Основы государственной политики Российской Федерации в области обеспечения информационной безопасности и безопасность компьютеризированных систем
Г.В. Емельянов
С момента утверждения 9 сентября 2000 г. Президентом России Доктрины информационной безопасности РФ идет ее активное обсуждение в средствах массовой информации, в специализированных журналах, на семинарах, конференциях и т.п. Среди прочего, естественно, раздаются критические замечания и пассажи как в адрес Доктрины, так и в адрес ее авторов. Анализ этих критических высказываний показывает, что в большинстве своем они носят излишне политизированный и тенденциозный характер.
Вместе с тем есть и весьма справедливые замечания и конструктивные предложения, которые, безусловно, надо учитывать в работе по реализации положений Доктрины.
Тема настоящей статьи не дает повода для подобных дискуссий вокруг Доктрины, а позволяет сосредоточиться на созидательной стороне дела, в том числе и на реализации положений Доктрины информационной безопасности.
Прежде всего, следует подчеркнуть, что Доктрина достаточно ясно определяет государственную политику в области обеспечения информационной безопасности РФ. Конечно, эта политика с той или иной степенью целенаправленности по ряду направлений информационной безопасности проводилась и ранее,
но не столь системно, как это стало возможным в результате работы над Доктриной.
Как и всякая политика, политика в области информационной безопасности должна основываться на каких-то принципах. Доктрина четко их формулирует. Это:
1. соблюдение Конституции и законодательства Российской Федерации, а также общепризнанных принципов и норм международного права;
2. открытость в реализации функций федеральных органов государственной власти, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
3. правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса;
4. приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.
Конечно, надо отдавать себе отчет в том, что сформулировать принципы – это только первый шаг, хотя и крайне важный. Теперь главные усилия должны быть направлены на их претворение в жизнь.
Если взять современный срез в этом плане нашего общества, то легко увидеть, что по части реализации сформулированных выше принципов государственной политики в сфере обеспечения информационной безопасности, у нас картина еще далека от оценки «хорошо».
Первый принцип
. Представляется, что здесь состояние наиболее удовлетворительное. Однако нерешенных проблем еще весьма много. Правда, примеры прямого нарушения норм Конституции (по крайней мере, значимого характера) автору неизвестны, но что касается законодательства, то такие примеры есть (например, работа тех или иных фирм в области защиты информации без предусмотренных законодательством лицензий, приэтом не всегда в этом виноваты сами фирмы). Что же касается соблюдения норм международного права, то тут немало проблем, связанных с необходимостью гармонизации нашего законодательства с международным. Причем делать это надо без ущерба для национальной безопасности страны, что в ряде случаев весьма непросто.
Второй принцип
. Хотя жесткий режим закрытого общества у нас в стране давно уже отменен (точнее, разрушен), до той степени открытости органов власти перед обществом, которая характерна для действительно демократических государств, у нас еще далеко. Соответствующие примеры из этой области очень часто фигурируют на страницах прессы, еще раз упоминать .
Третий принцип
. Практически всегда в соответствующих документах нормативно-правового характера этот тезис декларируется, но эффективных механизмов его реализации часто или нет, или они несовершенны. Возьмем, к примеру, вопрос о равном доступе всех членов общества к открытой информации. В плане нашего движения к информационному обществу, когда информация становится одним из наиболее значимых ресурсов, это положение получает принципиальнейшее значение. Однако его реализация, что называется, впрямую, практически невозможна. Так, информация, на создание которой собственник затратил определенные средства, естественно, распространяется за плату. Отсюда – не все члены общества в одинаковой мере могут ею пользоваться. Здесь, следовательно, нужны какие-то социальные институты выравнивания прав. В теоретическом плане эти вопросы уже обсуждаются (дотации государства в той ли иной форме, Интернет - библиотеки и т.п.). Реализация этих идей, конечно, забота государства, но пока в практическом плане эти вопросы прорабатываются слабо.
Наконец,
последний принцип
– приоритетное развитие отечественных информационно-телекоммуникационных технологий. С одной стороны, в настоящее время трудно представить себе более мощный рычаг для подъема экономики страны в целом, чем эта наиболее наукоемкая и динамически развивающаяся отрасль. А с другой стороны, без собственных информационно-телекоммуникационных технологий нам подлинную независимость и безопасность России не обеспечить.
Понятно, что в настоящее время по всему спектру исследований и создания продуктов в информационно-телекоммуникационной сфере мы, к сожалению, продвигаться не можем. Поэтому речь, в первую очередь, идет о тех областях, где у нас либо имеется задел и достижения, сравнимые с мировым уровнем, либо о тех продуктах (программных или аппаратных), которые по требованиям безопасности должны быть именно отечественного производства. В остальном же, и в этом нет ничего плохого, придется использовать иностранные разработки.
Перечисленные выше принципы государственной политики в области обеспечения информационной безопасности коррелированы, а, точнее, вытекают из наших национальных интересов в информационной сфере, которые в Доктрине определены посредством четырех составляющих. Это:
соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею;
информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации;
развитие современных информационных технологий, отечественной индустрии информации;
защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Каждая из этих составляющих в той или иной мере имеет отношение к теме настоящей работы.
Так, если рассматривать первую из них, то на современном этапе развития человечества ее уже нельзя обеспечить без создания и развития основанных на современных компьютерных технологиях информационных систем общего пользования.
Что касается второй составляющей, то все большая роль в информационном обеспечении государственной политики России отводится, например, глобальной компьютерной сети Интернет и обеспечению доступа к открытым информационным ресурсам органов государственной власти, хранящимся в автоматизированных базах данных. Многие органы исполнительной власти имеют свои сайты в Интернете, где помещают информацию о своей деятельности. Кстати, есть такой сайт и у аппарата Совета Безопасности РФ (www.scrf.gov.ru).
Далее, третья составляющая – обеспечение информационной безопасности компьютеризированных систем критического сектора национальной информационной инфраструктуры, что напрямую связано с развитием отечественных информационных технологий.
Последняя составляющая в какой то мере касается всех перечисленных выше. Так, конституционные права граждан могут быть нарушены в случае несанкционированного доступа к информационным системам, содержащим их персональные данные. Подключение к глобальной сети Интернет влечет за собой угрозы информационной безопасности национальных компьютерных систем, связанные как с несанкционированным доступом к информационным ресурсам, так и с их возможным разрушением. Использование импортных информационных технологий в автоматизированных системах управления техногенно опасными производствами, транспортом и т.п. без принятия соответствующих мер по обеспечению информационной безопасности создает реальные угрозы национальной безопасности России.
Важно также иметь в виду, что переход к рыночным отношениям и широкое внедрение компьютерных технологий во все сферы жизни современного общества повысили его уязвимость для противоправных действий и вызвали стремительный рост компьютерных преступлений.
Все это наглядно свидетельствует о возрастающей роли информационной безопасности отечественных компьютеризированных систем для обеспечения в целом безопасности нашего государства, а место, отведенное этой проблематике в Доктрине информационной безопасности Российской Федерации, говорит о том, что она находится в центре внимания органов государственной власти.
Теперь о том, какие функции должно осуществлять собственно государство через свои органы в области обеспечения информационной безопасности Российской Федерации. Итак, Доктриной определено, что государство:
проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности, разрабатывает меры по их нейтрализации;
осуществляет контроль за разработкой, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении отечественных производителей средств информатизации и защиты информации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России.
Представляется, что одним из элементов механизма реализации положений Доктрины являются различного рода конференции, симпозиумы, семинары. Они должны стать неким возможным полигоном для отработки новых идей, полем для конструктивных дискуссий, в определенной мере координирующим фактором деятельности научно-технической общественности, занимающейся проблематикой информационной безопасности.
Доктриной определены также и первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации, среди которых можно выделить три:
разработка и внедрение механизмов, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, создание безопасных информационных технологий, пресечение компьютерной преступности, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.
По каждому из этих направлений, в том числе и с участием аппарата Совета Безопасности, работа уже проводится. Так, в соответствии с решением Межведомственной комиссии по информационной безопасности разработан проект «Концепции совершенствования правового обеспечения информационной безопасности Российской Федерации». Данный проект трижды рассматривался на заседании указанной Межведомственной комиссии, прошел апробацию в Федеральном Собрании и Верховном Суде Российской Федерации, а также в Минюсте России. В настоящее время осуществляется доработка проекта, после чего предполагается представить его на рассмотрение вышестоящих инстанций, вплоть до Президента Российской Федерации.
Что касается второго направления, то здесь следует выделить, как весьма актуальные, вопросы борьбы с компьютерной преступностью. К ним можно отнести: компьютерное мошенничество в системе электронной торговли; несанкционированный доступ и перехват информации; неправомерное использование, копирование и распространение информации; взлом и похищение информации из баз данных и т.д.
К сожалению, владельцы компьютеризированных систем, на наш взгляд, не всегда осознают значимость и масштабы этого вида информационной угрозы. Вместе с тем, как показывает практика, компьютерная преступность в настоящее время приобрела уже транснациональный характер. Не осталась она и вне сферы интересов российской организованной преступности. По некоторым данным, сумма ущерба от компьютерных преступлений в 1998 году в России составила более 34 млрд. рублей. В 1999 году число преступлений в сфере информационных технологий в 3 раза превысило уровень 1998 года.
Для противодействия данной угрозе и практической борьбы с ее проявлениями государством были приняты необходимые организационно-штатные преобразования структур федеральных органов исполнительной власти.
Однако коренной перелом в этой борьбе может быть достигнут только при достаточном научно-техническом, правовом и кадровом обеспечении данной деятельности. Вместе с тем, как раз состояние этих компонент в настоящее время не позволяет с высокой эффективностью вести данную работу.
И здесь можно перейти к третьему из выделенных направлений реализации государственной политики обеспечения информационной безопасности Российской Федерации, определенных Доктриной, — к развитию системы подготовки кадров, используемых в области обеспечения информационной безопасности.
Во многом проблемы с раскрытием компьютерных преступлений связаны с дефицитом квалифицированных специалистов, способных в комплексе расследовать и доказывать данного рода преступления, защищать интересы личности, общества и государства в этой сфере. Очевидно, что для успешного участия в расследовании такого рода преступлений специалисты должны обладать не только солидным юридическим опытом, но и углубленными знаниями в области обеспечения информационной безопасности, знать все тонкости защитных мер, применяемых государством для защиты информации, разбираться в используемых преступниками методах их преодоления.
30 марта 2000 г. в МГУ им. М.В. Ломоносова был проведен круглый стол на тему «Подготовка специалистов по раскрытию преступлений в области информационных технологий». Как показала прошедшая дискуссия, организация и состояние работ по подготовке специалистов в данной области не удовлетворяют требованиям времени. В ходе круглого стола и в принятом по его итогам решении был сформулирован ряд предложений, направленных на дальнейшее совершенствование деятельности по подготовке и повышению квалификации специалистов в области информационной безопасности. Указанные предложения были использованы при подготовке заседания Совета Безопасности, на котором обсуждалась Доктрина информационной безопасности.
Говоря же о подготовке кадров в области информационной безопасности в целом, необходимо отметить, что существенную организаторскую и методическую роль в этом вопросе играет учебно-методическое объединение (УМО) ВУЗов Российской Федерации. УМО по информационной безопасности действует в России с 1996 г. В его состав в настоящее время входит более 60 ВУЗов страны, включая ИКСИ, МИФИ, МВТУ, МГУ, РГГУ и другие учебные заведения, имеющие большой опыт работы в области подготовки кадров. В частности, это УМО недавно провело специальный Пленум, на котором были намечены и приняты к реализации конкретные мероприятия по реализации положений Доктрины информационной безопасности.
В заключение следует отметить, что с выходом в свет Доктрины государство в лице своего высшего руководителя определило свое отношение к одной из важнейших на современном этапе составляющих национальной безопасности, определило основы своей политики в этой области.
По материалам конференции “Информационная безопасность компьютеризированных систем”. GROTEK, 2000 г.
Емельянов Геннадий Васильевич -
начальник Управления информационной безопасности аппарата Совета Безопасности Российской Федерации, кандидат физико-математических наук
© Информационное общество, 2000, вып. 6, с. 16 - 19.