Концепция обеспечения информационной безопасности содружества независимых государств

Вид материалаДокументы

Содержание


2. Угрозы информационной безопасности СНГ
3. Субъекты и объекты информационной сферы СНГ, подлежащие защите
4.  Методы обеспечения информационной безопасности СНГ
5. Механизм реализации Концепции
Подобный материал:
Приложение 1

КОНЦЕПЦИЯ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СОДРУЖЕСТВА НЕЗАВИСИМЫХ ГОСУДАРСТВ


Проект

Введение

Для государств-участников Содружества Независимых государств современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

Информационная сфера Содружества Независимых государств (далее - СНГ или Содружество) представляет собой региональный сегмент общемировой информационной сферы, является системообразующим фактором жизни общества и активно влияет на состояние политической, экономической, военной, экологической, социальной и других составляющих безопасности государств-участников СНГ. При этом национальная и коллективная безопасность данных государств существенным образом зависит от обеспечения информационной безопасности и, по мере формирования человечеством информационного общества, эта зависимость будет возрастать.

Под информационной безопасностью Содружества в настоящей Концепции понимается состояние защищенности от внешних и внутренних угроз его информационной сферы, формируемой, развиваемой и используемой с учетом согласованных на межгосударственном уровне сбалансированных жизненно важных интересов человека, общества и государства.

Концепция обеспечения информационной безопасности Содружества Независимых государств (далее - Концепция) разработана согласно утвержденному Советом глав правительств СНГ 25 ноября 1998 года Перспективному плану подготовки документов и мероприятий по реализации Концепции формирования информационного пространства Содружества Независимых государств и в развитие других многосторонних документов, касающихся вопросов сотрудничества государств-участников СНГ в информационной сфере.

Настоящая Концепция представляет собой согласованную государствами-участниками СНГ совокупность официальных взглядов и положений, касающихся целей, задач, принципов и основных направлений обеспечения информационной безопасности Содружества, и служит основой для развития и совершенствования правового, методического, научно-технического и организационного обеспечения работ, относящихся к этой сфере.

В тексте Концепции использованы следующие термины и определения:

информация - знания и сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

информационный ресурс - организованная по определенным принципам и тематической направленности совокупность документированной информации, включающая базы данных и знаний, другие массивы информации;

доступность информации - возможность реализации беспрепятственного доступа к информации субъектов, имеющих на это надлежащие полномочия;

безопасность информации - отсутствие недопустимого риска несанкционированных и/или непреднамеренных воздействий на информацию;

воздействие на информацию - действие по изменению формы предоставления и/или содержания информации;

несанкционированный доступ к информации - доступ субъекта к защищаемой информации с нарушением прав или правил, установленных ее собственником, владельцем или нормативными правовыми актами;

конфиденциальная информация - сведения ограниченного доступа, сохранность которых в тайне определяется законодательными и иными нормативными правовыми актами государств-участников СНГ;

утечка информации - неконтролируемое распространение защищаемой информации;

технический канал утечки информации - путь утечки информации от объекта защиты, образуемый совокупностью объекта защиты, физической среды и средств технической разведки;

межгосударственные секреты Содружества - совместно защищаемые в согласованном порядке их пользователями национальные государственные секреты (государственная тайна), передаваемые государствами-участниками СНГ органам Содружества и друг другу, а также секреты (тайна), которые образуются при реализации сотрудничества этих государств;

защита информации - деятельность, направленная на защиту прав субъектов на информацию, предотвращение утечки защищаемой информации, несанкционированных и/или непреднамеренных воздействий на нее;

информационная инфраструктура - совокупность информационных систем, информационных сетей и организационных структур, обеспечивающих информационное взаимодействие субъектов и объектов информационной сферы;

информационная система - предназначенная для решения конкретных функциональных задач и организационно упорядоченная совокупность средств, реализующих определенные технологические действия посредством информационных процессов;

информационные процессы - процессы формирования, поиска, сбора, обработки, хранения, распространения и использования информации;

межгосударственная информационная система - задействованная в межгосударственных информационных обменах система, принадлежащая субъектам государств-участников СНГ на правах совместной собственности, совместного владения или совместного (общего) пользования;

информатизация - организационный, социально-экономический и научно-тех-нический процесс создания благоприятных условий для удовлетворения информационных потребностей, прав и свобод субъектов информационной сферы;

информационные отношения - взаимодействие, возникающее между соответствующими субъектами при производстве, получении, анализе, обмене, хранении, передаче информационных продуктов, использовании информационно-телекоммуникаци-онной инфраструктуры, а также при их защите;

информационная война - деятельность государств (их блоков) по достижению своих целей в отношении других государств (их блоков), осуществляемая преимущественно невоенными средствами с использованием информационного оружия;

информационное оружие (виды):

1) средства и методы явного и/или скрытого информационного воздействия на психику личности, индивидуальное, групповое, массовое сознание в целях формирования негативного отношения к окружающей социальной действительности, действиям органов власти и управления и побуждения на этой основе к совершению антиобщественных действий, правонарушений и поведению в интересах стороны, применяющей такие средства и методы;

2) средства и методы преодоления защиты информации для получения несанкционированного доступа к ней в целях ее хищения, уничтожения, модификации, искажения, другого воздействия на информацию или блокирования доступа к ней;

3) средства дистанционного информационного воздействия на системы управления, прежде всего, государственного или военного назначения в целях вывода их из строя либо блокирования циркулирующей в них информации;

4) средства дистанционного информационного воздействия на системы и устройства высокотехнологичного оружия и/или военной техники в целях приведения их в непригодное состояние.

1. Общие положения

1.1. Целями деятельности по обеспечению информационной безопасности Содружества являются формирование, функционирование и развитие комплекса политических, правовых, экономических, организационных, технических и иных механизмов защиты его информационной сферы.

1.2. Интересы человека в информационной сфере состоят в обеспеченности его прав и свобод по доступу к достоверной и полной информации, по пользованию ею для осуществления не запрещенной законом деятельности, интеллектуального, духовного и физического развития, а также в гарантированности прав на защиту информации, обеспечивающей личную безопасность.

1.3. Интересы общества в информационной сфере заключаются в обеспеченности интересов человека, развитии демократии, сохранении духовных ценностей, создании правовых и иных основ для достижения и поддержания в государствах-участниках СНГ, Содружестве и мире в целом общественного согласия.

1.4. Интересы государств-участников СНГ в информационной сфере заключаются в ее гармоничном формировании, наиболее эффективном развитии и использовании в целях реализации прав и свобод человека и общества, соблюдения норм законности и правопорядка, обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности государств-участников Содружества, достижения ими экономического роста, политической и социальной стабильности.

1.5. Обеспечение информационной безопасности СНГ - это функционирующая на основе межгосударственного сотрудничества система мер выявления угроз информационной безопасности, предотвращения и пресечения их реализации, а также ликвидации последствий реализованных угроз.

1.6. Данное сотрудничество базируется на следующих основных принципах:

планирование и выполнение государствами совместных мероприятий по обеспечению информационной безопасности Содружества осуществляется на равноправной основе с учетом и обеспечением гармонизации интересов государств, с соблюдением норм международного права, требований нормативных правовых актов СНГ и национальных законодательств, с реализацией взаимной ответственности человека, общества и государства, с регулярным информированием общественности о состоянии информационной безопасности Содружества и о деятельности по ее обеспечению;

каждое государство добровольно принимает на себя обязательства, касающиеся обеспечения информационной безопасности СНГ, и осуществляет их выполнение, проводя контроль и надзор за находящимися под его юрисдикцией действиями субъектов в информационной сфере;

защитные меры для обеспечения информационной безопасности СНГ реализуются государствами адекватно вероятности соответствующих угроз и размеру наносимого ими ущерба, с удовлетворением требований единства, взаимосвязи, сбалансированности и достаточности этих мер.

2. Угрозы информационной безопасности СНГ

2.1. Угрозы информационной безопасности Содружества представляют собой совокупность условий и факторов, создающих потенциальную или реально существующую опасность нанесения ущерба объектам и субъектам информационной сферы СНГ.

Такие угрозы могут иметь объективный и субъективный характер, выражаться в явлениях, процессах и действиях (или их совокупности) и исходить по отношению к информационной сфере Содружества от внешних и внутренних источников.

2.2. В сфере информационных отношений угрозы информационной безопасности Содружества обусловлены наличием противоречий, которые существуют или могут возникнуть между субъектами этих отношений.

2.3. Внешними для информационной сферы Содружества источниками угроз являются негативные для нее физические явления, политические, экономические и иные мировые процессы, а также деструктивные действия субъектов, находящиеся вне юрисдикции государств-участников СНГ.

К таким источникам угроз относятся:

разработка рядом стран концепций информационных войн, создание ими информационного оружия, а также ведение этими странами всевозможных видов разведки в интересах достижения преимуществ в информационной сфере;

интерес международных террористических и экстремистских организаций к обладанию информационным оружием и его применению;

обострение международной конкуренции за обладание стратегически важной информацией, стремление ряда стран к доминированию в мировом информационном пространстве и получению доступа к конфиденциальной информации государств-участников СНГ;

введение некоторыми странами на их информационных рынках экспортно-импортных ограничений, ущемляющих интересы государств-участников СНГ;

нарушение под влиянием ряда транснациональных корпораций и стран исторически сложившихся в Содружестве научно-технических связей, усложняющее создание государствами-участниками СНГ собственной конкурентоспособной информационной продукции;

рост транснациональной преступности в сфере компьютерной информации, нарушающей сохранность информационных ресурсов и штатное функционирование межгосударственных информационных систем;

природные и техногенные катаклизмы, воздействие на радиоэлектронную аппаратуру шумов и помех естественного происхождения, а также другие физические явления, приводящие к сбоям и отказам межгосударственных информационных систем.

2.4. Внутренние источники угроз - это находящиеся под юрисдикцией государств-участников СНГ процессы и действия субъектов в информационной сфере Содружества.

К внутренним источникам угроз, в частности, относятся:

отставание государств-участников СНГ от ведущих стран мира по уровню информатизации деятельности органов власти и управления, кредитно-финансовых учреждений, предприятий промышленности и сельского хозяйства, учреждений образования и здравоохранения, сферы услуг и быта граждан;

слабая координация деятельности органов Содружества, а также органов власти и управления государств-участников СНГ в разрешении проблем информационной безопасности и недостаточность финансового обеспечения мероприятий, нацеленных на защиту информационной сферы Содружества;

несовершенство нормативно-правовой базы, регулирующей межгосударственные отношения и систему контроля в информационной сфере СНГ, а также недостаточная правоприменительная практика в данной области;

недостаточное количество в государствах-участниках СНГ квалифицированных кадров в области защиты информации и обеспечения информационной безопасности;

наличие на рынках государств-участников СНГ больших объемов контрафактной информационной продукции;

потенциальная возможность получения криминальными структурами доступа к конфиденциальной информации и противоправного ее использования.

2.5. По своей общей направленности угрозы информационной безопасности СНГ подразделяются на следующие виды:

угрозы правам и свободам человека в области информационной деятельности и духовной жизни, индивидуальному, групповому и общественному сознанию;

угрозы информационной поддержке и информационному обеспечению политики государств-участников СНГ, реализуемой в рамках Содружества;

угрозы функционированию межгосударственных информационных систем, накоплению, сохранности и эффективному использованию информационных ресурсов;

угрозы экономическому и научно-техническому сотрудничеству государств-участников СНГ в развитии индустрии информации, информатизации и связи, а также выходу их информационной продукции и услуг на мировой рынок.

3. Субъекты и объекты информационной сферы СНГ, подлежащие защите

3.1. Защите от угроз информационной безопасности в Содружестве подлежат все субъекты, вовлеченные в сферу межгосударственных информационных отношений по схеме «человек – общество – государство – Содружество», в том числе следующие:

граждане государств-участников СНГ и проживающие в этих государствах лица без гражданства, а также их общественные организации и объединения, включая конфессиональные;

научно-исследовательские, производственные и другие учреждения, организации и предприятия различных форм собственности;

творческие коллективы, производители и распространители средств массовой информации, в том числе информационные агентства, радио- и телевизионные компании, предприятия связи и торговли;

органы власти и управления государств-участников Содружества, включая специальные службы, правоохранительные и судебные органы;

уставные и другие органы СНГ.

3.2. Защите от угроз информационной безопасности в Содружестве в первоочередном порядке подлежат следующие объекты:

система межгосударственного сотрудничества в области разработки, производства и распространения в СНГ информационных ресурсов, информационных и телекоммуникационных технологий, а также информационных и телекоммуникационных услуг;

информационный рынок Содружества (как один из механизмов экономического регулирования процессов в информационной сфере);

принадлежащие государствам-участникам СНГ на правах совместной собственности, совместного владения и совместного (общего) пользования информационные ресурсы и их хранилища (архивы, библиотеки, банки и базы данных и т. д.), телекоммуникационные и информационные технологии;

межгосударственные информационные системы (сети и системы электросвязи, системы правительственной связи, оборонных ведомств, пограничных и таможенных служб, правоохранительных и налоговых органов, автоматизированные системы управления войсками и оружием, технологическими процессами и транспортом, радио- и телевизионные вещательные комплексы, системы спасения и экологического мониторинга, навигационные, метеорологические, геоинформационные, банковские, биржевые и информационно-маркетинговые системы, системы электронной торговли, дистанционного образования, медицинской диагностики и т. д.);

программные, технические, лингвистические, правовые, организационные и иные средства, используемые и создаваемые при проектировании и эксплуатации межгосударственных информационных систем (компьютерные программы, средства вычислительной техники и связи, словари, тезаурусы и классификаторы, эксплуатационная документация систем, положения, уставы, должностные инструкции и т. д.);

помещения, предназначенные для ведения межгосударственных конфиденциальных переговоров, а также помещения с оборудованием, задействованным в межгосударственных обменах информацией ограниченного доступа;

система стандартизации и сертификации в информационной сфере Содружества;

система правового регулирования отношений между субъектами информационной сферы СНГ.

4.  Методы обеспечения информационной безопасности СНГ

4.1. Методы обеспечения информационной безопасности СНГ разделяются на правовые, организационно-технические и организационно-экономические.

4.2. Правовые методы обеспечения информационной безопасности Содружества включают:

согласованную разработку и уточнение международных договоров и национальных нормативных правовых актов и нормативно-методических документов, регламентирующих отношения и действия субъектов в информационной сфере Содружества;

разработку правовых механизмов недопущения в СНГ противозаконных информационно-психологических воздействий на сознание личности и общества;

активизацию деятельности компетентных правоохранительных органов государств-участников СНГ по предупреждению и пресечению правонарушений в информационной сфере Содружества;

законодательное стимулирование развития собственного для государств-участников СНГ производства средств информатизации и, в первую очередь, средств защиты информации.

4.3. Организационно-технические методы обеспечения информационной безопасности Содружества заключаются в непрерывном совершенствовании технологии защиты межгосударственных информационных систем адекватно потенциальным и реальным угрозам.

К организационно-технические методам, в частности, относятся:

согласованное на межгосударственном уровне лицензирование деятельности в области защиты межгосударственных информационных систем, а также стандартизация и сертификация методов контроля, способов и средств защиты этих систем;

скоординированная деятельность государств-участников СНГ по выявлению и нейтрализации в национальных сегментах межгосударственных информационных систем устройств и программ, представляющих опасность для нормального функционирования этих систем;

реализация государствами-участниками СНГ согласованных мероприятий, исключающих несанкционированный доступ к информации межгосударственных информационных систем и ее утечку по техническим каналам, а также недопущение создания на территориях государств-участников СНГ радиопомех, влияющих на работу вышеуказанных систем;

осуществление в процессе эксплуатации межгосударственных информационных систем эффективного контроля за действиями пользователей и обслуживающего персонала, в том числе за выполнением специальных требований;

скоординированное обеспечение государствами-участниками СНГ защиты конфиденциальной информации при осуществлении взаимодействия межгосударственных информационных систем различных классов защищенности, в том числе при взаимодействии этих систем с Интернетом и другими глобальными сетями;

«синхронная» (согласованная во времени и по сути) модернизация государствами-участниками СНГ принадлежащих им сегментов межгосударственных информационных систем и их программного обеспечения;

совместное создание и стандартизация в рамках СНГ перспективных межгосударственных систем «электронных денег», «электронной торговли» и «электронных платежей»;

осуществление сотрудничества государств-участников СНГ в подготовке кадров в области обеспечения информационной безопасности.

4.4. Организационно-экономические методы включают в себя разработку, финансирование и выполнение межгосударственных целевых программ обеспечения информационной безопасности Содружества в целом и информационной безопасности в специфических областях межгосударственного сотрудничества (наука, техника, экономика, банковское дело, оборона, правоохранительная деятельность и т. д.), а также создание в СНГ межгосударственной системы страхования информационных рисков.

4.5. В каждой из сфер межгосударственного сотрудничества в рамках СНГ имеются свои особенности, связанные со спецификой защищаемых объектов и степенью их уязвимости в отношении угроз информационной безопасности. В этой связи для обеспечения информационной безопасности этих сфер могут разрабатываться и реализовываться специальные концепции и соответствующие программы.

В частности, 4 июня 1999 года Совет глав правительств СНГ утвердил Концепцию информационной безопасности в военной сфере. В указанной Концепции представлены официальные воззрения государств на внешние и внутренние источники угроз, защищаемые объекты, методы и первоочередные мероприятия обеспечения информационной безопасности в данной сфере.

4.6. Особо важное значение для информационной безопасности Содружества имеет сотрудничество государств-участников СНГ в обеспечении сохранности межгосударственных секретов и борьбе с преступлениями в сфере компьютерной информации.

Правовой основой этого сотрудничества являются уже принятые в рамках Содружества следующие документы:

Соглашение о взаимном обеспечении сохранности межгосударственных секретов от 22 января 1993 года;

Соглашение о взаимном обеспечении сохранности межгосударственных секретов в области правовой охраны изобретений от 4 июня 1999 года;

Соглашение о сотрудничестве государств-участников СНГ в борьбе с преступлениями в сфере компьютерной информации от 1 июня 2001 года.

4.7. Поскольку внешние источники угроз информационной безопасности Содружества находятся вне непосредственной юрисдикции государств-участников СНГ, противодействие угрозам с их стороны должно осуществляться преимущественно организационно-техническими и организационно-экономическими методами.

Правовые методы противодействия таким угрозам в данном случае заключаются в скоординированных действиях государств-участников СНГ по совершенствованию соответствующих норм международного права, касающихся, в частности, информационного оружия, терроризма в информационной сфере, поведения субъектов на информационных рынках, в глобальных сетях и т. д.

4.8. Противодействие внутренним источникам угроз информационной безопасности СНГ может осуществляться путем комплексного использования правовых, организационно-технических и экономических методов.

При этом противодействие угрозам, касающимся прав и свобод личности в области информационной деятельности и духовной жизни, индивидуальному, групповому и общественному сознанию осуществляется преимущественно правовыми методами, а также путем совместного разрешения государствами-участниками СНГ экономических, организационных и технических проблем, связанных с повышением уровня «компьютерного» образования населения и с расширением доступа общественности к социально значимой информации.

В противодействии угрозам информационной поддержке и информационному обеспечению политики государств-участников СНГ, реализуемой в рамках Содружества, а также в противодействии угрозам сотрудничеству государств-участников СНГ в развитии индустрии информации, информатизации и связи, выходу их информационной продукции и услуг на мировой рынок превалируют правовые и организационно-экономические методы.

Организационно-технические методы являются основными для противодействия угрозам функционированию межгосударственных информационных систем, накоплению, сохранности и эффективному использованию их информационных ресурсов.

5. Механизм реализации Концепции

5.1. Создание в Содружестве эффективной системы обеспечения информационной безопасности осуществляется на основе положений настоящей Концепции путем систематизации и координации соответствующей деятельности заинтересованных органов СНГ и уполномоченных органов государств-участников Содружества.

5.2. Общее руководство и контроль за процессами реализации Концепции осуществляет Совет глав правительств Содружества. По его поручению соответствующие органы СНГ, как правило, не реже чем раз в три года разрабатывают, согласовывают и вносят в установленном порядке на утверждение комплексные планы реализации Концепции и отчеты о выполнении этих планов.

5.3. Методическое обеспечение и координация работ по тематическим направлениям обеспечения информационной безопасности СНГ возлагается на следующие компетентные в соответствующих вопросах органы Содружества:

Координационный совет государств-участников СНГ по информатизации при Региональном содружестве в области связи (общая методология информационной безопасности СНГ и защита открытых информационных ресурсов, средств информатизации, телекоммуникации и связи);

Координационный совет Содружества Независимых государств по правительственной связи (методология информационной безопасности защищенных систем и криптографическая защита информации);

Межгосударственный совет по стандартизации, метрологии и сертификации (стандартизация, метрология и сертификация способов и средств защиты информации);

Совет руководителей государственных информационных агентств Содружества Независимых государств, Межгосударственный совет по сотрудничеству в области периодической печати, книгоиздания, книгораспространения и полиграфии, а также Межгосударственный координационный совет МТРК «Мир» (защита прав и свобод личности и общества в информационной сфере, информационная поддержка реализуемой в рамках Содружества политики государств-участников СНГ);

Межпарламентская ассамблея государств-участников СНГ (гармонизация национального законодательства, касающегося информационной сферы СНГ);

Координационный совет генеральных прокуроров государств-участников СНГ, Совет министров внутренних дел государств-участников СНГ, Совет руководителей органов безопасности и специальных служб государств-участников СНГ (методология борьбы с правонарушениями в информационной сфере и преступлениями в сфере компьютерной информации).

5.4. Практические мероприятия по реализации настоящей Концепции осуществляются в формате заинтересованных государств путем их сотрудничества в форме взаимных консультаций, координации проводимых работ, кооперации в научных исследованиях, разработке и производстве соответствующих средств защиты информации, а также путем выполнения государствами самостоятельных работ согласно принятым на себя обязательствам.

5.5. Финансирование работ по реализации Концепции осуществляется государствами-участниками СНГ следующим образом:

на принципах долевого участия, если эти работы проводятся в форме координации, кооперации и совместной деятельности, в том числе в виде межгосударственных целевых программ;

самостоятельно, если эти работы проводятся в форме взаимных консультаций, а также при выполнении ими самостоятельных работ согласно принятым обязательствам.

5.6. Единый бюджет органов Содружества, финансируемых за счет бюджетных средств государств-участников СНГ, является источником финансирования деятельности этих органов по реализации настоящей Концепции.

5.7. Утвержденный Решением Совета глав правительств СНГ от 16 апреля 2004 года Порядок разработки, реализации и финансирования межгосударственных целевых программ определяет принципы формирования таких программ и для сферы обеспечения информационной безопасности Содружества.

5.8. Формы сотрудничества в конкретных направлениях обеспечения информационной безопасности СНГ и вытекающие из них взаимные обязательства государств-участников Содружества согласуются на принципах добровольности, равноправия и взаимной выгоды.