2.3. Защита информации органов власти Российской Федерации как механизм реализации государственной политики в области обеспечения информационной безопасности России
В России государственная система ЗИ создана 18 декабря 1973 года путем организации Государственной технической комиссии СССР (Гостехкомиссия СССР), действовавшей в интересах Минобороны СССР и военно-, промышленного комплекса.
Цели защиты информации достигались в форме наложения грифов секретности и зачастую необоснованных, так как в то времяне существовало отрасли информационного права, отсутствовало нормативное ' регулирование в области различных категорий информации.
Указом Президента РФ [56] на базе Гостехкомиссии СССР создана Государственная техническая комиссия при Президенте РФ (Гостехкомиссия России) с задачами руководства органами защиты информации, составляющей государственную и служебную тайны в политической, экономической, научно- технической, военной и других сферах. В 2004 году в соответствии с Указами Президента РФ [57, 61] Гостехкомиссия России преобразована в Федеральную службу по техническому и экспортному контролю (ФСТЭК России).
В начале 90-х годов информационный ресурс был возведен в ранг нацио- ^ нального ресурса и стал ядром экономического роста развитых государств. Именно поэтому информация, проникая во все сферы деятельности личности, общества и государства, стала приобретать конкретные политическое, материальное и стоимостное выражения, определяемые рядом факторов, в том числе и размерами наносимого ущерба, вызванного снижением её качества, возможности утраты, порчи и доступности. Все это определило необходимость изменения подходов к решению задач защиты информации, реализованные в 1993 году путем утверждения Положения [33], которое определяет структуру государственной системы защиты информации в РФ, её задачи и функции, основы организации ЗИ ограниченного доступа от иностранных технических разведок и от её утечки по техническим каналам.
Сразу стоит отметить, что назрела необходимость переработки Положения с учётом вновь изданных документов как Российской Федерацией (например [58]), так и международными организациями и правительствами.
Данное Положение является документом, обязательным для выполнения при проведении работ по ЗИ ограниченного доступа, в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей РФ, республик в составе РФ, автономной области, автономных округов, краев, областей, городов Москвы и Санкт-Петербурга и в органах местного самоуправ- - ления, на предприятиях в их объединениях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности.
Работы по ЗИ в органах власти и на предприятиях, согласно Положению, проводятся на основе актов законодательства РФ, а сама ЗИ осуществляется путём выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения, по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется Правительством РФ.
Данные мероприятия являются составной частью управленческой, научной и производственной дея- , тельности и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых работ.В Положении обозначены главные направления работ по защите информации. К ним относятся обеспечение эффективного управления системой защиты информации, определение сведений, охраняемых от технических средств разведки и демаскирующих признаков, раскрывающих эти сведения, а также анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-
л
технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите, и разработка организационно-технических мероприятий по защите информации и их реализация, в том числе организация и проведение контроля состояния защиты информации.
Основными организационно-техническими мероприятиями по защите информации являются:
• лицензирование деятельности предприятий в области защиты информации;
аттестация объектов по выполнению требований обеспечения ЗИ;
сертификация средств ЗИ и контроль над их эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
обеспечение условий ЗИ при подготовке и реализации международных договоров и соглашений;
создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
разработка средств ЗИ и контроля над их эффективностью (специального и общего применения) и их использование;
применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.
Конкретные методы, приёмы и меры ЗИ, как отмечается в Положении, должны разрабатываться в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения).
Проведение любых мероприятий и работ с использованием информации ограниченного доступа, без принятия необходимых мер по ЗИ не допускается.Положение также определило основные задачи государственной системы защиты информации, которые состоят в следующем:
проведение единой технической политики, организация и координация работ по ЗИ в оборонной, экономической, политической, научно- технической и других сферах деятельности;
исключение или существенное затруднение добывания информации. техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения;
принятие в пределах компетенции правовых актов, регулирующих отношения в области ЗИ;
организация сил, создание средств ЗИ и контроля над их эффективностью;
контроль состояния ЗИ в органах власти и на предприятиях.
Реализует перечисленные выше задачи ФСТЭК России, которая является
федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов РФ информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
противодействия иностранным техническим разведкам на территории РФ;
обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения, и блокирования доступа к ней на территории РФ (техническая защита информации);
ЗИ при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
осуществления экспортного контроля.
ФСТЭК России является уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля [21], а также организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею, и ее территориальные органы входят в состав государственных органов обеспечения безопасности.
Так как в России основным субъектом обеспечения безопасности является государство, формирующее механизмы реализации государственной политики в сфере информации, информатизации и защиты информации через органы законодательной, исполнительной и судебной власти методами правового, организационного и технического регулирования, то реализация вышеупомянутых задач осуществляется непосредственно ФСТЭК России путем издания нормативных правовых актов и методических документов в пределах компетенции ФСТЭК России, а также через территориальные органы ФСТЭК России, определяя данным органам на год ряд основных задач по вопросам организации и совершенствования государственной системы ЗИ в федеральных округах [42].
Управление ФСТЭК России по СЗФО (Управление) решает поставленные задачи, реализуя свои полномочия по осуществлению методического руководства деятельностью органов власти, органов местного самоуправления и организаций, находящихся в пределах СЗФО, в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической ЗИ [42].
Данные полномочия осуществляются Управлением ежегодно, определением основного направления деятельности на текущий год и задач органам власти, органам местного самоуправления и организациям, находящимся в пределах СЗФО, по совершенствованию государственной системы ЗИ и региональных систем технической ЗИ субъектов РФ, обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
Задачи для органов власти и организаций на год определяются на основании указаний Президента РФ и директора ФСТЭК России, а также исходя из анализа фактического состояния государственной СЗИ в СЗФО и результатов работы по технической ЗИ, проделанной органами власти РФ и организациями, находящимися в пределах СЗФО, за прошедший год.
Вышеуказанные задачи органам власти и организациям, находящимся в пределах СЗФО, а также сведения о нормативно-правовых актах и методических документах по вопросам деятельности ФСТЭК России, вступивших в силу в 2006 году, оформляются в виде «Методических указаний Управления ФСТЭК России по СЗФО для органов власти и организаций в области ТЗИ» (далее - «Методические указания...») [43 ].
На основе «Методических указаний...» Управлением ФСТЭК России по СЗФО во взаимодействии с территориальными органами федеральных органов исполнительной власти, руководством субъектов РФ на основе сформированной системы ЗИ в СЗФО проведена паспортизация региональных СЗИ, а также элементов ведомственных и отраслевых СЗИ, которая осуществлялась по результатам всех видов контроля и в ходе информационного взаимодействия.
Паспортизация позволила систематизировать работу подразделений по ПД ИТР и ТЗИ и повысить информированность руководителей органов власти и организаций о состоянии ЗИ.
Паспортизация объектов защиты позволила, с одной стороны, интегрировать всю накопленную в ходе контрольных и ознакомительных проверок информацию, а с другой - дополнить и уточнить ее данными из документов, получаемых за счет обратной связи в ходе информационного взаимодействия с органами власти и организациями.
При анализе собранной информации проявила себя проблема финансирования мероприятий, направленных на защиту информации ограниченного доступа, в органах власти субъектов РФ [46].
При этом проведён анализ уставов высших исполнительных органов власти субъектов РФ, расположенных в пределах СЗФО. В результате анализа установлено, что ни в одном из них ЗИ ограниченного доступа и, в частности, защита государственной тайны к виду основной деятельности не отнесена. Данное обстоятельство поставило законо- мерный вопрос: должны ли бюджеты органов власти субъектов РФ предусматривать целевое финансирование деятельности, направленной на защиту информации, при том, что эта деятельность не является их основной или видом основной деятельности? Видимо, нет - не должны, но данное требование определено в ряде федеральных законов в области ЗИ, например, пунктом 4 ст. 4 [16] органы власти субъектов РФ обеспечивают защиту переданных им другими органами власти, предприятиями, учреждениями и организациями, сведений, засекреченных ими, а также обеспечивают защиту государственной тайны на подведомственных им предприятиях.Абзац 7, 8 ст. 20 [16] предусматривает, что «органы власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции», «защита государственной тайны является видом основной деятельности органа власти, предприятия, учреждения или организации».
В пункте 4 ст. 6 [63] прописано, что «обладатель информации при осуществлении своих прав обязан соблюдать права и законные интересы иных лиц, принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами».
В п. 2 ст. 9 [63] устанавливается обязанность по соблюдению конфиденциальности информации, доступ к которой ограничен федеральными законами.
Обладателем информации, в соответствии с п. 5 с. 2 [63], является «лицо,. самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». Таким образом, обладателями информации, создаваемой в ОГВ субъектов РФ и подведомственных организациях, являются эти органы власти и подведомственные им организации [46].
Есть оговорка в пункте 1 ст.
7 [64] на предмет того, что операторами и третьими лицами, получившими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Некоторые могут возразить и сослаться на п.п. и), м) ст. 71 Конституций РФ, где вопросы информации и связи, а также безопасности находятся в ведении РФ. Данные вопросы не могут передаваться, исключаться или иным образом перераспределяться путём принятия федеральных законов, договоров о разграничении полномочий, соглашений о передачи осуществления части полномочий между федеральными органами исполнительной власти и исполнительными органами власти субъектов РФ, конституциями (уставами), законами и иными нормативными правовыми актами субъектов РФ (см. п. 1 ст. 3 [65]). Конечно, данная диспозиция лишает органы власти субъектов РФ права нормативно регулировать вышеупомянутые вопросы, кроме случаев, когда на эти органы непосредственно федеральным законодательством возлагается обязанность и ответственность за его исполнение (см. например ст. 3.1 главы 1 [65]»).Следует учесть, что полномочия, осуществляемые органами власти субъекта РФ по предметам ведения РФ, определяются федеральными законами, издаваемыми в соответствии с ними нормативными правовыми актами Президента РФ и Правительства РФ, а также соглашениями (см. п. 3 ст. 26.1 [64]), то есть в уже вышеупомянутых [16], [63], [64].
В постановлении [35] Конституционный суд РФ признал, что «...само по себе отнесение того или иного вопроса к ведению РФ (статья 71 Конституции РФ) не означает невозможности его урегулирования иными, помимо закона, нормативными актами, кроме случаев, когда сама Конституция РФ исключает это, требуя для решения конкретного вопроса принятия именно федерального конституционного либо федерального закона». Такие случаи относительно вопросов информации, связи и безопасности в ст. 71 Конституции РФ не определены. Следовательно, органы власти субъектов РФ вправе заниматься нормотворчеством по вопросам безопасности, информации и связи, соблюдая при этом принцип «непротиворечивости».
Таким образом, регулирование информационных правоотношений, возникающих при проведении мероприятий по защите информации, действительно отнесены к ведению РФ, однако, обязанность по принятию (в т.ч.
правовых, организационных, технических) мер к защите информации возлагается на обладателей такой информации.В п. 2 ст. 26.3 [65] мероприятия по ЗИ не определены, то есть не являются предметом совместного ведения РФ и её субъектов, и их (мероприятий) финансирование должно осуществляться путём направления субвенций из Федерального фонда компенсаций в бюджет субъекта РФ (см. абзац 2 п. 7 ст. 26.3 [65], абзац 1, 5 п. 1 ст. 84 главы 11 [5]).
При этом возникает коллизия: в приложении 4 к [66] отсутствует расходная статья на финансирование мероприятий, направленных на ЗИ, а согласно абзацу 11 ст. 6 [5] субвенция - это бюджетные средства, предоставляемые бюджету другого уровня бюджетной системы РФ или юридическому лицу на безвозмездной и безвозвратной основах на осуществление определенных целевых расходов. Между тем, данный вид расходов, как уже было сказано, в [66] не предусмотрен.
Выход из этой ситуации мы видим следующий. Необходимо воспользоваться функциональной классификацией расходов бюджетов для всех бюджетополучателей [38], в которой предусмотрен вид расходов «Информатика» (код, вида расходов 381), по которому возможно отражение расходов на приобретение, установку, доставку СЗИ, их технический ремонт и техническое обслуживание, техническую поддержку, администрирование, специальные проверки, специальные исследования средств вычислительной техники, телекоммуникационного и другого оборудования.
В соответствии с экономической классификацией расходов бюджетов РФ, отражение расходов на мероприятия по защите информации возможно по под- статье 226 («Прочие услуги»), статьи 220 («Приобретение услуг»), относящейся к группе 200 («Расходы»).
Таким образом, финансирование мероприятий по ЗИ возможно как из общей сметы расходов на содержание ОГВ субъекта РФ, так и по виду расходов «Информатика» в случае открытия данного вида расходов распорядителем бюджета [46].
Следует отметить, что государственное регулирование отношений в сфере ЗИ осуществляется путём установления требований о ЗИ, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о ЗИ. Данные отношения возникают при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий и обеспечении ЗИ.
Правовое регулирование данных областей осуществляется на основе ч. 4 ст. 29 Конституции РФ, где закреплено право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным ' способом; норм Федерального закона РФ [63], а именно: ст. 2, где под информационными технологиями понимаются процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; ст. 12, где определяются рамки государственного регулирования в сфере применения информационных технологий (поиск информации, сбор информации, хранение информации, обработка информации, получение информации, передача информации, предоставление информации (получение и передача), распространение информации (получение и передача), производство информации, развитие информационных систем как , совокупности информации в базах данных и обеспечивающих ее обработку информационных технологий и технических средств для обеспечения информацией); ст. 16, включающую принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; реализации права на доступ к информации.
При этом обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязан обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации, своевременное обнаружение фактов несанкционированного доступа к информации, предупреждение воз- можности неблагоприятных последствий нарушения порядка доступа к информации, а также недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование, возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней, и постоянный контроль за обеспечением уровня защищенности информации.
Мы не будем заострять внимание на правовых коллизиях, присутствующих в [63], их сравнительно-правовой анализ провел Лопатин В.Н. [24], и с ним необходимо согласиться.
В контексте вышесказанного подчеркнём, что неотъемлемой составляющей ИБ страны и непременным условием существования сильной власти выступает состояние безопасности информации органов власти субъектов РФ. Данный факт подтверждается опытом выработки государственной политики в области развития информационной сферы, осуществляемой в несколько этапов [2]:
научное исследование и осмысление закономерностей развития общественных отношений в информационной сфере и постановка проблемы;
определение доктринальных и концептуальных установок и их нормативное закрепление (к таким документам следует отнести «Концепцию национальной безопасности РФ»; «Военную доктрину РФ»; «Концепцию внешней политики РФ», «Окинавскую хартию глобального информационного общества»; «Доктрину информационной безопасности РФ»; «Морскую доктрину РФ на период до 2020 года»; «Основы государственной политики РФ по военному строительству на период до 2010 года»; «Основы политики РФ в области развития науки и технологий на период до 2010 года и дальнейшую перспективу». Реализацией государственной политики также занимается Совет Безопасности РФ, чья проделанная работа оказалась немаловажной, в частности разработаны «Основные направления нормативного правового обеспечения информационной безопасности РФ» (далее - «Основные направления...») и «Основы государственной политики в области обеспечения информационной безопасности субъектов РФ» (далее - «Основы государственной политики в области обеспечения ИБ...), одобренные на заседании Межведомственной комиссии Совета Безопасности РФ по ИБ (протоколы № 4.1 от 27 ноября 2001 года и № 1.3 от 27 марта 2003 года). Обозначенные документы развивают соответствующие положения «Концепции национальной безопасности РФ» [58] и «Доктрины информационной безопасности» [12].
конкретизация задач для органов власти при определении основных направлений внутренней и внешней политики (в ежегодных посланиях Президента РФ Федеральному Собранию с 1994 г.);
разработка и принятие концепций развития законодательства в информационной сфере и ее отдельных областях (Комитетом Государственной Думы по информационной политике и Постоянной палатой по государственной информационной политике Политического консультативного совета при Президенте РФ одобрена Концепция государственной информационной политики (1998 г.), а Комитетом Государственной Думы по безопасности - Концепция развития законодательства в сфере обеспечения ИБ РФ (1998 г.), с учетом которой в Совете безопасности РФ подготовлена Концепция совершенствования правового обеспечения ИБ РФ (2001 г.), Министерством связи и информатизации РФ подготовлен проект Концепции развития законодательства РФ в сфере информации и информатизации);
разработка и принятие законов как правовой основы регулирования отношений в информационной сфере (в 1990 годы в РФ сформирован большой массив законодательства в области регулирования информационных отношений - более 120 законов федерального уровня и более 100 законов субъектов Федерации. Конституция РФ, все 18 кодексов РФ в большей или меньшей степени касаются реализации информационных прав и свобод, формирования и вовлечения информационных ресурсов в экономический оборот и систему государственного и муниципального управления);
подготовка и принятие подзаконных нормативных правовых актов (регулирование деятельности государственных органов и специализированных орга- низаций в области информационной деятельности, оформление отдельных направлений государственной политики осуществляется через акты Президента РФ, Правительства РФ, нормативные правовые акты министерств и ведомств, в компетенцию которых входят проблемы информации, информатизации и защиты информации;
7) подготовка и реализация федеральных целевых программ, конкретизирующих участие органов власти в формировании и реализации государственной политики в соответствии с их компетенцией (примером здесь может служить Федеральная целевая программа «Электронная Россия (2002-2010 годы)»).
ФЦП «Электронная Россия» [36], как уже отмечалось, предполагает в рамках обеспечения доступности органов власти активное внедрение и использование Интернет-технологий, в частности создание или размещение органом власти в сети Интернет информации о себе. Однако согласно российскому законодательству открытая общедоступная информация, размещаемая органами власти, подлежит защите. То есть должны быть обеспечены два условия: доступность и целостность информации [45]. Несоблюдение этих двух требований может привести к значительным издержкам.
Сегодня на рынке существует множество технических и программных средств, которые обеспечивают целостность и доступность информации, размещаемой на сайтах. Однако ввиду обозначенных выше предпосылок в органах власти субъектов РФ таковые не применяются, в том числе из-за того, что в компетенцию органов безопасности не входит обязанность по обеспечению их защиты.
Поэтому нашими основными задачами, которые являются лишь частью, большого комплекса задач обеспечения ИБ РФ, в рамках диссертационного исследования являются: создание модели угроз СЗИ сайтов органов власти; разработка инструментально-моделирующих комплексов «Навигатор сканирования» и «Сканирование угроз» и проведение эксперимента и расчетов по результатам применения инструментально-моделирующих комплексов.