Современная доктрина информационной безопасности России

Указом Президента РФ от 05.12.2016 № 646 была утверждена новая Доктрина информационной безопасности Российской Федерации (далее — Доктрина), в п. 2 которой дано новое определение: «Информационная безопасность Российской Федерации — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства».

Так, в определении информационной безопасности появились новые цели — достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.

Интересно, что из понятия информационной безопасности исчезла формулировка «баланс между сохранностью информационных ресурсов государства, защищенностью законных прав личности и интересов общества». Данное обстоятельство позволяет сделать вывод о том, что авторы новой Доктрины больше не противопоставляют интересы государства, личности и общества друг другу.

Подтверждением этого обстоятельства является и изменившаяся структура Доктрины. В новой Доктрине систематизирован перечень угроз информационной безопасности, на основании которых сформированы стратегические цели национальной политики, касающиеся экономики, военной сферы, дипломатии, науки и образования. Раздел, посвященный методам обеспечения информационной безопасности Российской Федерации, был полностью исключен.

Изменилась организационная основа системы обеспечения информационной безопасности, которую теперь составляют:

• • Совет Федерации Федерального Собрания РФ;
• • Государственная Дума Федерального Собрания РФ, Правительство РФ;
• • Совет Безопасности РФ, федеральные органы исполнительной власти;
• • Центральный банк РФ;
• • Военно-промышленная комиссия РФ;
• • межведомственные органы, создаваемые Президентом России и Правительством РФ;
• • органы исполнительной власти субъектов РФ;
• • органы местного самоуправления;
• • органы судебной власти, принимающие в соответствии с законодательством РФ участие в решении задач по обеспечению информационной безопасности.

Соответственно, в составе организационной основы системы обеспечения информационной безопасности появились новые субъекты: ЦБ РФ и Военно-промышленная комиссия РФ, в то время как ими перестали быть: Президент РФ, общественные объединения, а также граждане, принимающие в соответствии с законодательством РФ участие в решении задач обеспечения информационной безопасности Российской Федерации.

Вероятно, Банк России стал элементом системы обеспечения информационной безопасности, так как участились хакерские атаки на банковскую систему Российской Федерации^[1]. В связи с этим можно сделать вывод о том, что организационная основа системы обеспечения информационной безопасности стала более закрытой. Закрытым также стал перечень национальных интересов в сфере информационной безопасности.

Если в предыдущей редакции Доктрины интересы государства, личности и общества были рассмотрены в первой главе в качестве отдельных категорий, суть каждой из которых была раскрыта подробно, то в новой редакции Доктрины мы видим общую структуру национальных интересов, среди которых на первом месте стоят обеспечение и защита конституционных прав и свобод человека и гражданина, т. е. интересы личности, далее перечисляются интересы государства и общества, среди которых:

• — обеспечение функционирования информационной инфраструктуры, в первую очередь критической информационной инфраструктуры;
• — развитие в Российской Федерации отрасли информационных технологий и электронной промышленности;

• — доведение до российской и международной общественности достоверной информации о государственной политике Российской Федерации;
• — содействие формированию системы международной информационной безопасности.

Что касается «обеспечения функционирования информационной инфраструктуры», то примечательно, что в Доктрине появляется понятие «критической информационной инфраструктуры».

В тезаурусе Доктрины мы можем найти определение «информационной инфраструктуры Российской Федерации», под которой понимается «совокупность объектов информатизации, информационных систем, сайтов в сети „Интернет“ и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации».

Тем не менее, что такое «критическая информационная инфраструктура» в тезаурусе Доктрины не раскрывается, хотя это понятие в документе встречается довольно часто.

В этой связи важно отличать понятия «критическая инфраструктура» (или «критически важная инфраструктура») и «критическая информационная инфраструктура».

Так, в соответствии с Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации, утвержденными Указом Президента РФ от 03.02.2012 № 803:

«критическая информационная инфраструктура Российской Федерации — совокупность автоматизированных систем управления КВО [критически важных объектов] и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий…».

То есть фактически «критическая информационная инфраструктура» представляет собой программный продукт или, как отмечают некоторые исследователи, «набор отдельных программно-аппаратных, сетевых и информационных компонентов, поддерживающих функциональность национально значимых для России сфер жизнедеятельности»^[2].

На данный момент в Государственную Думу РФ внесен пакет законопроектов «О безопасности критической информационной инфраструктуры Российской Федерации», что лишний раз доказывает важность данного понятия для государства.

Существует масса примеров атак на критические информационные инфраструктуры: атаки вируса Stuxnet на ядерные объекты Ирана в 2010 г., использование вируса-шпиона Flame, собиравшего доступную информацию в различных информационных сетях, в том числе в сетях сотовой связи, атака вируса-шпиона Red October, который был направлен против научных и государственных информационных систем и был обнаружен в России и других странах СНГ, а также в ряде других государств Латинской Америки и Ближнего Востока^[3].

Поскольку нарушение информационной инфраструктуры атомной электростанции или вывод из строя систем теплоснабжения на севере России или систем вооружений может привести к более разрушительным последствиям, чем применение обычных вооружений, исследователи в области международных отношений ввели такое понятие, как «информационное оружие». Поскольку данное понятие не является правовым, мы не будем рассматривать его подробно.

Что же такое «критически важные инфраструктуры»? С точки зрения отечественных исследователей в области информационной безопасности, критическая инфраструктура представляет собой набор отдельных взаимосвязанных элементов, поддерживающих функциональность национально значимых для России сфер жизнедеятельности^[4].

Полагаем, что данное понятие тождественно понятию «критически важных объектов», которое регламентировано в Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, одобренной распоряжением Правительства РФ от 27.08.2005 № 1314-р.

В соответствии с обозначенным правовым актом «критически важные объекты» — объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени.

Согласно нормативам ФСТЭК (Федеральной службы по техническому и экспортному контролю) «критически важный объект» — объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени"^[5].

В соответствии с обозначенным выше соглашением по информационной безопасности в рамках ШОС «критически важные инфраструктуры — объекты, системы и институты государства, воздействие на которые может иметь последствия, прямо затрагивающие национальную безопасность, включая безопасность личности, общества, государства».

Согласно резолюции Генеральной Ассамблеи ООН A/RES/64/211 от 21 декабря 2009 г. «Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур» в качестве примера «важнейших инфраструктур» (в оригинале «critical infrastructures») приведены: транспорт, водоснабжение, обеспечение продовольствием, общественное здравоохранение, энергетика, финансы и службы экстренной помощи.

Подводя итоги, стоит отметить, что понятие «критическая информационная инфраструктура» является элементом «критически важной инфраструктуры», но никак ему не тождественно.

Возвращаясь к национальным интересам, обозначенным в Доктрине, отдельно хотелось бы отметить, что функцию «доведения до международной общественности достоверной информации о государственной политике Российской Федерации» с 2005 г. выполняет телеканал «Russia Today», который ряд исследователей считает полноценным элементом системы информационной безопасности России.

На данный момент телеканал «RT» представляет собой телевизионную сеть — три круглосуточных информационных телеканала, вещающих из Москвы более чем в 100 странах мира на английском, арабском и испанском языках, телеканал «RT America», документальный канал «RTfl» и глобальное новостное видеоагентство «RUPTLY», и это единственный российский телеканал, трижды номинированный на премию «Эмми Интернэшнл» (Emmy International) в категории «Новости». Телеканал предлагает альтернативный взгляд на текущие события, освещая сюжеты, не попавшие на страницы и экраны мировых СМИ, а также знакомит свою аудиторию с российской точкой зрения на важнейшие международные события^[6].

В целом национальные интересы в сфере информационной безопасности не изменились, за исключением «содействия формированию системы международной информационной безопасности». Данный национальный интерес и ранее позиционировался МИД России в многочисленных дипломатических документах, но в нормативном правовом акте появился впервые.

Обобщая выше сказанное, хотелось бы отметить, что принятие Доктрины фактически поставило точку в научных спорах о природе информационной безопасности. Например, О. А. Городов утверждал, что методологическое основание понятия «информационная безопасность» «до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов»^[7].

Возможно, основанием для этого утверждения послужили разнообразные подходы к сути информационной безопасности, которые, на наш взгляд, друг другу не противоречат. Приведем несколько примеров.

С точки зрения И. Л. Бачило, понятие информационной безопасности определяется как состояние защищенности национальных интересов в информационной сфере, а ее предметными областями являются три области:

• — обеспечение безопасности информации, представляемой отдельными информационными объектами, информационными ресурсами, сформированными как информационные базы, информационные банки или информационные системы;
• — обеспечение безопасности субъектов от информации, которая может быть квалифицирована как социально опасная или вредная, запрещенная законом для распространения, вредная технически для функционирования компьютерных систем (типа спама, вируса и т. д.);
• — обеспечение безопасности прав и интересов субъектов — пользователей и распространителей информации в Интернете и внутренних сетях — при несанкционированном доступе к информации, программному обеспечению и коммуникациям^[8].

Довольно интересный подход к понятию информационной безопасности приведен в исследовании М. М. Кучерявого^[9]. Суть этого подхода заключается в том, что информационная безопасность рассматривается следующим образом:

• 1) безопасность как свойство или способность системы не допускать опасных состояний, не переходить в них;
• 2) безопасность как состояние системы, исключающее возможность опасного события, и как такое условие протекания процесса, в котором исключается деструктивное воздействие на систему (в определенный временной промежуток);
• 3) безопасность как система мероприятий, обеспечивающих защиту системы от деструктивных воздействий (система обеспечения информационной безопасности).

Информационная безопасность, в соответствии с рассуждениями данного исследователя, представляет собой «состояние страны, в котором гражданам, объединениям, общественным группам граждан, обществу и государству не может быть нанесен существенный ущерб путем оказания воздействия на информационную сферу страны», при этом основными объектами информационной безопасности являются личность (ее права и свободы), общество (его материальные и духовные ценности) и государство (его конституционный строй, суверенитет, территориальная целостность, экономика, военное дело и др.)^[10].

Ряд других исследователей полагают, что «определение безопасности как состояния, при котором отсутствует опасность или угрозы, является недостижимым в реальной практике управления социальными системами»^[11].

С учетом расхождения в подходах государств к определению угроз в сфере ИКТ, подлежащих урегулированию на международном уровне, Е. С. Зиновьева выделила два основных вида информационной безопасности:

• — информационно-техническую безопасность (в том числе защиту информации от несанкционированного доступа, хакерских взломов компьютерных сетей и сайтов, компьютерных вирусов, несанкционированного использования частот, радиоэлектронных атак и т. д.);
• — информационно-психологическую безопасность (защиту психологического состояния общества и государства от негативного информационного воздействия)^[12].

Как видим, в науке информационного права существует несколько подходов к определению понятия информационной безопасности. Это во многом связано с тем, что информационные технологии достаточно плотно закрепились во всех областях жизни и, как следствие, стали неотъемлемым атрибутом социальной и политической сферы.

Обобщая представленные подходы, напрашивается вывод о том, что понятие «информационная безопасность» с точки зрения российского законодателя, а также в соответствии с рядом международных актов включает в себя:

• 1) «кибербезопасность», в том числе безопасность в сети Интернет и внутренних сетях;
• 2) защиту информации, включая безопасность информационных ресурсов, информационных систем, не являющихся объектами ИКТ;
• 3) защиту неопределенного круга лиц от информации, которая может быть квалифицирована как социально опасная или вредная, запрещенная законом для распространения, и т. д.

Ярким примером последнего является упоминание в Законе об информации понятия информационной безопасности применительно к норме о государственном регулировании в сфере применения информационных технологий в отношении детей, которая получила свое развитие в Федеральном законе от 29.12.2010 № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию».

Вопросы и задания для самоконтроля

• 1. Раскройте понятие информационной безопасности.
• 2. Как соотносятся понятия «защита информации», «информационная безопасность» и «кибербезопасность»?
• 3. Охарактеризуйте существующие международные подходы к определению понятия «информационная безопасность».
• 4. Проанализируйте Доктрину информационной безопасности Российской Федерации в новой и старой редакциях.
• 5. Охарактеризуйте национальные интересы в сфере информационной безопасности.
• 6. Сравните понятия «критическая информационная инфраструктура» и «критически важная инфраструктура».
• 7. Каковы основные подходы к определению сущности понятия «информационная безопасность» в науке информационного права? Охарактеризуйте их.

• [1] См.: Пять крупных российских банков подверглись DDoS-атаке [Электронныйресурс] // URL: https://meduza.io/feature/2016/ll/10/pyat-krupnyh-rossiyskih-bankov-podverglis-ddos-atake-glavnoe (дата обращения: 14.03.2019).
• [2] Зиновьева Е. С. Международная информационная безопасность: монография.С. 67.
• [3] Зиновьева Е. С. Международная информационная безопасность: монография.С. 67.
• [4] См.: Критически важные объекты и кибертерроризм. Ч. 1: Системный подходк организации противодействия / под ред. В. А. Васенина. М.: Изд-во МЦНМО, 2009.С. 37.
• [5] Федеральная служба по техническому и экспортному контролю: [офиц. сайт]. URL: http://fstec.ru/normotvorcheskaya/tekhnicheskaya-zashchita-informatsii (дата обращения: 14.03.2019).
• [6] См.: Кириленко В. Л., Алексеев Г. В. Международное право и информационная безопасность государств: монография. С. 168—169.
• [7] Городов О. А. Информационное право: учебник для бакалавров. М.: Проспект, 2013. С. 209.
• [8] См.: Бачило И. Л. Информационное право: учебник для магистров. С. 487.
• [9] См.: Кучерявый М. М. Информационная безопасность России в глобальной информационной системе: учеб, пособие. СПб.: Изд-во ИПЦ СЗИУ — фил. РАНХиГ, 2015. С. 8.
• [10] См.: Словарь-справочник по информационной безопасности для Парламентскойассамблеи ОДКБ / под ред. М. А. Вуса, М. М. Кучерявого. СПб., 2014. С. 8.
• [11] Кириленко В. П., Алексеев Г. В. Международное право и информационная безопасность государств: монография. С. 160.
• [12] См.: Зиновьева Е. С. Международная информационная безопасность: монография.С. 54.