Как её понимают государственные чиновники
Конференция “Инфофорум” предоставляет госчиновникам возможность изложить свое видение проблем в области информационной безопасности (ИБ) нашей страны и подходов к их решению. Площадка этой конференции хорошо ими освоена, используется регулярно, по нескольку раз в год. В прошедшем недавно в Москве десятом по счету “Инфофоруме” участвовали представители более 50 федеральных органов исполнительной власти, среди которых комитет Государственной Думы РФ по безопасности, Совет безопасности РФ, Правительство Москвы, Федеральное агентство по информационным технологиям, ФСБ, МВД, ФСТЭК, Мининформсвязи, Генштаб вооруженных сил России, МЧС, Росфинмониторинг и др.
Основными задачами “Инфофорума” -- их перечислил председатель комитета Государственной Думы РФ по безопасности и председатель президиума оргкомитета “Инфофорума-10” Владимир Васильев -- устроители считают развитие контактов между госорганами, госорганизациями, работающими по направлению ИБ, и специалистами в этой сфере; создание условий для обмена опытом и идеями в области развития информационного общества и обеспечения ИБ; выработку предложений по совершенствованию политики обеспечения ИБ, включая формирование нормативно-правовой базы, и стимулирование деятельности в этой области.
Широкое представительство форума позволяет составить представление о том, как понимают актуальные проблемы информационной безопасности нашей страны непосредственно отвечающие за нее практики-профессионалы, находящиеся на государственной службе.
“Непрофильные” участники “Инфофорума-10”
Показательно, что проблемами ИБ сегодня интересуются не только силовые структуры страны, но и ведомства и организации, занимающиеся медициной, культурой, промышленностью, недвижимостью, транспортом, финансами. Это нашло отражение и в составе участников “Инфофорума-10”. Разумеется, активность представителей этих “непрофильных” отраслей стимулирована в немалой степени требованиями, предъявляемыми к ним новыми законодательными инициативами государства. И не только ими.
Так, по результатам обсуждения государственного стимулирования развития отрасли ИБ на круглом столе январского (2007 г.) “Инфорфорума” были разработаны, а затем и утверждены комитетом Госдумы по безопасности рекомендации в адрес правительства страны и Федерального собрания РФ, содержавшие предложения по подготовке программы поддержки отечественного производителя в области ИТ. Основные положения программы были направлены адресатам. И хотя, как констатировал Владимир Васильев, должного развития и реализации изложенные в рекомендациях идеи не получили, без внимания со стороны самих производителей они не остаются — ведь на использование отечественного ПО, специально для этого разработанного, правительство все-таки планирует перевести некоторые структуры государственной власти.
Любопытно, что в упомянутых выше оставшихся без должного внимания со стороны правительства рекомендациях, как сказал г-н Васильев, также предлагалось определить органы власти, уполномоченные формировать государственную политику в сфере обеспечения ИБ, координировать и направлять деятельность госорганов по реализации этой политики. Следует ли из этого, что до сего дня в стране некому формировать государственную политику в сфере обеспечения ИБ и отвечать за ее соблюдение?
От технологий — к законотворчеству
Исходя из тем заседаний секций и представленных на них докладов, можно согласиться с организаторами в том, что от обсуждения проблем технического характера “Инфофорум” переключается на гуманитарную составляющую вопросов ИБ — к правовым аспектам, к формированию политики ИБ, к вопросам создания общественно значимого электронного контента и обеспечению доступа к нему, к вопросам блокирования в Интернете информации противоправного содержания.
Можно согласиться и с тем, что состав участников форума позволяет решать задачи достижения баланса интересов личности, общества и государства и обеспечения ИБ. Но вот оценить, как решаются эти задачи и решаются ли они вообще, мешает неэффективность публичного механизма контроля деятельности “Инфорфорума”. Возможно, ситуация изменится в лучшую сторону после вступления в силу закона “Об обеспечении доступа к информации о деятельности госорганов и органов местного самоуправления”. В 2007 г. проект этого закона был принят в первом чтении, в настоящее время он готовится ко второму чтению комитетом Госдумы по информационной политике, ИТ и связи.
Эффективность реализации данного закона специалисты напрямую увязывают с действием закона о служебной тайне. Но, как отметил в своем выступлении г-н Васильев, пока вопрос о режимах конфиденциальности информации, прежде всего в отношении служебной тайны, в комплексе решить не удается. Отсутствие же регламентации конфиденциальности информации, по его мнению, создает условия для незаконного использования этой информации в органах государственной власти и местного самоуправления, что, по оценкам экспертов, является основной угрозой безопасности в этих структурах. Проект соответствующего закона сейчас находится на рассмотрении в Государственной Думе, но пока взаимопонимания между нею и правительством по этому вопросу нет, идет процесс согласования.
Персональные данные — новый вектор в информбезопасности
Председатель оргкомитета “Инфофорума-10” отметил, что за прошедший год было сделано несколько прорывов, влияющих на обеспечение ИБ страны. В числе первых он упомянул вступивший в январе 2008 г. в силу закон “О персональных данных”. Реальное применение этого закона было отложено на год из-за изменений в структуре органов исполнительной власти и Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия, которая в декабре 2007 г. была уполномочена надзирать за соответствием обработки персональных данных (ПД) требованиям законодательства.
В январе 2008 г. приказом этой службы была утверждена форма уведомления об обработке ПД и рекомендации по ее заполнению. Можно констатировать, что началось формирование подзаконной нормативной базы, необходимой для реализации упомянутого закона: в ноябре 2007 г. правительство приняло постановление “Об утверждении положения об обеспечении безопасности ПД при их обработке в информационных системах персональных данных”.
Закон “О персональных данных” касается каждого из нас, и от того, как государство организует вступление его в силу, в немалой степени зависит, чего больше он принесет — вреда или пользы. Обязанности по принятию мер защиты ПД возлагаются на операторов информационных систем (ИС), под которыми имеются в виду государственные, муниципальные органы, юридические и физические лица, осуществляющие обработку ПД. Закон требует, чтобы работающие с персональными данными ИС, созданные до вступления закона в силу, были приведены в соответствие с его требованиями до 1 января 2010 г.
Дифференцированный подход к защите информации в ИС должен упростить эту процедуру, как и выполнение требований соответствия в отношении вновь создаваемых ИС. Дифференциация подразумевает классификацию ИС операторами в зависимости от объема ПД и связанных с функционированием этих систем угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации таких информационных систем устанавливается ФСБ, ФСТЭК и Мининформсвязи РФ, а методы и способы защиты информации в них определяются федеральным органом, уполномоченным в области безопасности и технической защиты информации. Как сообщил начальник управления ФСТЭК Владимир Селин, к настоящему времени порядок классификации информации разработан и в ближайшее время будет утвержден. ФСТЭК также завершает разработку базовой модели угроз обеспечению безопасности ПД, методики определения вклада каждой из этих угроз в общий результат, общие рекомендации по обеспечению безопасности ПД. До конца февраля 2008 г., по его словам, эти документы будут утверждены.
По мнению ФСТЭК, сейчас наиболее важно навести порядок в учете операторов ПД. Эту задачу с начала года решают специалисты Федеральной службы Россвязьохранкультуры.
Интернет — без границ и без правил?
По данным МВД, в российском сегменте Интернета в прошлом году было закрыто более 600 сайтов с нежелательным содержанием — порнографических, экстремистских, нарушающих авторские права; во всех этих случаях было установлено нарушение закона. Однако, как подчеркнул на форуме начальник бюро специальных технических мероприятий МВД РФ Борис Мирошников, принять решение в отношении интернет-контента сотрудникам МВД не всегда бывает просто, не хватает для этого и квалификации судей. Поэтому нужно развивать инструменты контроля контента со стороны гражданского общества, оно же должно формировать критерии его оценки с позиций нравственности и морали. “Нужно вместе двигаться дальше по пути формирования экологии информационного пространства страны”, — призвал г-н Мирошников.
В конце января комиссия по информационной политике Совета Федерации рассмотрела модельный проект закона об Интернете. Специалисты рассматривают его как попытку подготовки терминологической базы для законодательства об Интернете и формирования базовых принципов правового регулирования деятельности в Сети.
Обнадеживает то, что из числа зафиксированных в 2007 г. преступлений в области ИКТ расследовано и доведено до суда около 10 тыс., при том, что расследование таких преступлений требует специальных знаний, технической оснащенности, специальной правовой базы. Особенно отрадно, что этот показатель растет на фоне отмечаемого экспертами роста профессионализма киберпреступников.
Вместе с тем силовики указывают на недостаточную межгосударственную согласованность действий по защите Интернета от использования его террористами для связи и пропаганды. По мнению г-на Мирошникова, работу МВД, в том числе и по антитеррористическому направлению, усложняет анонимность пользователей Интернета, что частью населения воспринимается как благо, как фактор демократии. Однако международное сообщество профессионалов-полицейских в вопросе анонимности Интернета солидарно с позицией российской милиции. Силовики высказываются за цивилизованное регулирование и налаживание учета участников Интернета для повышения порядка в этой зоне, для обуздания киберпреступности.
Нужно отметить, что силовики не одиноки в требовании “наведения порядка” в Интернете. Представитель коммерческого партнерства, сложившегося вокруг “Инфофорума”, руководитель службы консалтинга “Лаборатории Касперского” Андрей Зеренков тоже высказался за ужесточение законодательства, в том числе международного, регулирующего информационные потоки Интернета. Что же касается авторизации пользователей Интернета, то г-н Зеренков предлагает соблюдать принцип добровольности: те, кто хотят оставаться анонимными, пусть пребывают в этом состоянии; тех, кто захочет пользоваться преимуществами авторизации, — милости просим пройти регистрацию.
Более жесткие меры г-н Зеренков предлагает принять в отношении спама. Он призывает возложить обязанности фильтрации “электронного мусора” на интернет-провайдеров, которые, получая деньги за трафик, совсем не заинтересованы терять приходящуюся на спам долю в 75%.
Нетрудно представить, как изменится спрос на средства фильтрации сетевого трафика, разрабатываемые в том числе и “Лабораторией Касперского”, если, как предлагает г-н Зеренков, потребовать от операторов Интернета в масштабах всего домена .ru контролировать чистоту входящего и исходящего трафика, а заодно регламентировать подключение к Интернету персональных компьютерных систем с учетом их защищенности. Но возникает резонный вопрос: кто и как будет отвечать, например, за потерю информации в связи с невозможностью гарантировать стопроцентную корректность систем фильтрации. А оценка защищенности персональных систем – это вообще отдельная песня.
Руководители “Инфофорума-10” рассматривают информационное сопровождение в СМИ работы государственных структур в области обеспечения информбезопасности страны в качестве одной из своих задач. Установка обнадеживающая, и, возможно, в тандеме с законом “Об обеспечении доступа к информации о деятельности госорганов и органов местного самоуправления” она позволит сделать освещение темы информационной безопасности в прессе более эффективным.