Внешние и внутренние угрозы и их источники

Информационное развитие стран в XX и XXI вв. сфор­мировало два направления деятельности в области обеспе­чения информационной безопасности. Это деятельность по обеспечению безопасности информационной инфраструк­туры в масштабе государства, во-первых, и деятельность по проведению мер информационного противоборства с другими государствами, во-вторых.

Например, в США Национальный план обеспечения безопасности информационных систем сопровождается изданием книг с разноцветной обложкой, где излагаются требования к обеспечению безопасности в информацион­ной сфере. Они содержат от 8 до 10 конкретных программ. Аналогичная книга («Зеленая») была одобрена в 1990 г. ФРГ, Ве­ликобританией, Францией, Голландией. На ее основе в Европейском Союзе (ЕС) создана система критериев оценки угроз 1Т5Е (Критерии оценки защищенности информационных технологий). В более поздней книге — «Белой» — перечислены восемь компонентов безопасности.

Как правило, они касаются таких направлений дея­тельности, как: определение критически важных ресурсов инфраструктуры, их взаимосвязей и стоящих перед ними угроз; обнаружение нападений и несанкционированных вторжений; разработка разведывательного обеспечения и правовых актов по защите критических информационных систем; своевременный обмен информацией предупрежде­ния; создание возможностей по реагированию, реконфигурации и восстановлению.

Аналогичные программы существуют и в других странах. Их реализация мобилизует государственные и обществен­ные структуры, субъектов корпоративных и персональных информационных систем на выработку концепций и мер борьбы с внутренними угрозами и рисками в сфере их ин­формационной безопасности.

Наряду с программами обеспечения информационной безопасности разрабатываются и планы информационного противоборства. В зарубежной практике эта часть работ на­зывается «информационными операциями». Печать и телера­диовещание середины 2008 г. сообщают об ужесточении та­моженных правил и правил контроля за багажом пассажиров авиафлота в США. Контроль касается всех средств информа­ционных технологий и связи (ноутбуков, мобильных телефо­нов, других носителей информации). Ноутбуки изымаются на две-три недели, и в каком состоянии они будут возвращены владельцу, неясно. Все это делается во имя борьбы с угрозами так называемого терроризма. Контролю подлежат не только носители информации туристов, но и граждан США.

В процессе реализации программ и законодательства в этой области обосновываются системы внешних угроз для других стран и субъектов. Это могут быть реализуемые в разных формах информационные войны, снам, распро­странение ложной или незаконной рекламы, распростране­ние ложных сведений и т.д.

В уже упомянутой коллективной работе, посвященной «информационным операциям», упоминается документ США 1998 г. «Объединенная доктрина борьбы с системами управления» и директива 53600.1 «Информационные опе­рации». В соответствии с этими и подобными документа­ми полагалось, что американские вооруженные силы могут получить в свое распоряжение интегрированную систему принятия решений, базирующуюся на технологиях искус­ственного интеллекта, использовании нанотехнологий, эффективном анализе информации и т.п., что позволит обеспечить к 2020 г. принятие решений в реальном време­ни. Естественно, что подобные планы, и особенно в военной области, должны вызвать соответствующую реакцию защи­ты. Меры по противостоянию внешним информационным угрозам должны быть дифференцированы относительно степени их вредности в области реализации конституци­онных прав и свобод человека и гражданина; в области за­щиты интересов государства и общества в целом. При этом важно мобилизовать внимание не столько на прямое учас­тие в информационных войнах, например, сколько на про­филактические меры противостояния, предотвращения внешних угроз. Прежде всего — на укрепление правовой основы пресечения, предотвращения вредных для общества форм информационной борьбы — «холодных» и «горячих» войн. А это требует наибольшего сосредоточения внимания на правовом, организационном и техническом уровне обес­печения информационной безопасности относительно на­циональных систем информатизации, организации каждой информационной системы в отдельности.

При организации и оценке деятельности в области обе­спечения информационной безопасности важно учиты­вать следующие условия: 1) точное определение информа­ционного объекта, безопасность которого обеспечивается; 2) информационный статус субъекта, безопасность прав которого обеспечивается; 3) правовой статус субъектов, которые обеспечивают информационную безопасность; 4) знание угроз, рисков, правонарушений в зоне обеспече­ния информационной безопасности, а также источников, от которых эти угрозы исходят; 5) наличие установки, как, какими способами (мерами) может быть обеспечен необ­ходимый уровень безопасности конкретного информаци­онного объекта и прав субъектов, которые связаны с этим информационным объектом.

Основные направления повышения уровня защищеннос­ти объектов общей информационно-технологической инф­раструктуры федеральных органов государственной власти на основе распоряжения Правительства РФ от 27.09.2004 № 1244-р включают восемь направлений:

1) обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференциации ее уровня в различных федеральных ор­ганах государственной власти;

2) разработка модели угроз информационной безо­пасности;

3) определение технических требований и критериев установления критических объектов информационно-тех­нологической инфраструктуры, создание реестра критиче­ски важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований;

4) обеспечение эффективного мониторинга состояния информационной безопасности;

5) совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информа­ционных систем и ресурсов;

6) проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности;

7) создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, для ограниченного круга органов государственной власти;

8) развитие средств защиты информации систем обеспечения безопасности электронного документооборота, системы контроля действия государственных служащих по работе с информацией; развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертифика­ции и аудита.

Правовое оформление гарантий обеспечения

Информационной безопасности

В Законе об информации при закреплении сферы дейст­вия этого закона сказано, что закон регулирует отношения по обеспечению «защиты информации». Соответственно, этот Закон содержит специальную ст. 16, которая так и на­зывается: «Защита информации». В ч. 1 этой статьи установлено, что: «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации огра­ниченного доступа;

3)реализацию права на доступ к информации».

Наиболее подробно здесь обозначены угрозы, которые могут вызывать необходимую систему мер правовых, ор­ганизационных и технических. Они обозначены как не­правомерный доступ, неправомерное уничтожение, измене­ние, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того, чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Необходимо зафиксиро­вать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправо­мерному посягательству; со стороны каких субъектов; кто должен обеспечить их безопасность.

Так, при характеристике информационного объекта важ­но уяснить, представлен ли он в форме документа, совокуп­ности документов — базой данных, либо информационной системой, т.е. совокупностью не только данных, но и про­граммным обеспечением, которое также может быть под­вергнуто незаконному доступу и другим незаконным дейст­виям. Важно и то, к какой категории доступа относится информационный объект: является ли он общедоступным или отнесен к объектам ограниченного доступа. Объектом незаконного доступа, очевидно, могут быть и входные и вы­ходные средства информационной системы в сеть. Все эти обстоятельства имеют большое значение для квалифика­ции действий по несанкционированному вмешательству в информационную систему или ее компоненты.

Закон называет три категории субъектов, которые должны сами обеспечить соблюдение определенных тре­бований по обеспечению информационной безопасности.

Это такие субъекты, как: обладатель информации (не ска­зано, законный или незаконный); оператор, а также рас­пространитель информации, очевидно СМИ.

Попробуем обозначить распределение их ролей относи­тельно принимаемых мер в форме табл. 2.

Таблица 2 Распределение обязанностей участников обеспечения безопасности информационных систем по Закону об информации

Меры по обеспечению информационной безопас­ности	Облада­тель	Оператор	Распро­страни­тель
Предотвращение несанкционированного доступа	+	+	-
Передача лицам без права доступа	-	+	+
Обнаружение факта несанкционированного доступа	+	+	-
Предупреждение неблаго­приятных последствий	+	+	+
Недопущение воздействия на технические средства обработки информации	+	+	+
Возможность незамедли­тельного восстановления информации, измененной или уничтоженной субъ­ектом несанкционирован­ного доступа	+	+	?
Постоянный контроль за обеспечением уровня за­щищенности информации	+	+	?

Стоит обратить внимание на то, что в составе субъектов не обозначен пользователь, а также что обязанности распро­странителя в части перечисленных функций остаются неуре­гулированными. Но и эти три вида субъектов в соответствии со своим правовым статусом будут реализовывать разные меры предотвращения несанкционированного доступа к от­крытой информации, к информации ограниченного доступа, а также отнесенной к государственной тайне.

В части 2 ст. 16 Закона «Об информации» указано: «Госу­дарственное регулирование отношений в сфере защиты ин­формации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».

В части 5 этой же статьи устанавливается, что требования по защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения без­опасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государ­ственных информационных систем используемые в целях защиты информации методы и способы ее защиты долж­ны соответствовать указанным требованиям. О требовани­ях к защите информации и информационных технологий корпоративных информационных систем и частных систем в этом Законе ничего не сказано. Между тем вопросы защи­ты и обеспечения безопасности таких категорий информа­ции, как коммерческая, профессиональная, персональные данные, нуждаются в урегулировании. И это осуществля­ется специальными федеральными законами.

Следует уяснить, что проблема обеспечения безопас­ности касается не только информации ограниченного до­ступа. Этот институт должен работать и применительно к информации неограниченного доступа и, возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сам по себе сужа­ет круг пользователей. Открытая же информация может подвергаться неправомерному воздействию — искажению, уничтожению, присвоению — более легко. Это можно ви­деть на примере некоторых ресурсов Интернета. В части 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавливать­ся для достижения целей, указанных в п. 1 и 3 ч. 1 данной статьи. А именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распростра­нения, а также от иных неправомерных деяний и при обе­спечении реализации права на доступ.

Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются про­стыми и не ограничиваются только установлением мер по их усиленной охране.

Так, для обеспечения безопасности коммерчески значи­мой информации в соответствии с Федеральным законом «О коммерческой тайне» необходимо учитывать условия, в которых применяется институт коммерческой тайны. Спец­ифика этого института состоит в том, что этот вид тайны действует преимущественно в системе гражданско-правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требо­ваниям работы с ней с учетом правового режима конфиден­циальной информации. И, в процессе ее охраны и защиты, реализуются меры информационного права с учетом специ­фики гражданско-правовых отношений в договорной, обяза­тельственной практике, а также учет особенностей отноше­ний в области интеллектуальной собственности, в процессах использования объектов коммерческой тайны. При этом соблюдаются требования к оформлению документов, со­держащих коммерческую тайну, нормы, определяющие по­рядок работы с этой информацией, которые реализуют ор­ганизационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее сохранности в определенном режиме, а также требования к порядку обращения этой информации по системе комму­никаций. Использование такой информации обеспечивает гражданско-правовой интерес ее владельца — получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режи­ма, установленного законом и действиями владельца в соот­ветствии с Законом об информации.

При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа не­обходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного до­ступа (внутренних для информационной системы и внеш­них); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкцио­нированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламен­тами, инструкциями, стандартами, которые разрабатывают­ся с учетом обозначенных выше требований по защите ин­формации в государственных информационных системах.

В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта прихо­дится встречаться с его неоднозначностью по составу. Напри­мер, коммерческая тайна может касаться документов эконо­мического, организационного характера, но может включать и информацию, относимую к ноу-хау — по российским тра­дициям относимую к объектам интеллектуальной собствен­ности, что и подтверждается соответствующими нормами части четвертой ГК РФ. В связи с этим способы правонару­шений относительно конфиденциальности и защиты этих подвидов коммерческой тайны будут различными.

В интернет-среде регулирование в направлении обеспе­чения безопасности осуществляется преимущественно на основе международных стандартов и протоколов, на основе более четкого установления, за что и в каких случаях опе­ратор связи несет ответственность и за что он не должен отвечать (отказ технического оборудования по причинам, не зависящим от оператора; за сбои за пределами его зоны ответственности, за содержание сообщений и т.п.).

В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регу­лирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютер­ных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное поло­жение о контроле за международными соединениями ин­формационных компьютерных сетей. Опубликованы также такие документы, как: Временный порядок регистрации названий интернет-страниц, Правила контроля за помеще­нием информации в сети.

Как видим, в области обеспечения информационной бе­зопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного права. В связи с принятием в феврале 2008 г. Стратегии развития информационного общества в Российской Федерации еще предстоит большая работа по углублению и уточнению мер защиты информации как ограниченного доступа, так и ин­формации общего пользования и всех телекоммуникацион­ных средств ее трансляции.