Некоторые приоритеты национальной безопасности в информационной сфере и проблемы их законодательного обеспечения
(Волчинская Е. К.)
("Информационное право", 2009, N 4)
Текст документа
НЕКОТОРЫЕ ПРИОРИТЕТЫ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
В ИНФОРМАЦИОННОЙ СФЕРЕ И ПРОБЛЕМЫ ИХ ЗАКОНОДАТЕЛЬНОГО
ОБЕСПЕЧЕНИЯ
Е. К. ВОЛЧИНСКАЯ
Волчинская Е. К., ведущий советник аппарата Комитета Государственной Думы по безопасности, кандидат экономических наук.
В статье в качестве одной из угроз национальной безопасности рассматривается недостаточное обеспечение безопасности функционирования информационных и телекоммуникационных систем ключевых объектов инфраструктуры Российской Федерации, в том числе критических объектов и объектов повышенной опасности.
Кроме того, приведен терминологический и содержательный анализ объектов защиты, делается вывод о терминологическом разнообразии и правовой неопределенности этих объектов, о необходимости их категорирования, порядке формирования их перечней на федеральном уровне и уровне субъектов Российской Федерации, а также выработки общих подходов к разработке требований к таким объектам.
В феврале 2008 г. Президентом Российской Федерации утверждена Стратегия развития информационного общества в Российской Федерации (далее - Стратегия ИО), в которой определены контрольные значения показателей развития информационного общества в Российской Федерации на период до 2015 г. Одним из принципов, на котором базируется развитие информационного общества в Российской Федерации, является обеспечение национальной безопасности в информационной сфере.
Реализация Стратегии ИО в области противодействия использованию потенциала информационных и телекоммуникационных технологий в целях угрозы национальным интересам России предусматривает в том числе (раздел IV):
- обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры;
- обеспечение безопасности функционирования информационных и телекоммуникационных систем ключевых объектов инфраструктуры Российской Федерации, в том числе критических объектов и объектов повышенной опасности;
- повышение уровня защищенности корпоративных и индивидуальных информационных систем;
- создание единой системы информационно-телекоммуникационного обеспечения нужд государственного управления, обороны страны, национальной безопасности и правопорядка.
В мае 2009 г. Указом Президента Российской Федерации утверждена Стратегия национальной безопасности Российской Федерации до 2020 г. (далее - Стратегия НБ). Согласно данной Стратегии к средствам обеспечения национальной безопасности относятся: "технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению".
Среди сфер жизнедеятельности общества, в которых необходимо сосредоточить силы и средства обеспечения национальной безопасности, названа и информационная сфера. Однако структурно она не выделена, как, собственно, и другие сферы: внутриполитическая, экономическая, социальная, международная и духовная. В целом в структуре сфер или направлений обеспечения национальной безопасности (раздел IV) не просматривается единый критерий структуризации: национальная оборона, государственная и общественная безопасность, повышение качества жизни российских граждан, экономический рост, наука, технологии и образование, здравоохранение, культура, экология живых систем и рациональное природопользование, стратегическая стабильность и равноправное стратегическое партнерство.
Угрозы информационной безопасности рассматриваются в Стратегии НБ применительно к ходу ее реализации (п. 109) и предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности. Вместе с тем в Стратегии НБ определены отдельные угрозы национальной безопасности в информационной сфере по ряду направлений обеспечения национальной безопасности (государственная и общественная безопасность, повышение качества жизни граждан, экономический рост, наука, технологии и образование).
Основными приоритетами национальной безопасности Российской Федерации согласно Стратегии НБ являются национальная оборона, государственная и общественная безопасность.
Таким образом, сравнение указанных стратегических документов демонстрирует определенную корреляцию их положений. Вместе с тем создается ощущение недооценки угроз национальной безопасности, которые несет объективный и неотвратимый процесс развития глобальных информационно-коммуникационных технологий, проникновения их во все сферы жизни общества и включения России в глобальное информационное пространство. А недооценка угроз всегда чревата повышенным риском их реализации и недостаточной готовностью к их предотвращению.
Согласно Стратегии НБ одной из угроз национальной безопасности является недостаточное обеспечение безопасности функционирования информационных и телекоммуникационных систем ключевых объектов инфраструктуры Российской Федерации, в том числе критических объектов и объектов повышенной опасности.
Понятия "ключевые объекты" и "критические объекты" федеральными законами не определены и не используются. Понятие "объекты повышенной опасности" используется в Федеральном законе от 31 мая 2001 г. N 73-ФЗ "О государственной судебно-экспертной деятельности в Российской Федерации". В связи с этим неясно, в каком соотношении находятся указанные понятия.
Вместе с тем Федеральным законом от 21 декабря 1994 г. N 69-ФЗ "О пожарной безопасности" предусмотрена "подготовка утверждаемого Правительством Российской Федерации Перечня объектов, критически важных для национальной безопасности страны, других особо важных пожароопасных объектов, особо ценных объектов культурного наследия народов Российской Федерации, на которых в обязательном порядке создается пожарная охрана". Указанный Перечень утвержден Правительством Российской Федерации (секретно). Включенные в него объекты объединены по принципу особой угрозы пожароопасности, поскольку в приведенном положении Федерального закона "О пожарной безопасности" критически важные объекты составляют часть особо важных пожароопасных объектов. При этом федеральными законами и иными нормативными правовыми актами не установлены критерии отнесения объектов к критически важным и иным пожароопасным.
Понятие "критически важные объекты" определено только в Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной распоряжением Правительства РФ от 27 августа 2005 г. N 1314-р, как:
объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени.
Исходя из этого определения, к подобным объектам можно отнести производственные объекты, на которых реализуются опасные технологические процессы (например, химические производства), или производственные объекты, обеспечивающие существенный вклад в экономику Российской Федерации, которые не относятся к инфраструктуре страны. Между тем известны случаи проникновения в системы управления такими объектами, которые, по счастью, не привели к техногенным катастрофам и иным негативным последствиям.
Данное утверждение доказывают положения Общих требований по обеспечению антитеррористической защищенности опасных производственных объектов, утвержденных Приказом Федеральной службы по экологическому, технологическому и атомному надзору от 31 марта 2008 г. N 186, которые подготовлены во исполнение Плана мероприятий Федеральной службы по экологическому, технологическому и атомному надзору по повышению защищенности критически важных объектов Российской Федерации от угроз техногенного, природного характера и террористических актов на период до 2010 г.
Также необходимо отметить, что, исходя из приведенного определения, к критически важным объектам нельзя отнести органы государственной власти, отвечающие за обеспечение обороны страны и безопасности государства, поскольку эти сферы не охватываются понятием "экономика страны".
В рамках полномочий Федеральной службы по техническому и экспортному контролю (ФСТЭК России) выделена функция обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере (ключевые системы информационной инфраструктуры), в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям (Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, в редакции Указа Президента РФ от 30 ноября 2006 г. N 1321).
Данное положение свидетельствует о том, что объектный состав ключевых систем информационной инфраструктуры, ключевых объектов инфраструктуры Российской Федерации и состав критически важных объектов Российской Федерации могут различаться. При этом если состав критически важных объектов определен секретными постановлениями Правительства РФ, то состав ключевых систем информационной инфраструктуры и требований к таким системам законодательно не установлен. Это относится в полной мере и к ключевым объектам инфраструктуры Российской Федерации (терминология Стратегии).
Таким образом, имеют место терминологическое разнообразие и неопределенность объектов защиты, нарушение безопасности которых угрожает национальной безопасности страны.
В рамках установленных полномочий ФСТЭК России утвердил 18 мая 2007 г. ряд документов, имеющих гриф "ДСП": Методику определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктур; Базовую модель угроз безопасности информации в ключевых системах информационных инфраструктур; Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктур; Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктур (КСИИ). Мероприятия по обеспечению безопасности информации в КСИИ включают в том числе действия, связанные с обслуживанием и модернизацией КСИИ, а также аттестацию организаций на право деятельности в области защиты КСИИ, надзор в этой области и оценку соответствия установленным требованиям. В целом мы имеем практику установления не федеральным законом, а нормативными актами ведомства требований к собственникам организаций, стимулирующих их к дополнительным капиталовложениям и ограничивающих их права по распоряжению имуществом. Такое положение дел, по нашему мнению, не вполне соответствует принципам и условиям ограничения прав и свобод человека и гражданина (ч. 3 ст. 55 Конституции Российской Федерации).
Учитывая вышесказанное, представляется более правильным исходить из необходимости обеспечения комплексной безопасности критически важных объектов (без обязательной принадлежности к инфраструктуре и без однозначной привязки к экономике страны), включая защиту информационных и телекоммуникационных систем этих объектов (информационная безопасность).
В рамках реализации этой задачи необходимо прежде всего определиться с категорированием таких объектов, порядком формирования их перечней на федеральном уровне и уровне субъектов Российской Федерации, а также выработать общий подход к разработке требований к таким объектам, учитывая, что эти требования могут быть не только техническими (что должно закрепляться в технических регламентах), но и организационными, включая требования к персоналу, что должно закрепляться иными федеральными законами. Уровень федерального закона, по-видимому, оправдан, поскольку к числу критически важных объектов будут отнесены в том числе негосударственные организации, вынужденные самостоятельно финансировать создание, поддержание и развитие системы комплексной безопасности. Требования к таким организациям, их права, полномочия органов государственной власти в отношении деятельности этих организаций должны быть установлены отдельным федеральным законом.
Вопрос о выделении требований по обеспечению информационной безопасности критически важных объектов из числа требований обеспечения их комплексной безопасности и закреплении этих требований в отдельном законодательном акте требует дополнительного изучения.
Название документа