Доктрина информационной безопасности

Доктрина информационной безопасности Российской Федерации. Общие положения.

5 декабря 2016 года была утверждена новая доктрина информационной безопасности. Сама по себе она не вносит никаких законодательных изменений: доктрина — не закон, а, скорее, обозначение целей. Тем не менее, принятие новой доктрины является важным шагом в российском законодательстве, так как указывает направление его развития и создаёт фундамент для принятия законов в будущем. Это делает доктрину в чём-то более важной, нежели обычный закон, но и более гибкой в деталях: влияние её может распространяться на многие инициативы, но при этом конкретные неточности и ошибки могут быть исправлены при реализации конкретных законодательных актов. Поэтому обсуждение и анализ положений доктрины особенно важен.

В первом разделе доктрины, рассматриваемом в этой работе, приводятся общие положения, определяются понятия, используемые в доктрине в дальнейшем. Производя анализ этой части документа, имеет смысл привести определения всех используемых понятий, и некие комментарии к ним.

В настоящей Доктрине под информационной сферой понимается совокупность информации¹, объектов информатизации², информационных систем³, сайтов⁴ в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сетей связи⁵, информационных технологий⁶, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности⁷, а также совокупность механизмов регулирования соответствующих общественных отношений.

1. Информация — сведения, независимо от формы представления. - Когаловский М. Р. и др. Глоссарий по информационному обществу

2. Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. - ГОСТ Р 51275-2006

3. Информационная система - система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию. - ISO/IEC 2382:2015

4. Сайт — совокупность логически связанных между собой веб-страниц; место расположения контента сервера

5. Сеть связи — Технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи. - Федеральный закон «О связи», статья 2, пункт 24.

6. Информационные технологии -

- процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. - ФЗ № 149-ФЗ

- приёмы, способы и методы применения средств вычислительной техники сбора, хранения, обработки, передачи и использования данных. - ГОСТ 34.003-90

- ресурсы, необходимые для сбора, обработки, хранения и распространения информации. - ISO/IEC 38500:2008

7. Информационная безопасность - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность. - ГОСТ Р 50922-2006

При изучении использованных определений бросается в глаза широта и размах используемых определений. Даже для доктрины описанная область действия — информационная сфера — крайне велика: уже первая её составная часть вмещает все существующие сведения, включая не высказанные мысли. В информационную сферу также входят так же «человеческие ресурсы, которые обеспечивают и распространяют информацию», то есть большая часть людей; аналогичные финансовые ресурсы; методы обработки информации; технические инструменты, обеспечивающие работу с информацией... Кроме того, многие использованные термины пересекаются: так, сеть связи почти наверняка объект информатизации и информационная система; информационная система почти что невозможна и бессмысленная без сетей связи и всегда — объект информатизации; сайт тесно связан с первыми тремя определениями. Такая неоднородность и широта области, в которой должна действовать доктрина, говорит об определённых проблемах с данной области знания и может привести к проблемам в реализации конкретных альтернатив. Несмотря на то, что доктрина задаёт лишь общее направление для будущего законотворчества, используемые определения так широки, что без каких-либо их уточнений возникают проблемы в понимании описываемого материала.

В настоящей Доктрине используются следующие основные понятия: а) национальные интересы Российской Федерации в информационной сфере (далее - национальные интересы в информационной сфере) - объективно⁸ значимые потребности⁹ личности, общества и государства в обеспечении их защищенности и устойчивого развития¹⁰ в части, касающейся информационной сферы;

8. Объективность - независимость от человеческого сознания, от воли и желаний людей, от их субъективных вкусов и пристрастий. - Философский словарь.

9. Потребность -

• состояние индивида, создаваемое испытываемой им нуждой в объективных условиях, предметах, объектах, без которых невозможно развитие и существование живых организмов. - С.Л. Рубинштейн

• отклонение некоторой реальности, внутренней или внешней, от сложившихся ожиданий относительно этой реальности. - Д.К. Мак-Клелланд

• переживаемое человеком состояние внутреннего напряжения, возникающее вследствие отражения в сознании нужды и побуждающее психическую активность, связанную с целеполаганием. - Е. П. Ильин

10. Устойчивое развитие - это процесс экономических и социальных изменений, при котором эксплуатация природных ресурсов, направление инвестиций, ориентация научно-технического развития, развитие личности и институциональные изменения согласованы друг с другом и укрепляют нынешний и будущий потенциал для удовлетворения человеческих потребностей и устремлений. В социальном плане это подразумевает сохранение стабильности социальных и культурных систем, справедливое распределение благ, сохранение культурного капитала и многообразия в глобальных масштабах, а также более полное использование практики устойчивого развития, имеющейся в недоминирующих культурах.

Таким образом, определение интересов строится вокруг «объективно значимых потребностей … в обеспечении защищённости». Используемые термины вызывают вопросы: насколько может быть объективной потребность, или, точнее, кто и как будет определять потребность и её меру? Что такое потребность общества и потребность государства? Также вызывает интерес использование термина «устойчивое развитие», относящегося обычно к экономике (в основном, связанной с использованием материальных ресурсов) и экологии, в контексте информационной сферы. В наиболее близком, социально-культурном ключе устойчивое развитие подразумевает сохранение существующих систем, культурного многообразия, использование практик культурных меньшинств. Оптимален ли такой подход при всё ускоряющихся изменениях, особенно в столь динамичной информационной сфере? В общем, как и ранее, доктрина допускает широкое толкование, что позволяет ей указать направление в большой и разнородной области, но в тоже время допускает превратные толкования и, главное, усложняет переход к конкретным законодательным мерам.

в) информационная безопасность Российской Федерации (далее - информационная безопасность) - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество¹¹ и уровень жизни¹² граждан, суверенитет¹³, территориальная целостность¹⁴ и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства¹⁵

11. Качество жизни - оценка некоторого набора условий и характеристик жизни человека, обычно основанную на его собственной степени удовлетворённости этими условиями и характеристиками. Является более широким, чем материальная обеспеченность (уровень жизни), и включает также такие объективные и субъективные факторы, как состояние здоровья, ожидаемая продолжительность жизни, условия окружающей среды, питание, бытовой комфорт, социальное окружение, удовлетворение культурных и духовных потребностей, психологический комфорт и т. п. - Современный экономический словарь

12. Уровень жизни (уровень благосостояния) — степень удовлетворения материальных и духовных потребностей людей массой товаров и услуг, используемых в единицу времени. - Доклад № 3 Исследовательского института социального развития ООН

13. Суверенитет — независимость государства во внешних, и верховенство государственной власти во внутренних делах. - Российский энциклопедический словарь

14. Территориальная целостность — принцип международного публичного права, согласно которому территория государства является неприкосновенной от посягательств со стороны других государств путём применения военной силы или угрозы силой.

15. Безопасность государства - подраздел национальной безопасности изучающий политические, экономические, социальные, военные и правовые процессы с целью предотвращения антигосударственной и подрывной деятельности разведывательных и иных специальных служб враждебных государств, а также противников существующего строя внутри страны.

Этот параграф чётко определяет, что информационная безопасность РФ включает защиту существующего строя от внешних и внутренних угроз, а также обеспечение конституционных прав и свобод (тем самым ссылаясь из одного достаточно абстрактного документа на другой). Остальное указано менее точно: так, качество и уровень жизни идут через запятую, хотя по общераспространённым определениям одно входит в другое: возможно, понимание их в доктрине отличается от общепринятого, но в таком случае оно не приведено; уровень этих параметров, необходимый для информационной безопасности, указан просто как «достойный», что не слишком конкретно; «устойчивое развитие», несмотря на популярность и широкую международную поддержку этого подхода, само по себе вызывает ряд вопросов как теоретического, так и практического свойства. Параграф указывает на то, что информационная безопасность включает защиту строя и реализацию положений конституции, на которой он стоит — что весьма ожидаемо для подобного документа — а также упоминает социальную справедливость и заинтересованность в стабильности, без дальнейшего развития этих положений, и всё.

з) информационная инфраструктура Российской Федерации (далее - информационная инфраструктура) - совокупность объектов информатизации, информационных систем, сайтов в сети "Интернет" и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации.

В этом параграфе можно отметить один важный аспект: териториальность. Ранее информационная сфера описывалась крайне широко, и понятия информационных угроз, информационной безопасности и её обеспечения задавались на этом большом поле. Информационная инфраструктура — первая описанная доктриной сущность, жёстко ограниченная в своём территориальном расположении. При этом не совсем ясен статус систем, в процессах которых участвуют как элементы, находящиеся на территории РФ, так и не находящиеся; информационных систем, в частности сайтов в сети «Интернет», легко меняющих своё физическое расположение; систем, используемых гражданами РФ и другими информационными системами, расположенными на территории РФ, но не включёнными в её информационную структуру. Таким образом, появляется вопрос о связи национальных интересов, распространяющихся на всю информационную мировую сферу, и подвластной российскому законодательству информационной инфраструктуры, являющейся лишь небольшой частью инфраструктуры мировой.

3. В настоящей Доктрине на основе анализа основных информационных угроз и оценки состояния информационной безопасности определены стратегические цели¹⁶ и основные направления¹⁷ обеспечения информационной безопасности с учетом стратегических национальных приоритетов¹⁸ Российской Федерации.

16. Стратегическая цель – глобальная большая процессуальная цель, то есть большая цель в виде роста показателей или улучшения результатов, характеризующая ход развития системы и служащая собирательным образом для других целей.

17. Направления обеспечения безопасности информационных систем - совокупность комплексных мер направленных на предотвращение угроз информационным системам на различных уровнях.

18. Стратегические национальные приоритеты - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности. - Указ Президента РФ от 12.05.2009 N 537

Бросается в глаза близость используемых терминов: обеспечение информационной безопасности можно назвать видом стратегических целей, а стратегические национальные приоритеты — важнейшие из направлений обеспечения национальной безопасности. Возможно, можно сократить число используемых терминов для улучшения понимания документа.

Таким образом, доктрина представляет систему взглядов в большой и многообразной информационной сфере. При этом ресурсы, которые могут использоваться для достижения поставленных целей, не безграничны; прямо или косвенно государством может контролироваться лишь малая часть информационной сферы, и ещё меньшая часть может контролироваться осознанно (следует отметить то, как широко описаны важнейшие понятия в доктрине). Дефицит относится не только к прямой власти (к примеру, информационные системы иностранных держав почти неподвластны российским властям) но и информации, и технологий (новые веяния в информационной сфере возникают крайне быстро, куда быстрее, чем государственная машина может на них реагировать). Всё это делает обеспечение информационной безопасности в масштабах, определённых доктриной, и сложной, и интересной задачей. В следующей части будут рассмотрены некоторые моменты, в которых концепция могла бы быть углублена и дополнена, некоторые понятия, которые могли бы быть описаны из-за их важности в обеспечении информационной безопасности.

Поскольку ресурсов для контроля и даже для понимания сроль широкого круга задач недостаточно, было бы естественно поискать их где-либо ещё. Подавляющее количество технологий, не говоря уже о информации, создана негосударственными объединениями, большая часть систем находится в частных руках. Следовательно, и наилучшее понимание этих технологий, систем присутствует у людей, на государственной службе не находящихся. Эти люди и организации, используя доступные им средства для своего же блага, наиболее заинтересованы сделать их безопасными. В параграфе, определяющем силы обеспечения информационной безопасности, упоминается о том, что некоторые органы могут быть уполномочены на обеспечение безопасности, но больше ничего о этих органах в концепции не сказано. Это кажется слишком мало для той большой роли, которую играют негосударственные силы (то есть, по сути, все граждане, кроме государственных служащих) в обеспечении общей безопасности.

Важность более широкого раскрытия роли негосударственных организаций становится особенно заметна, если учесть, что доктрина включает в информационную сферу «субъектов, деятельность которых связана с формированием и обработкой информации», то есть, по сути, всех людей, или, по крайней мере, тех из них, кто активно пользуется информационными системами (а 70% россиян, включая 97% молодёжи, пользуются интернетом). Такое определение области действия доктрины неизбежно приводит к смыканию темы обеспечения информационной безопасности с разнообразными общественными и социальными инициативами. Многие широкие определения доктрины могут быть существенно сужены и определены благодаря опоре на общественную инициативу и мнение людей, конечных пользователей как информационных, так и государственных услуг.

Если люди и их информационное взаимодействие между собой входит в информационную сферу (а в дальнейшем в концепции упоминаются еще и сохранение культурных, исторических и духовно-нравственных ценностей, донесение правдивой информации...), то следует отметить, что в информационной сфере взаимодействуют негласные объединения людей, каждое из которых имеет свои интересы в информационной сфере. Эти объединения могут пересекаться (и, обычно, пересекаются) друг с другом, влиять на принятие решений, обработку информации и её генерацию, в том числе и в процессах, в которых влияние извне (или изнутри, если посмотреть с другой стороны) не предполагалось. Текущее состояние информационной сферы, ценностей, мнений и тенденций — результат взаимодействия многих таких объединений, в том числе и в случае, когда их членами являются члены государственных систем.

Текущее состояние является результатом совместной работы множества сообществ, порождаемых ими идей, мемов; люди, в том числе и служащие, активно взаимодействуют с ними и принимают решения под их воздействием. В такой ситуации было бы логично описать не только некоторые проявления антигосударственных действий и идей, и не только материальную и законодательную базу информационной сферы, но и те идеи, на которых основываются те или иные решения в политике относительно информационной сферы, и концепция — как раз достаточно общий документ для таких заявлений. В данной редакции доктрины упоминаются «объективно значимые потребности в защищённости и устойчивом развитии» - но не раскрывается, что это такое (а ведь, учитывая широту рассматриваемых вопросов, ответ может быть нетривиальным); даётся ссылка на Конституцию и «общепризнанные принципы и нормы мирового права», но не даётся пояснений к ним. При столь неограниченных определениях целей возможно их видоизменение и подмена любыми силами. И чем больше усилий будет приложено для обеспечения интересов Российской Федерации в информационной сфере, тем более неожидан может быть результат, если сами эти интересы, а также моменты, на основе которых принимаются решения по вопросам их реализации, не будут где-либо чётко и явно прописаны.

Отдельно следует отметить, что идеи, уже распространённые, и люди, их разделяющие имеют сильное влияние на формирование представлений о желаемом исходе, и на разработку отдельных законопроектов, но при этом их интересы не всегда совпадают с интересами государства и нации, как бы они не понимались. Любой разговор о защите, противостоянии с внешним врагом, сохранении духовных ценностей часто может быть использован теми, кто желает любой ценой сохранить статус-кво в личных интересах, независимо от того, пойдёт ли это на пользу обществу или нет. При создании системы обеспечения информационной безопасности может потребоваться много сил на отделение того, что действительно необходимо защищать, от всего остального.

Чётко прописанные направления и приоритеты необходимы и при конфликте нескольких истинных целей. К примеру, пункт 1.2.в доктрины предполагает необходимыми для достижения состояния информационной безопасности необходимыми устойчивое экономическое развитие и достойный уровень жизни людей. Если ресурсов на обе цели будет недостаточно, какая будет предпочтительней? Какой уровень жизни является достаточно достойным, чтобы начать переправлять ресурсы для достижения устойчивости в экономическом развитии?

Резюмируя, можно отметить несколько пунктов, в которых доктрина нуждается в дополнении. Во-первых, это уточнение основополагающих терминов, хотя бы на концептуальном уровне, выстроение системы приоритетов, отношений между ними. Во-вторых, требуется введение большего количества терминов для описания взаимодействия с культурной и социальной часть информационной сферы и негосударственными силами, имеющими место в этой области.

http://www.bizhit.ru/index/users_count/0-151