После недолгого ожидания в Сети появился Проект Доктрины информационной безопасности Российской Федерации . Документ очень высокоуровневый, определяющий лишь общие цели и направления развития системы информационной безопасности. В силу этого документ не содержит каких либо конкретных описаний процедур, продуктов, указаний и тд. Тем не менее документ очень интересен. Интересен в первую очередь тем, как видит государство информационную безопасность и как оно видит роль граждан в информационной безопасности.

Оставим в стороне политическую составляющую данного документа (так или иначе, а у каждого государства есть свои интересы и естественно каждое государство хочет их отстаивать) и посмотрим на него исключительно с точки зрения обеспечения информационной безопасности.

Любопытное начинается уже в разделе терминов и определений. Скажем что есть национальные интересы?

То есть национальные интересы это в первую очередь интересы государства, а не интересы общества в целом или отдельных граждан. Правда уже следующий абзац интересы общества и государства приводит на одном уровне:

То есть каждая из трех сторон в целях безопасности должна чем-то поступиться. В общем ситуация не вызывает вопросов - все мы живем в обществе и должны учитывать интересы иных лиц. Но вот кто определяет кто и чем должен поступиться? Тем более, что в документе есть еще один пункт:

То есть ущемление прав и свобод граждан недопустимо. Получается, что поступиться своими интересами должно государство? Вопрос крайне интересен, но в документе не раскрыт - хотя в конце документа говорится, что:

В связи с этим крайне интересно - должна ли такая масштабная программа проходить через законодательные органы?
Но вернемся к началу документа - в раздел определений:

Опять перекос в сторону мер со стороны государства, тогда как без поддержки общества (воспитания компьютерной грамотности например) обеспечение столь масштабных мер вряд-ли нереализуемо.

Странно, но в вышеприведенном определении в числе ресурсов, подлежащих защите, отсутствуют ресурсы, размещенные на зарубежных серверах. Даже если компания хранит свои данные на серверах в России, зачастую необходимо хранить и обрабатывать данные на серверах, размещенных по всему миру. Государство отказывается от защиты интересов компаний или требования по безопасности не распространяются на зарубежные сервера?

К сожалению большая часть пунктов проекта посвящена усилению вертикали власти и улучшению совершенства административного механизма. Чтобы не создалось некорректного впечатления - на самом деле это также дело нужное - вспомним хотя бы качество проработки законов в области ИБ, уровень тендеров и тд. Совершенствовать в этой области нужно много. И об этом также говориться в документе:

Что же говорит документ в отношении роли отдельных граждан в деле повышения уровня информационной безопасности?

Опять в основном меры со стороны государства - о повышении актуальности знаний путем взаимодействия с компаниями различного типа, вовлечении институтов в процесс выпуска новых продуктов, разработки новых технологий - ни слова

И развитие личности опять же предполагается путем проведения административных мер - правовое регулирование и развитие правосознания в одном пункте.

Упоминается в документе и модная тема государственно-частного партнерства:

А вот от сертификации уйти не удастся

Если делать выводы - документ не плохой, но очень бы хотелось исправить его перекос в сторону усиления взаимодействия государства и общества - например в деле выработки той же концепции безопасности - ведь она будет касаться нас всех.

После недолгого ожидания в Сети появился Проект Доктрины информационной безопасности Российской Федерации . Документ очень высокоуровневый, определяющий лишь общие цели и направления развития системы информационной безопасности. В силу этого документ не содержит каких либо конкретных описаний процедур, продуктов, указаний и тд. Тем не менее документ очень интересен. Интересен в первую очередь тем, как видит государство информационную безопасность и как оно видит роль граждан в информационной безопасности.

Оставим в стороне политическую составляющую данного документа (так или иначе, а у каждого государства есть свои интересы и естественно каждое государство хочет их отстаивать) и посмотрим на него исключительно с точки зрения обеспечения информационной безопасности.

Любопытное начинается уже в разделе терминов и определений. Скажем что есть национальные интересы?

То есть национальные интересы это в первую очередь интересы государства, а не интересы общества в целом или отдельных граждан. Правда уже следующий абзац интересы общества и государства приводит на одном уровне:

То есть каждая из трех сторон в целях безопасности должна чем-то поступиться. В общем ситуация не вызывает вопросов - все мы живем в обществе и должны учитывать интересы иных лиц. Но вот кто определяет кто и чем должен поступиться? Тем более, что в документе есть еще один пункт:

То есть ущемление прав и свобод граждан недопустимо. Получается, что поступиться своими интересами должно государство? Вопрос крайне интересен, но в документе не раскрыт - хотя в конце документа говорится, что:

В связи с этим крайне интересно - должна ли такая масштабная программа проходить через законодательные органы?
Но вернемся к началу документа - в раздел определений:

Опять перекос в сторону мер со стороны государства, тогда как без поддержки общества (воспитания компьютерной грамотности например) обеспечение столь масштабных мер вряд-ли нереализуемо.

Странно, но в вышеприведенном определении в числе ресурсов, подлежащих защите, отсутствуют ресурсы, размещенные на зарубежных серверах. Даже если компания хранит свои данные на серверах в России, зачастую необходимо хранить и обрабатывать данные на серверах, размещенных по всему миру. Государство отказывается от защиты интересов компаний или требования по безопасности не распространяются на зарубежные сервера?

К сожалению большая часть пунктов проекта посвящена усилению вертикали власти и улучшению совершенства административного механизма. Чтобы не создалось некорректного впечатления - на самом деле это также дело нужное - вспомним хотя бы качество проработки законов в области ИБ, уровень тендеров и тд. Совершенствовать в этой области нужно много. И об этом также говориться в документе:

Что же говорит документ в отношении роли отдельных граждан в деле повышения уровня информационной безопасности?

Опять в основном меры со стороны государства - о повышении актуальности знаний путем взаимодействия с компаниями различного типа, вовлечении институтов в процесс выпуска новых продуктов, разработки новых технологий - ни слова

И развитие личности опять же предполагается путем проведения административных мер - правовое регулирование и развитие правосознания в одном пункте.

Упоминается в документе и модная тема государственно-частного партнерства:

А вот от сертификации уйти не удастся

Если делать выводы - документ не плохой, но очень бы хотелось исправить его перекос в сторону усиления взаимодействия государства и общества - например в деле выработки той же концепции безопасности - ведь она будет касаться нас всех.

Написана сложным языком, и редкий читатель доходит даже до середины этого не самого большого документа. Для упрощения работы с ним решил сделать краткий пересказ (обзор) основных положений. Публикую!

Доктрина информационной безопасности - это система официальных взглядов на обеспечение национальной безопасности РФ в информационной сфере.

Документ определяет следующие национальные интересы в информационной сфере (по сути они не изменились с 2000 года):

1. Обеспечение и защита прав и свобод граждан в части получения и использования информации, неприкосновенность частной жизни, а также сохранение духовно-нравственных ценностей.
2. Бесперебойное функционирование критической информационной инфраструктуры (КИИ).
3. Развитие в России отрасли ИТ и электронной промышленности.
4. Доведение до российской и международной общественности достоверной информации о государственной политике РФ.
5. Содействие международной информационной безопасности.

Доктрина необходима для формирования государственной политики и выработки мер по совершенствованию системы обеспечения информационной безопасности.

Информационная безопасность (ИБ) - это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз. Причем в новой редакции документа говорится еще и том, что при этом должны обеспечиваться конституционные права и свободы, достойное качество и уровень жизни граждан, суверенитет и территориальная целостность РФ, ее устойчивое социально-экономическое развитие. а также госбезопасность. Не "безопасность ради безопасности", а даже некий баланс получается: права граждан, экономика, безопасность.

Документ создан на основе анализа угроз и оценки состояния ИБ РФ и развивает положения Стратегии национальной безопасности РФ (от 31 декабря 2015 года № 683).

Угроза информационной безопасности РФ (информационная угроза ) - совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере.

В Доктрине определены следующие основные угрозы и характеристики состояния ИБ (привожу их тезисно):

• Зарубежные страны наращивают возможности по воздействию на ИТ инфраструктуру в военных целях.
• Усиливается деятельность организаций, осуществляющих техническую разведку в отношении российских организаций.
• Внедрение ИТ без увязки с ИБ повышает вероятность проявления угроз.
• Специальные службы используют методы информационно-психологическое воздействия на граждан.
• Все больше зарубежных СМИ доносят информацию предвзято.
• Российские СМИ за рубежом подвергаются дискриминации.
• Внешнее информационное воздействие размывает традиционные российские духовно-нравственные ценности (особенно у молодежи).
• Террористические и экстремистские организации широко используют механизмы информационного воздействия.
• Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере
• Методы, способы и средства совершения компьютерных преступлений становятся все изощреннее.
• Повышается сложность и количество скоординированных компьютерных атак на объекты КИИ.
• Остается высоким уровень зависимости отечественной промышленности от зарубежных ИТ.
• Российские научные исследования в сфере ИТ являются недостаточно эффективными, ощущается недостаток кадров.
• У российских граждан низкая осведомленность в вопросах обеспечения личной ИБ.
• Отдельные государства стремятся использовать технологическое превосходство для доминирования в информационном пространстве. В том числе и в сети Интернет.

В документе зафиксированы следующие области обеспечения ИБ и основные направления по ним:

1. Оборона страны:
а) стратегическое сдерживание и предотвращение военных конфликтов;
б) совершенствование системы обеспечения ИБ ВС РФ;
в) прогнозирование и оценка информационных угроз;
г) содействие обеспечению защиты интересов союзников РФ;
д) нейтрализация информационно-психологического воздействия.

2. Государственная и общественная безопасность:
а) противодействие использованию ИТ для пропаганды;
б) противодействие спец.службам, использующим ИТ;
в,г) повышение защищенности КИИ;
д) повышение безопасности функционирования образцов вооружения, военной и специальной техники и автоматизированных систем управления;
е) противодействие преступлениям в сфере ИТ;
ж) защита государственной тайны и других видов тайн;
з) развитие отечественного ИТ;
и) информационная поддержка государственной политики ФР;
к) нейтрализация информационно-психологического воздействия.

3. Экономическая сфера:
а-г) развитие и поддержка отечественного ИТ.

4. Наука, технологии и образование:
а-в) развитие науки;
г) развитие кадрового потенциала;
д) формирование культуры личной ИБ.

5. Стабильность и равноправное стратегическое партнерство
а) защита суверенитета РФ в информационном пространстве;
б-г) участие в формировании системы международной ИБ;
д) развитие национальной системы управления российским сегментом сети Интернет.

Доктрина информационной безопасности

РОССИЙСКОЙ фЕДЕРАЦИИ

Доктрина информационной безопасности РФ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.

Настоящая Доктрина служит основой для:

формирования государственной политики в области обеспечения информационной безопасности РФ;

подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности РФ;

разработки целевых программ обеспечения информационной безопасности РФ.

Настоящая Доктрина развивает Концепцию национальной безопасности РФ применительно к информационной сфере.

I. Информационная безопасность РФ

1. Национальные интересы РФ в информационной сфере и их обеспечение

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

2. Виды угроз информационной безопасности РФ

По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды:

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной политики РФ;

угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

3. Источники угроз информационной безопасности РФ

Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние. К внешним источникам относятся:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов РФ в информационной сфере;

стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

обострение международной конкуренции за обладание информационными технологиями и ресурсами;

деятельность международных террористических организаций;

увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам относятся:

критическое состояние отечественных отраслей промышленности;

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;

недостаточная экономическая мощь государства;

снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно - финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

4. Состояние информационной безопасности РФ и основные задачи по ее обеспечению

За последние годы в РФ реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности.

Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон РФ "О государственной тайне", Основы законодательства РФ об Архивном фонде РФ и архивах, Федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.

II. Методы обеспечения информационной безопасности РФ

5. Общие методы обеспечения информационной безопасности РФ

Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно - технические и экономические.

К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности являются:

внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ;

законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России.

6. Особенности обеспечения информационной безопасности РФ в различных сферах общественной жизни

Информационная безопасность РФ является одной из составляющих национальной безопасности РФ и оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности РФ и методы ее обеспечения являются общими для этих сфер.

В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности РФ могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности РФ.

Доктрина информационной безопасности РФ (Доктрина) утверждена Ука­зом № 1895 Президента РФ от 9 сентября 2000 г. Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные на­правления обеспечения информационной безопасности и служит основой для:

Формирования государственной политики в области обеспечения ин­формационной безопасности Российской Федерации;

Подготовки предложений по совершенствованию правового, методиче­ского, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;

Разработки целевых программ обеспечения информационной безопас­ности Российской Федерации.

1. Информационная безопасность РФ (виды и источники угроз ИБ РФ, состояние ИБ РФ и основные задачи по ее обеспечению);

2. Методы обеспечения ИБ РФ (особенности обеспечения ИБ РФ в раз­личных сферах общественной жизни, международное сотрудничество в области обеспечения ИБ);

3. Основные положения государственной политики обеспечения ИБ РФ (первоочередные мероприятия по реализации государственной политики безо­пасности в РФ);

4. Организационная основа обеспечения ИБ РФ (основные функции сис­тем обеспечения ИБ РФ. основные элементы организационной основы систем обеспечения ИБ РФ).

7. Закон «о государственной тайне»

В основу законов, позволяющих отнести информацию к тому или иному разряду тайн, положены принципы информационного суверенитета и междуна­родные правила. Регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации, осуществляется в соответствии с законом «О государственной тайне» .

7.1. Основные понятия

Государственная тайна - защищаемые государственные сведения в об­ласти военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распростране­ние которой может нанести ущерб безопасности Российской Федерации.

Носители сведений, составляющих государственную тайну , - материаль­ные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отражение в виде символов, образов, сиг­налов, технических решений и процессов.

Гриф секретности - реквизиты, свидетельствующие о степени секретно­сти сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Степень секретности - категория, характеризующая важность такой ин­формации, возможный ущерб в случае ее разглашения, степень ограничения доступа к ней и уровень ее охраны государством.

7.2. Перечень сведений, составляющих государственную тайну

Государственную тайну составляют:

I. Сведения в военной области:

О содержании стратегических и оперативных планов и о других доку­ментах боевого управления; о подготовке и проведении военных операций, стратегическом и мобилизационном развертывании войск и об их важнейших показателях, характеризующих организацию, численность, дислокацию, бое­вую и мобилизационную готовность, боевую и другую военную подготовку, вооружение и материально-техническое обеспечение Вооруженных Сил. пограничных войск и прочих воинских формирований;

О направлении развития отдельных видов вооружения и военной техни­ки, их количестве, тактико-технических характеристиках, организации и техно­логии производства, научно-исследовательских и опытно-конструкторских ра­ботах, связанных с разработкой новых образцов вооружения и военной техники, модернизации существующих образцов, а также о других работах, плани­руемых или осуществляемых в интересах страны;

О силах и средствах Гражданской обороны, о готовности населенных пунктов, регионов и отдельных объектов к защите, эвакуации и рассредоточе­нию населения, к обеспечению его жизнедеятельности и производственной дея­тельности объектов народного хозяйства в военное время или в условиях дру­гих чрезвычайных ситуаций;

О геодезических, гравиметрических, картографических, гидрографиче­ских и гидрометеорологических данных и характеристиках, имеющих значение для обороны страны.