RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети



Доктрина информационной безопасности - как обеспечить информационную безопасность.

В 2000 г. Президентом РФ была утверждена Доктрина информационной безопасности Рос­сийской Федерации[1] (дальше - Доктрина). Не являясь нормативно-правовым актом, она определила политику нашего государства в информационной сфере на ближайшую перспективу, а именно, за­крепила понятие информационной безопасности, обозначила основные виды угроз информационной безопасности и методы ее обеспечения, определила основные положения государственной политики обеспечения информационной безопасности и организационную основу системы обеспечения ин­формационной безопасности.  

Составляющие национальных интересов России в информационной сфере в доктрине:

  • Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.
  • Информационное обеспечение государственной политики РФ(доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в РФ и в мире) с доступом граждан к открытым государственным ресурсам.
  • Развитие современных ИТ российской индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка РФ и выход на мировые рынки.
  • Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных устройств.

Виды угроз информационной безопасности РФ в доктрине

  • Угрозы направленные на конституционные права и свободы человека в области информационной деятельности.
  • Угрозы информационного обеспечения государственной политики РФ.
  • Угроза развития современных ИТ российской индустрии, а так же не выход на внутренний и мировой рынок.
  • Угрозы безопасности информационных и телекоммуникационных средств и устройств.

Методы обеспечения информационной безопасности РФ в доктрине:

Правовые методы

  • Разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ
  • разработка нормативных методических документов отвечающим по вопросам информационной безопасности РФ

Организационно-инженерные методы

  • создание системы информационной безопасности РФ и ее совершенствование
  • привлечение лиц к ответственности, совершивших преступления в этой сфере
  • создание устройств и средств для предотвращения несанкционированного доступа к обрабатываемой информации
  • выявление средств и систем представляющих опасность для нормального функционирования устройств, предотвращение перехвата информации с использование средств криптографической защиты как при передаче информации, так и при ее хранении
  • контроль за выполнением требований по защите информации
  • контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности РФ
  • создание системы мониторинга информационной безопасности РФ

Экономические методы

  • Разработка программ обеспечения информационной безопасности и их финансирование
  • финансирование работ связанных с обеспечением информационной безопасности РФ

 

Отмечая потребность баланса интересов личности, общества и государства в данном вопро­се, указанная Доктрина обозначила проблематику по каждому перечисленному выше субъекту и пути ее разрешения. При этом, хотя, в качестве приоритета было обозначено обеспечение информаци­онной безопасности, в первую очередь, государства. Так, в Доктрине отмечено, что "разбор состояния информационной безопасности РФ показывает, что ее уровень не полностью соответствует потребностям общества и государства". 

Даже понятие информационной безопасности, данное в Доктрине, определено как "информа­ционная безопасность России".

При этом в Доктрине было обозначено, что "закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну пе­реписки почти не имеют достаточного правового, организационного и технического обеспече­ния. Неудовлетворительно организована защита собираемых федеральными органами государствен­ной власти, органами государственной власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных)". 

Политика государства в последующие годы была направлена на реализацию основ­ных положений Доктрины. Был принят ряд федеральных законов, в большей степени опосредованно, чем напрямую направленных на решение поставленных в Доктрине задач: Кодекс РФ об административных преступлениях (от 30 дек. 2001 г. № 195-ФЗ), Трудовой кодекс Рос­сийской Федерации (от 30 дек. 2001 г. № 197-ФЗ), "Об электронной цифровой подписи" (от 10 ян­варя 2002 г. № 1-ФЗ), "О коммерческой тайне" (от 29 июля 2004 г. № 98-ФЗ), "Об архивном деле в Рос­сийской Федерации" (от 22 окт.2004 г. № 125-ФЗ), "Об информации, информационных технологи­ях и о защите информации" (от 27 июля 2006 г. № 149-ФЗ), "О персональных данных" (от 27 июля 2006 г. № 152-ФЗ), иные нормативно-правовые акты. Были утверждены: государственнаяцелевая про­грамма "Электронная РФ (2002-2010 годы)"[2], Стратегия развития информационного общества в РФ[3], Нацпрограмма"Информационное общество (2011-2020 годы)"[4]

 

Серьезно переменилась структура федеральных органов исполнительной власти РФ, которые занимаются вопросами, касающимися информационной сферы, в частности во­просами обеспечения информационной безопасности государства (в 2003 г. упразднено Федеральное агентство правительственной связи и информации при Президенте РФ[5], в 2004 г. Национальная техническая комиссия при Президенте РФпреобразована в Федеральную службу по техническому и экспертному контролю[6], в 2008 г. Министерство информационных технологий и связи преобразовано в Министерство связи и массовых коммуника­ций РФ[7], в 2010 г. упразднено Федеральное агентство по информационным тех­нологиям, а его функции переданы Министерству связи и массовых коммуникаций[8] и т.д.).

 

Государственная служба по техническому и экспертному контролю (ФСТЭК РФ) в целях норма­тивно-методического обеспечения безопасности информационных устройствперсональных данных в ор­ганах власти и учреждениях (на предприятиях) разработала в 2008 г. ряд нормативных документов:

  • методику определения злободневных угроз безопасности персональных данных при их обработ­ке в информационных системах персональных данных;
  • основные мероприятия по организации и техническому обеспечению безопасности персо­нальных данных, обрабатываемых в информационных системах персональных данных;
  • рекомендации по обеспечению безопасности персональных данных при их обработке в ин­формационных системах персональных данных;
  • базовую модель угроз безопасности персональных данных при их обработке в информацион­ных системах персональных данных.

В 2002-2003 гг. были приняты 2 государственных стандарта РФ: ГОСТ Р ИСО/МЭК 15408­2002 "Критерии оценки безопасности информационных технологий"[9] и ГОСТ Р 52069.0-2003 "Защи­та информации. Система стандартов. Основные положения"[10].

Хотя при всей положительной динамике в нормотворческом процессе, связанном с обеспече­нием информационной безопасности, по истечении 10 лет мы по-прежнему не имеем четкого меха­низма обеспечения конституционных прав и свобод человека и гражданина на личную и семейную тайну, тайну переписки, переговоров по телефону, почтовых, телеграфных и других сообщений, на за­щиту собственной чести и собственногодоброго имени; у нас по-прежнему не полностью обеспечен запрет на сбор, хранение,эксплуатацию и распространение информации о частной жизни лица без его согла­сия ииной информации, доступ к которой ограничен федеральным законодательством. На достижение таких целей (наряду с другими) была ориентирована Доктрина[11].

 

Так, диспозиции следующих статей Уголовного кодекса РФ, связанных с указанными выше правами граждан, не менялись с 1996 г.: 129 (Клевета), 130 (Оскорбление), 138 (Нарушение тайны переписки, переговоров по телефону, почтовых, телеграфных илидругих сообще­ний); незначительно переменилась диспозиция ст. 137 Уголовного кодекса (Нарушение неприкосно­венности частной жизни)[12]. Правда, меры пресечения таких статей были изменены в сторону ужесточения наказания[13], хотя социологические исследованияговорят о том, что ужесточение наказа­ния не способствует, обычно, повышению эффективности в борьбе с преступностью.

 

Сказанное выше справедливо и в отношении диспозиций этих статей Кодекса РФ об административных преступлениях, как ст. 13.11 (Нарушение установленного законом порядка сбора, хранения, эксплуатации или распространения информации о гражданах (персональ­ных данных)), 13.12 (Нарушение правил защиты информации), 13.13 (Незаконная деятельность в об­ласти защиты информации) и 13.14 (Разглашение информации с ограниченным доступом)[14].

 

При этом надо заметить, что дела об административных преступлениях, предусмотренных ст. 13.11 и 13.14, возбуждаются прокурором; по ст. 13.12, 13.13 и 13.14 - должностными лицами органов внутренних дел, и должностными лицами еще 3-х органов исполнительной власти[15]. Дела об административных преступлениях, предусмотренных ст. 13.11, ч. 5 ст. 13.12, ст. 13.14, рассматриваются судьями. Дела об административных преступлениях, предусмотренных частями

2 и 4 ст. 13.12, ст. 13.13, рассматриваются судьями в ситуациях, если орган или должностное лицо, к которым поступило дело о таком административном правонарушении, передает его на рассмотрение судье. Дела об административных преступлениях, предусмотренных ч. 3 и 4 ст. 13.12, ч. 2 ст. 13.13, рассматриваются органами, осуществляющими контроль за обеспечением защиты государст­венной тайны. Дела об административных преступлениях, предусмотренных ч. 1 и 2 ст. 13.12, ч. 1 ст. 13.13, рассматриваются органами, осуществляющими государственный контроль в области обра­щения и защиты информации. Такое существенное число субъектов, уполномоченных осущест­влять процессуальные действия по указанным статьям, едва ли может способствовать качественному осуществлению правосудия.

 

Так, к примеру, Государственная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в целом по РФ в 2009 г. направила в органы прокурату­ры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 Кодекса России об административных преступлениях всего 86 материалов прове­рок при том, что лишь на 31 дек. 2009 г. было зарегистрировано 78 653 оператора персональных данных (из них в 2009 г. зарегистрировано 45 058 операторов)[1].

Еще одной проблемой является то, что по Федеральному закону "О персональных данных" информационные системы персональных данных, созданные до дня вступления данного закона в силу, изначально обязаны были быть приведены в соответствие с требованиями настоящего Федерально­го закона не позже 1 янв. 2010 г.. Хотя потом указанный срок был перенесен сперва на 1 янв. 2011 г.[2], а в дек. 2010 г. в Государственной Думе Россиипринят соответствующий законопроект с новой формулировкой: "Информационные системы персональных данных, созданные до 1 янв. 2011 г., обязаны быть приведены в соответствие с требованиями настоящего Федераль­ного закона не позже 1 июля 2011 г.".Эта отсрочка имеет только технический харак­тер. Сегодня Госдума ведет подготовку к рассмотрению во II-м чтении законопроекта, который внесет весьма существенные поправки в действующую редакцию Федерального закона, в частности впорядок государственного регулирования защиты персональных данных.

 

Проблемой законодательства является и то, что до настоящего времени не конкре­тизированы понятия семейной и личной тайны, на которые ссылаются многие нормативно-правовые акты (Конституция РФ, Гражданский и Уголовный кодексы РФ, ряд федеральных законов).

Говоря об упомянутой выше Стратегии развития информационного общества в РФ (дальше - Стратегия), нужно подчеркнуть, что в ч. 8 разд.ЧЕТВЕРТЫЙ из главных направлений ее реа­лизации вновь упоминаются "обеспечение неприкосновенности частной жизни, семейной и личной тайны, соблюдение требований по обеспечению безопасности информации ограниченного доступа"; хотя данный вопрос рассматривается по какой-то причине "в области противодействия применению потен­циала информационных и телекоммуникационных технологий в целях угрозы национальным интере­сам РФ". При этом в ч. 3 данного раздела Стратегии сообщается о том, что "в области совершенство­вания системы государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере основным направлением является развитие законодательных механизмов".

 

Тоже по данной Стратегии одной из главных задач, требующих решения для формиро­вания и развития информационного общества в РФ является "совершенствование системы государственных гарантий конституционных прав человека и гражданина в информацион­ной сфере"[3].  Реализация задач, заложенных в Стратегии, обязана привести к тому, что РФ к 2015 г. в ме­ждународных рейтингах в области развития информационного общества окажется вколичестве двадцати ведущих стран мира.

Нужно тоже подчеркнуть, что ни в Доктрине информационной безопасности РФ, ни в Стратегии развития информационного общества в РФ не поднимаются вопросы обеспечения информационной безопасности иностранных граждан и лиц без гражданства, находящихся на территории РФ.

 

Изучая государственную программу "Информационное общество (2011-2020 годы)", нужно об­ратить внимание на одну из ее подпрограмм, предусматривающую обеспечение безопасности в инфор­мационном обществе, где сообщается о развитии технологий защиты информации, обеспечивающих не­прикосновенность частной жизни, семейной и личной тайны, и безопасность информации огра­ниченного доступа19. Тут же сказано об обеспечении развития законодательства РФ и совершенствовании правоприменительной практики в сфере информационных технологий20.

 

Реализация задач, заложенных в указанной государственной программе, обязана привести к то­му, что РФ по индексу развития информационных технологий к 2015 г. обязана попасть в мировом рейтинге в десятку ведущих стран мира и сохранить это место до 2020 г.

С учетом изложенного вопросы обеспечения информационной безопасности как государства в целом, так и его граждан выходят в разряд приоритетных.

В связи с этим требуется:

  • конкретизировать понятие информационной безопасности граждан (физических лиц), и понятие семейной и личной тайны граждан (физических лиц) и зафиксировать их в отдельном законода­тельном акте;
  • разработать комплексную систему организационных мер, направленных на обеспечение ин­формационной безопасности граждан (физических лиц) на предприятиях (организациях, учреждени­ях), где они трудятся (разработать типовые политики, правила и процедуры обеспечения информаци­онной безопасности и т.д.). Предусмотреть в данной системе государственный орган, на который бу­дут возложены дополнительные функции по созданиисоответствующих мероприятий и контролю за их исполнением, и координации деятельностииных органов власти в этом направлении;
  • усилить ответственность должностных лиц за обеспечение информационной безо­пасности в отношении подчиненных им работников (работников).

Даже частичная реализация таких мероприятий позволит добиться реального обеспечения информационной безопасности граждан, а вместе с этим и информационной безопасности российско­го общества и государства в целом.


[1] Доктрина утверждена Президентом РФ 9 сент. 2000 г. (№ Пр-1895).

[2] Утверждена Постановлением Правительства РФ от 28 янв. 2002 г. № 65.

[3] Утверждена Президентом РФ 7 фев. 2008 г. (№ Пр-212).

[4] Утверждена распоряжением Правительства РФ от 20 окт. 2010 г. № 1815-р.

[5] По Указу Президента РФ от 11 мар. 2003 г. № 308.

[6] По Указу Президента РФ от 9 мар. 2004 г. № 314.

[7] По Указу Президента РФ от 12 мая 2008 г. № 724.

[8] По Указу Президента РФ от 25 августа 2010 г. № 1060.

[9] Принят Постановлением Госстандарта РФ от 4 апреля 2002 г. № 133-ст (с введением с 1 янв. 2004 г.).

[10] Принят Постановлением Госстандарта РФ от 5 июня 2003 г. № 181-ст.

[11] См. часть 1 раздела I Доктрины информационной безопасности РФ.

[12]   В редакции Федерального закона от 08.12.2003 г. № 162-ФЗ из ч. 1 ст. 137 исключены слова: «если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интере­сам граждан».

[13]    Согласно Федеральным законам от 08.12.2003 г. № 162-ФЗ, от 22.12.2008 г. № 272-ФЗ и от 27.12.2009 г. № 377-ФЗ.

[14]   В редакции Федерального закона от 09.04.2007 г. № 45-ФЗ в абзаце первом ст. 13.14 слова «лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей» заменены словами «лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональ­ных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса ». 

[15] Федерального органа исполнительной власти, уполномоченного в области противодействия техническим раз­ведкам и технической защиты информации; федерального органа исполнительной власти, уполномоченного в области безопасностиРФ, и органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.

[16] Из Публичного доклада Роскомнадзора за 2009 г.

[17] В редакции Федерального закона от 27.12.2009 г. № 363-ФЗ.

[18] См. раздел III указанной Стратегии.


Оставьте свой отзыв:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Подписаться

vk

 Telegram  информационные технологии в telegram

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы