поддержки общества (воспитания компьютерной грамотности например) обеспечение столь масштабных мер вряд-ли нереализуемо.
Странно, но в вышеприведенном определении в числе ресурсов, подлежащих защите, отсутствуют ресурсы, размещенные на зарубежных серверах. Даже если компания хранит свои данные на серверах в России, зачастую необходимо хранить и обрабатывать данные на серверах, размещенных по всему миру. Государство отказывается от защиты интересов компаний или требования по безопасности не распространяются на зарубежные сервера?
К сожалению большая часть пунктов проекта посвящена усилению вертикали власти и улучшению совершенства административного механизма. Чтобы не создалось некорректного впечатления - на самом деле это также дело нужное - вспомним хотя бы качество проработки законов в области ИБ, уровень тендеров и тд. Совершенствовать в этой области нужно много. И об этом также говориться в документе:
Что же говорит документ в отношении роли отдельных граждан в деле повышения уровня информационной безопасности?
Опять в основном меры со стороны государства - о повышении актуальности знаний путем взаимодействия с компаниями различного типа, вовлечении институтов в процесс выпуска новых продуктов, разработки новых технологий - ни слова
И развитие личности опять же предполагается путем проведения административных мер - правовое регулирование и развитие правосознания в одном пункте.
Упоминается в документе и модная тема государственно-частного партнерства:
А вот от сертификации уйти не удастся
Если делать выводы - документ не плохой, но очень бы хотелось исправить его перекос в сторону усиления взаимодействия государства и общества - например в деле выработки той же концепции безопасности - ведь она будет касаться нас всех.
После недолгого ожидания в Сети появился Проект Доктрины информационной безопасности Российской Федерации . Документ очень высокоуровневый, определяющий лишь общие цели и направления развития системы информационной безопасности. В силу этого документ не содержит каких либо конкретных описаний процедур, продуктов, указаний и тд. Тем не менее документ очень интересен. Интересен в первую очередь тем, как видит государство информационную безопасность и как оно видит роль граждан в информационной безопасности.
Оставим в стороне политическую составляющую данного документа (так или иначе, а у каждого государства есть свои интересы и естественно каждое государство хочет их отстаивать) и посмотрим на него исключительно с точки зрения обеспечения информационной безопасности.
Любопытное начинается уже в разделе терминов и определений. Скажем что есть национальные интересы?
То есть национальные интересы это в первую очередь интересы государства, а не интересы общества в целом или отдельных граждан. Правда уже следующий абзац интересы общества и государства приводит на одном уровне:
То есть каждая из трех сторон в целях безопасности должна чем-то поступиться. В общем ситуация не вызывает вопросов - все мы живем в обществе и должны учитывать интересы иных лиц. Но вот кто определяет кто и чем должен поступиться? Тем более, что в документе есть еще один пункт:
То есть ущемление прав и свобод граждан недопустимо. Получается, что поступиться своими интересами должно государство? Вопрос крайне интересен, но в документе не раскрыт - хотя в конце документа говорится, что:
В связи с этим крайне интересно - должна ли такая масштабная программа проходить через законодательные органы?
Но вернемся к началу документа - в раздел определений:
Опять перекос в сторону мер со стороны государства, тогда как без поддержки общества (воспитания компьютерной грамотности например) обеспечение столь масштабных мер вряд-ли нереализуемо.
Странно, но в вышеприведенном определении в числе ресурсов, подлежащих защите, отсутствуют ресурсы, размещенные на зарубежных серверах. Даже если компания хранит свои данные на серверах в России, зачастую необходимо хранить и обрабатывать данные на серверах, размещенных по всему миру. Государство отказывается от защиты интересов компаний или требования по безопасности не распространяются на зарубежные сервера?
К сожалению большая часть пунктов проекта посвящена усилению вертикали власти и улучшению совершенства административного механизма. Чтобы не создалось некорректного впечатления - на самом деле это также дело нужное - вспомним хотя бы качество проработки законов в области ИБ, уровень тендеров и тд. Совершенствовать в этой области нужно много. И об этом также говориться в документе:
Что же говорит документ в отношении роли отдельных граждан в деле повышения уровня информационной безопасности?
Опять в основном меры со стороны государства - о повышении актуальности знаний путем взаимодействия с компаниями различного типа, вовлечении институтов в процесс выпуска новых продуктов, разработки новых технологий - ни слова
И развитие личности опять же предполагается путем проведения административных мер - правовое регулирование и развитие правосознания в одном пункте.
Упоминается в документе и модная тема государственно-частного партнерства:
А вот от сертификации уйти не удастся
Если делать выводы - документ не плохой, но очень бы хотелось исправить его перекос в сторону усиления взаимодействия государства и общества - например в деле выработки той же концепции безопасности - ведь она будет касаться нас всех.
Написана сложным языком, и редкий читатель доходит даже до середины этого не самого большого документа. Для упрощения работы с ним решил сделать краткий пересказ (обзор) основных положений. Публикую!
Доктрина информационной безопасности - это система официальных взглядов на обеспечение национальной безопасности РФ в информационной сфере.
Документ определяет следующие национальные интересы в информационной сфере (по сути они не изменились с 2000 года):
- Обеспечение и защита прав и свобод граждан в части получения и использования информации, неприкосновенность частной жизни, а также сохранение духовно-нравственных ценностей.
- Бесперебойное функционирование критической информационной инфраструктуры (КИИ).
- Развитие в России отрасли ИТ и электронной промышленности.
- Доведение до российской и международной общественности достоверной информации о государственной политике РФ.
- Содействие международной информационной безопасности.
Доктрина необходима для формирования государственной политики и выработки мер по совершенствованию системы обеспечения информационной безопасности.
Информационная безопасность (ИБ) - это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз. Причем в новой редакции документа говорится еще и том, что при этом должны обеспечиваться конституционные права и свободы, достойное качество и уровень жизни граждан, суверенитет и территориальная целостность РФ, ее устойчивое социально-экономическое развитие. а также госбезопасность. Не "безопасность ради безопасности", а даже некий баланс получается: права граждан, экономика, безопасность.
Документ создан на основе анализа угроз и оценки состояния ИБ РФ и развивает положения Стратегии национальной безопасности РФ (от 31 декабря 2015 года № 683).
Угроза информационной безопасности РФ (информационная угроза ) - совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере.
В Доктрине определены следующие основные угрозы и характеристики состояния ИБ (привожу их тезисно):
- Зарубежные страны наращивают возможности по воздействию на ИТ инфраструктуру в военных целях.
- Усиливается деятельность организаций, осуществляющих техническую разведку в отношении российских организаций.
- Внедрение ИТ без увязки с ИБ повышает вероятность проявления угроз.
- Специальные службы используют методы информационно-психологическое воздействия на граждан.
- Все больше зарубежных СМИ доносят информацию предвзято.
- Российские СМИ за рубежом подвергаются дискриминации.
- Внешнее информационное воздействие размывает традиционные российские духовно-нравственные ценности (особенно у молодежи).
- Террористические и экстремистские организации широко используют механизмы информационного воздействия.
- Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере
- Методы, способы и средства совершения компьютерных преступлений становятся все изощреннее.
- Повышается сложность и количество скоординированных компьютерных атак на объекты КИИ.
- Остается высоким уровень зависимости отечественной промышленности от зарубежных ИТ.
- Российские научные исследования в сфере ИТ являются недостаточно эффективными, ощущается недостаток кадров.
- У российских граждан низкая осведомленность в вопросах обеспечения личной ИБ.
- Отдельные государства стремятся использовать технологическое превосходство для доминирования в информационном пространстве. В том числе и в сети Интернет.
В документе зафиксированы следующие области обеспечения ИБ
и основные направления
по ним:
1. Оборона страны:
а) стратегическое сдерживание и предотвращение военных конфликтов;
б) совершенствование системы обеспечения ИБ ВС РФ;
в) прогнозирование и оценка информационных угроз;
г) содействие обеспечению защиты интересов союзников РФ;
д) нейтрализация информационно-психологического воздействия.
2. Государственная и общественная безопасность:
а) противодействие использованию ИТ для пропаганды;
б) противодействие спец.службам, использующим ИТ;
в,г) повышение защищенности КИИ;
д) повышение безопасности функционирования образцов вооружения, военной и специальной техники и автоматизированных систем управления;
е) противодействие преступлениям в сфере ИТ;
ж) защита государственной тайны и других видов тайн;
з) развитие отечественного ИТ;
и) информационная поддержка государственной политики ФР;
к) нейтрализация информационно-психологического воздействия.
3. Экономическая сфера:
а-г) развитие и поддержка отечественного ИТ.
4. Наука, технологии и образование:
а-в) развитие науки;
г) развитие кадрового потенциала;
д) формирование культуры личной ИБ.
5. Стабильность и равноправное стратегическое партнерство
а) защита суверенитета РФ в информационном пространстве;
б-г) участие в формировании системы международной ИБ;
д) развитие национальной системы управления российским сегментом сети Интернет.
Доктрина информационной безопасности
РОССИЙСКОЙ фЕДЕРАЦИИ
Доктрина информационной безопасности РФ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.
Настоящая Доктрина служит основой для:
формирования государственной политики в области обеспечения информационной безопасности РФ;
подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности РФ;
разработки целевых программ обеспечения информационной безопасности РФ.
Настоящая Доктрина развивает Концепцию национальной безопасности РФ применительно к информационной сфере.
I. Информационная безопасность РФ
1. Национальные интересы РФ в информационной сфере и их обеспечение
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
2. Виды угроз информационной безопасности РФ
По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики РФ;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
3. Источники угроз информационной безопасности РФ
Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние. К внешним источникам относятся:
деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов РФ в информационной сфере;
стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
обострение международной конкуренции за обладание информационными технологиями и ресурсами;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;
недостаточная экономическая мощь государства;
снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно - финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
4. Состояние информационной безопасности РФ и основные задачи по ее обеспечению
За последние годы в РФ реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности.
Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон РФ "О государственной тайне", Основы законодательства РФ об Архивном фонде РФ и архивах, Федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.
II. Методы обеспечения информационной безопасности РФ
5. Общие методы обеспечения информационной безопасности РФ
Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно - технические и экономические.
К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности являются:
внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ;
законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России.
6. Особенности обеспечения информационной безопасности РФ в различных сферах общественной жизни
Информационная безопасность РФ является одной из составляющих национальной безопасности РФ и оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности РФ и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности РФ могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности РФ.
Доктрина информационной безопасности РФ (Доктрина) утверждена Указом № 1895 Президента РФ от 9 сентября 2000 г. Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности и служит основой для:
Формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
Подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
Разработки целевых программ обеспечения информационной безопасности Российской Федерации.
1. Информационная безопасность РФ (виды и источники угроз ИБ РФ, состояние ИБ РФ и основные задачи по ее обеспечению);
2. Методы обеспечения ИБ РФ (особенности обеспечения ИБ РФ в различных сферах общественной жизни, международное сотрудничество в области обеспечения ИБ);
3. Основные положения государственной политики обеспечения ИБ РФ (первоочередные мероприятия по реализации государственной политики безопасности в РФ);
4. Организационная основа обеспечения ИБ РФ (основные функции систем обеспечения ИБ РФ. основные элементы организационной основы систем обеспечения ИБ РФ).
7. Закон «о государственной тайне»
В основу законов, позволяющих отнести информацию к тому или иному разряду тайн, положены принципы информационного суверенитета и международные правила. Регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации, осуществляется в соответствии с законом «О государственной тайне» .
7.1. Основные понятия
Государственная тайна - защищаемые государственные сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности Российской Федерации.
Носители сведений, составляющих государственную тайну , - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отражение в виде символов, образов, сигналов, технических решений и процессов.
Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.
Степень секретности - категория, характеризующая важность такой информации, возможный ущерб в случае ее разглашения, степень ограничения доступа к ней и уровень ее охраны государством.
7.2. Перечень сведений, составляющих государственную тайну
Государственную тайну составляют:
I. Сведения в военной области:
О содержании стратегических и оперативных планов и о других документах боевого управления; о подготовке и проведении военных операций, стратегическом и мобилизационном развертывании войск и об их важнейших показателях, характеризующих организацию, численность, дислокацию, боевую и мобилизационную готовность, боевую и другую военную подготовку, вооружение и материально-техническое обеспечение Вооруженных Сил. пограничных войск и прочих воинских формирований;
О направлении развития отдельных видов вооружения и военной техники, их количестве, тактико-технических характеристиках, организации и технологии производства, научно-исследовательских и опытно-конструкторских работах, связанных с разработкой новых образцов вооружения и военной техники, модернизации существующих образцов, а также о других работах, планируемых или осуществляемых в интересах страны;
О силах и средствах Гражданской обороны, о готовности населенных пунктов, регионов и отдельных объектов к защите, эвакуации и рассредоточению населения, к обеспечению его жизнедеятельности и производственной деятельности объектов народного хозяйства в военное время или в условиях других чрезвычайных ситуаций;
О геодезических, гравиметрических, картографических, гидрографических и гидрометеорологических данных и характеристиках, имеющих значение для обороны страны.