Внешние и внутренние угрозы и их источники
Информационное развитие стран в XX и XXI вв. сформировало два направления деятельности в области обеспечения информационной безопасности. Это деятельность по обеспечению безопасности информационной инфраструктуры в масштабе государства и деятельность по проведению мер информационного противоборства с другими государствами.
Например, в США Национальный план обеспечения безопасности информационных систем сопровождается изданием книг с разноцветной обложкой, где излагаются требования к обеспечению безопасности в информационной сфере. Они содержат от 8 до 10 конкретных программ. Аналогичная книга ("Зеленая") была одобрена в ФРГ, Великобритании, Франции, Голландии. На ее основе в ЕС создана система критериев оценки угроз ITSE (Критерии оценки защищенности информационных технологий). В более поздней книге – "Белой" – перечислены восемь компонентов безопасности.
Как правило, они касаются таких направлений деятельности, как: определение критически важных ресурсов инфраструктуры, их взаимосвязей и стоящих перед ними угроз; обнаружение нападений и несанкционированных вторжений; разработка разведывательного обеспечения и правовых актов по защите критических информационных систем; своевременный обмен информацией предупреждения; создание возможностей по реагированию, реконфигурации и восстановлению. Более подробно эти вопросы рассмотрены в работах А. А. Стрельцова[1] и В. Н. Лопатина[2], в уже упомянутых работах А. К. Жаровой, а также в исследованиях Санкт-Петербургского института информатики РАН (СПИИРАН)[3].
Аналогичные программы существуют и в других странах. Их реализация мобилизует государственные и общественные структуры, субъектов корпоративных и персональных информационных систем на выработку концепций и мер борьбы с внутренними угрозами и рисками в сфере их информационной безопасности.
Наряду с программами обеспечения информационной безопасности разрабатываются и планы информационного противоборства. В зарубежной практике эта часть работ называется "информационными операциями". Печать и телерадиовещание середины 2008 г. сообщают об ужесточении таможенных правил и правил контроля за багажом авиапассажиров в США. Контроль касается всех средств информационных технологий и связи (ноутбуков, мобильных телефонов, других носителей информации). Ноутбуки изымаются на две-три недели, и в каком состоянии они будут возвращены владельцу, не ясно. Все это делается во имя борьбы с угрозами так называемого терроризма. Контролю подлежат носители информации, принадлежащие не только туристам, но и гражданам США.
В процессе реализации программ и законодательства в этой области обосновываются системы внешних угроз для других стран и субъектов. Это могут быть реализуемые в разных формах информационные войны, спам, распространение ложной или незаконной рекламы, ложных сведений и т.д. В этом плане весьма показательны ситуации, представленные в публикации немецкого журнала "Der Spiegel" о практике конфликтов китайских пользователей с американским интернет-концерном Google по поводу использования его продукта в китайской информационной практике. Выявляются двусторонние нарушения и просчеты, а также меры по выходу из сложившегося критического положения. Одновременно этот инцидент обнаружил и наличие жестко соблюдаемого режима конкуренции между разными компаниями, обеспечивающими функционирование Интернета[4].
В уже упомянутой коллективной работе, посвященной "информационным операциям", упоминается документ США 1998 г. "Объединенная доктрина борьбы с системами управления" и директива S3600.1 "Информационные операции". В соответствии с этими и подобными документами предполагается, что американские вооруженные силы могут получить в свое распоряжение интегрированную систему принятия решений, базирующуюся на технологиях искусственного интеллекта, использовании нанотехнологий, эффективном анализе информации и т.п., что позволит обеспечить к 2020 г. принятие решений в реальном времени. Естественно, что подобные планы, и особенно в военной области, должны вызвать соответствующую реакцию защиты.
Информатизация в мировом масштабе развивается весьма стремительно, правовые системы отдельных государств реагируют на это неравномерно и без должной координации. Этот процесс к 2012 г. приобрел значение особого внимания мировой общественности. Опровергая сведения о сборе информации об американских гражданах путем поисковых систем Интернета в форме прослушки телефонных разговоров, перлюстрации электронных писем и т.п., глава разведки США признал, что эти действия осуществляются в глобальном масштабе в целях защиты национальной безопасности США.
Вопросами компьютерной преступности в разной мере занимается ряд дисциплин. К ним относятся: обеспечение информационной безопасности, уголовное право, криминалистика, информатика и автоматизация, информационное право (по американской терминологии – компьютерное право). Все эти направления не имеют какой-либо согласованности или единой концепции. В большинстве случаев внимание уделяется комплексам мер по защите условий обработки информации, защите информационных систем. Отдельно рассматриваются проблемы защиты сетей – средств коммуникаций. Наблюдаются попытки из этого конгломерата дисциплин выделить так называемое интернет-право. В системе государственного управления также нет единого органа, который бы комплексно обозревал состояние развития и использования всех составляющих информационной инфраструктуры современного общества: информационных технологий, информационных ресурсов и сетевых ресурсов страны.
Каждый из множества органов исполнительной власти (Минкомсвязь, Минкультуры, Минэкономразвития, ФСБ, МВД, Минобрнауки России т.д.) по своему профилю и часто фрагментарно занимается проблемами обеспечения законности и правопорядка в области формирования и использования ресурса ИКТ. Программные документы, такие как ФЦП "Электронная Россия", институт "электронного правительства" и его составляющие, не включают задачи выявления противоречий, конфликтов, причин и видов преступлений (а также и других правонарушений) в сферах их реализации. Проблема мониторинга в области информатизации, а следовательно, и в области борьбы с соответствующими правонарушениями только начинает формироваться. Это обеспечить не просто, так как нет легального определения компьютерной преступности.
Проблема борьбы с киберпреступностью привлекает все большее внимание. Это подтверждается и тем, что в 2011 г. Совет Европы вынес на обсуждение доклад, который касается Конвенции о киберпреступности 2001 г. Доклад привлек внимание к таким вопросам, как полнота составов правонарушений, на которые должна быть обеспечена реакция мировой общественности. Особое внимание уделено процедурам согласования реализации юрисдикций различных государств – участников этой Конвенции, проблемам обеспечения суверенитета государств и др. Эта Конвенция в настоящее время не ратифицирована Российской Федерацией. Свои предложения по этому докладу Российская Федерация оформила документом МИД России.
Меры по противостоянию внешним информационным угрозам должны быть дифференцированы относительно степени их вредности в области реализации конституционных прав и свобод человека и гражданина, в сфере защиты интересов государства и общества в целом. При этом важно сосредоточить внимание не столько на прямом участии в информационных войнах, сколько на профилактике противостояния, предотвращении внешних угроз. Прежде всего – на укреплении правовой основы пресечения, предотвращения вредных для общества форм информационной борьбы – "холодных" и "горячих" войн. А для этого необходимо уделять наибольшее внимание правовому, организационному и техническому уровню обеспечения информационной безопасности национальных систем информатизации, организации каждой информационной системы в отдельности.
При организации и оценке деятельности в области обеспечения информационной безопасности важно учитывать следующие условия: 1) точное определение информационного объекта, безопасность которого обеспечивается; 2) ин формационный статус субъекта, безопасность прав которого обеспечивается; 3) правовой статус субъектов, которые обеспечивают информационную безопасность; 4) знание угроз, рисков, правонарушений в зоне обеспечения информационной безопасности, а также источников, от которых эти угрозы исходят; 5) наличие установки, как, какими способами (мерами) может быть обеспечен необходимый уровень безопасности конкретного информационного объекта и прав субъектов, которые связаны с этим информационным объектом.
Основные направления повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти на основе распоряжения Правительства РФ от 27.09.2004 № 1244-р освещены в работе А. В. Короткова и его соавторов. Они включают:
1) обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференциации ее уровня в различных федеральных органах государственной власти;
2) разработку модели угроз информационной безопасности;
3) определение технических требований и критериев установления критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработку мер по их защите и средств надзора за соблюдением соответствующих требований;
4) обеспечение эффективного мониторинга состояния информационной безопасности;
5) совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов;
6) проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности;
7) создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, для ограниченного круга органов государственной власти;
8) развитие средств защиты информации систем обеспечения безопасности электронного документооборота, системы контроля действия государственных служащих по работе с информацией; развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита[5].