О журнале
Рекомендации
Общие принципы разработки концепции информационной безопасности в рамках региона
Корсак А.Б.
А.Б. Корсак
Не буду повторяться, говоря о важности и актуальности задач обеспечения информационной безопасности. Могу только напомнить, что цель проводимого «круглого стола» – это, прежде всего, обмен мнениями и, как следствие, выработка предложений по разработке концепции информационной безопасности, которая должна быть реализована в ходе выполнения программы «Электронная Москва». Поэтому я хотел бы обратить ваше внимание на некоторые особенности проблемы, с которыми связана реализация этой Программы в части обеспечения информационной безопасности.
Прежде всего, уточним понятие информационной безопасности и важность 4 ее составляющих.
Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации В.В. Путиным 9 сентября 2000 г., дает совершенно четкую систему взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Вне сомнения, что именно она должна послужить основой для формирования концепции обеспечения информационной безопасности Москвы как мегаполиса и как столицы Российской Федерации, а также обеспечения информационной безопасности в рамках программы «Электронная Москва».
В Доктрине под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Вторая составляющая – это информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.
К четвертой составляющей относятся защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Таким образом, Доктрина информационной безопасности Российской Федерации позволяет однозначно определить рассматриваемую проблематику и именно из положений Доктрины следует исходить при подготовке предложений по совершенствованию правового, методического и организационного обеспечения информационной безопасности.
Особенности обеспечения информационной безопасности в Москве
Хотелось бы отметить, что программа «Электронная Москва» и, в частности, ее подраздел 1.2.3. «Система обеспечения информационной безопасности», полностью соответствует Доктрине. Однако мы рассматриваем сегодня не в целом утвержденную программу, а способы и методы ее реализации и сложность рассматриваемой задачи, обусловленную как нерешенностью ряда проблем информационной безопасности на федеральном уровне, так и региональными особенностями.
Москва как субъект Федерации обладает собственной законодательной базой, однако сложность правового обеспечения информационной безопасности состоит в том, что это базовое понятие сформулировано в Доктрине достаточно широко, применительно к различным сферам правоотношений, в рамках которых используются информационные технологии и сети связи. Эти сферы регулируются различными отраслями права, в связи с чем возникают задачи гармоничной адаптации существующих норм к новым условиям осуществления правоотношений, а также разработки новых правовых положений для регулирования тех вопросов, которые возникли исключительно в связи с использованием инфокоммуникаций. В настоящее время нормативно-правовые акты города в области информатизации характеризуются сравнительно большим количеством, разнородностью и множественностью предметных оснований для регулирования, отсутствием единой кодификации и системности в их принятии. Налицо как существенная фрагментарность нормативной базы в области информатизации, включая обеспечение информационной безопасности Москвы, так и наличие значительного числа пробелов по различным предметам регулирования. Этот анализ сделан в пояснительной записке к программе «Электронная Москва».
Поэтому назрела необходимость устранения противоречий между федеральным законодательством и городскими законами (законами субъектов РФ), а также унификации правил, единообразного решения различных процедурных проблем.
С другой стороны, столице принадлежит главная роль в создании и реализации предпосылок перехода России к информационному обществу. Именно Москва является локомотивом всех изменений в информационной сфере, лидером движения страны к информационному обществу. Она является полигоном, на котором можно отрабатывать новые модели с тем, чтобы потом тиражировать их по Российской Федерации. Мы рассматриваем городскую программу «Электронная Москва» как составную часть федеральной программы «Электронная Россия», и тот опыт, который в столице накоплен и дальше будет накапливаться, должен максимально использоваться в других регионах. Здесь, конечно же, очень важен обмен опытом и в такой сфере, как сфера информационной безопасности.
Защита прав собственности города на городские информационные ресурсы
Я хотел особо подчеркнуть, что в условиях многообразия форм собственности и собственников задачи информационной безопасности ложатся на конкретных собственников. Поскольку ты собственник, ты имеешь свою собственность, ты имеешь свою экономику, то ее надо защищать, так как это гарантия устойчивого состояния. Город располагает сегодня значительной собственностью, и одна из важнейших задач Управления экономической безопасности – это защита его собственности. Сегодня мы говорим о том, что информационные ресурсы города – это новый вид собственности, и этот вид также требует защиты. Мне кажется это важным тезисом, который должен быть положен в основу разработки концепции экономической безопасности. Под экономической безопасностью города Москвы мы, прежде всего, понимаем обеспечение устойчивости, стабильности экономики города, всех городских систем, и одновременно создание предпосылок для ее динамичного развития.
Когда мы говорим о защите прав собственности на информационные ресурсы, то имеем в виду, что информационная безопасность является составной частью экономической безопасности. Мы понимаем информационную безопасность не как самоцель (ни в коем случае не принижая ее значение), мы понимаем, что информационная безопасность – это система мер, направленная на предупреждение экономических и политических рисков. Прежде всего, экономических, ибо любая угроза нарушения режима информационной безопасности приводит к экономическим потерям, даже когда причиняет ущерб политическим интересам и репутации. В конечном итоге ущерб причиняется экономике – с незащищенным партнером не хотят работать, он теряет партнеров и клиентов. Незащищенный город вынужден тратить средства бюджета на устранение ущерба, нанесенного информационными преступлениями, теряет средства из-за недополучения прибыли и т.д.
Мы знаем, к сожалению, много примеров об утечке «на черный рынок» информации из государственных баз данных. На самом деле, речь идет не только о государственных, но и муниципальных, коммерческих информационных ресурсах. Причем мы можем констатировать, что нередко эта утечка информации нарушает права граждан на неприкосновенность личной жизни, а ответственность за нее несут держатели информационных массивов – государственные и муниципальные структуры. Поэтому одной из важнейших
задач должно стать формирование серьезной законодательной базы, направленной на защиту не только интересов государства, но и конституционных прав граждан. Я сталкивался недавно с базами данных ГИББД, ЗАГСов, МГТС и так далее. В них содержатся колоссальные массивы личных (персональных) данных. Здесь дело не только в том, чтобы закрыть возможные каналы утечки информации – а это, безусловно, нужно делать – но и создать нормальные, в рамках законодательства, в соответствии с нормативными положениями по информационной безопасности, механизмы распространения информации для обеспечения доступа граждан к государственным и муниципальным информационным ресурсам.
Общие принципы разработки концепции информационной безопасности.
Важность комплексного подхода к решению задач информационной безопасности
Обеспечение информационной безопасности представляет собой комплексную проблему, в решении которой правовое регулирование составляет только часть создаваемого механизма. Не меньшую роль играют организационно-технические меры, а также закрепление этических принципов обращения с защищаемой информацией. Именно такой подход к данной проблеме реализован в программе «Электронная Москва», где предусматривается решение вышеуказанных вопросов с учетом интересов личности, общества, государства.
Решение задач обеспечения информационной безопасности предполагает, прежде всего, определение угроз интересам города как части субъекта Федерации в информационной сфере, и создание адекватных средств защиты от этих угроз. В новой городской программе предусмотрен ряд различных мероприятий, начиная от разработки концепции информационной безопасности и создания модели угроз информационной безопасности, вплоть до разработки и внедрения аппаратно-программных средств защиты, управления доступом, регистрации, контроля и т.д.
Хотел бы обратить внимание, что создание тех или иных отдельных средств защиты также не является самоцелью. Важно обеспечить надежную защиту от угроз в информационной сфере, но это может быть достигнуто только комплексным использованием средств защиты – по каждому виду угроз, на каждом объекте информационной инфраструктуры. Здесь можно выделить нормативно-правовые меры, организационно-режимные, физические, технические, аппаратно-программные, криптографические. Этот список направлений является обязательным, так как диктуется, как говорилось выше, необходимостью комплексного подхода.
В заключение своего выступления я прошу участников «круглого стола», специалистов в области информационной безопасности обратить внимание в своих выступлениях на цель нашего «круглого стола» – выработка предложений по разработке концепции информационной безопасности. Думаю, нет необходимости углубляться в детали компьютерных решений, а нужно выстроить некую конструкцию по результатам сегодняшнего обсуждения, чтобы мы могли практически продвинуться в разработке концепции информационной безопасности в рамках региона.
Статья подготовлена по материалам выступления автора на круглом столе «ГЦП “Электронная Москва”: опыт субъектов Российской Федерации в построении решений в сфере информационной безопасности», состоявшемся в Мэрии Москвы 23 сентября 2003 г. в рамках осенней сессии «ИНФОФОРУМа-5».
Корсак Александр Борисович - Начальник Управления Правительства Москвы по экономической безопасности города Москвы.
© Информационное общество, 2003, вып. 4, с. 1.