Рус
Eng
1. Информационная безопасность
1.1.1. Общегосударственная система мер по обеспечению информационной безопасности России базируется на Доктрине информационной безопасности Российской Федерации (далее — Доктрина), утвержденной Президентом Российской Федерации 9 сентября 2000 года. Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. В Доктрине впервые определены содержание национальных интересов в информационной сфере и задачи по реализации этих интересов, обеспечению их безопасности от воздействия внешних и внутренних угроз.
1.1.2. Доктрина служит основой для:
• формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
• подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
• разработки целевых программ обеспечения информационной безопасности Российской Федерации.
1.1.3. В соответствии с Доктриной, под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью интересов личности, общества и государства.
1.1.4. Угрозы национальной безопасностиподразделяются на следующие категории:
• Угрозы личности и обществу —
кибертерроризм;
угрозы нравственности (распространение порнографии, пропаганда насилия, наркотиков, криминализация, разжигание межнациональной розни и т. д.);
неконтролируемые воздействия на подсознание (киберзомбирование);
распространение политических и религиозных взглядов, угрожающих стабильности общества (пропаганда расизма, нацизма, тоталитарных сект);
ведение с различными целями информационной войны в электронных масс-медиа;
фальсификация данных и документов в системах электронного правительства.
• Угрозы экономике —
бизнес разведка иностранных фирм и государств;
распространение негативной информации, влекущей экономические потери для субъектов бизнеса;
киберпротиводействие конкурирующим фирмам;
незаконное использование интеллектуальной собственности (информационных активов);
• Военные угрозы —
контроль Интернет-трафика потенциальным противником и сбор статистики по национальному трафику, сбор статистики по вычислительным ресурсам, оценка уровня их использования для национальной обороны;
использование вычислительных и частотных ресурсов России для решения военных задач;
несанкционированное использование противником канальной емкости систем связи при проведении военных операций против России или третьих стран;
целевое нарушение или изменение трафика, разрушение системы связи страны в критические моменты;
распространение дезинформации;
поражение ВЦ, центров обработки данных и телекоммуникационных сетей путем применения боевых компьютерных вирусов и других средств;
разведывательно-диверсионная и военная деятельность с применением роботизированных средств и соединений боевых роботов.
1.1.5. Важным направлением деятельности по реализации Доктрины информационной безопасности является обеспечение информационной безопасности в субъектах Федерации. Имеющиеся в этой сфере трудности и недостатки обусловлены в том числе недостаточной скоординированностью компетенции федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации.
Так, в соответствии с Конституцией РФ, задачи обеспечения безопасности отнесены к ведению Российской Федерации, а вопросы информатизации, развития информационных инфраструктур — к ведению субъектов Федерации. Таким образом, выделяется целый большой сегмент в информационной сфере, который охватывает возможности использования современных информационных технологий в организации деятельности субъектов Российской Федерации, предполагает большую работу органов государственной власти по обеспечению безопасности своих информационных систем, сохранности и эффективного использования государственных информационных ресурсов. Субъекты Российской Федерации должны быть заинтересованы в решении этой задачи еще и потому, что создаваемые ими информационные ресурсы имеют большую коммерческую ценность, и умелое использование этих ресурсов может в определенной степени способствовать развитию субъектов. По крайней мере, коммерческие компании довольно успешно работают с региональными информационными ресурсами.
В целях разработки предложений по Основам федеральной политики по обеспечению информационной безопасности в субъектах Российской Федерации при аппарате Совета Безопасности Российской Федерации была создана специальная рабочая комиссия, которая подготовила проект такого документа. Он дважды направлялся в федеральные округа для апробации с участием субъектов Российской Федерации и в настоящее время подготавливается для рассмотрения на Межведомственной комиссии Совета Безопасности по информационной безопасности.
1.1.6. С развитием ИКТ многократно возрастают возможности по добыванию, сбору, обработке, хранению, поиску, отображению и передаче информации. Параллельно и столь же интенсивно разрабатываются способы и средства уничтожения, искажения, несанкционированного доступа к информации, ее блокирования, а также нарушения функционирования информационно-телекоммуникационных систем (ИТКС), которые относят к наиболее уязвимым элементам инфраструктуры. В связи с этим многократно повышается роль и значение информационной безопасности ИТКС государственного и ведомственного управления.
Стремительное развитие компьютерных технологий и международных компьютерных сетей как неотъемлемой части международной финансовой и банковской деятельности создало предпосылки, в немалой степени облегчающие совершение преступных экономических деяний внутри страны и на международном уровне. В настоящее время стали появляться преступные формирования «взломщиков» компьютерных средств защиты, которые по заданиям криминальных структур проводят значительные хищения в различных финансовых органах. Растет, удваиваясь почти каждые 18 месяцев, число преступлений с использованием аппаратно-программных средств, «взломщики» проникают в атакуемую ИТКС через глобальную сеть Интернет. Согласно опубликованным результатам исследований ФАПСИ, в 1998 году сумма ущерба от компьютерных преступлений в России составила более 34 млн. рублей ($3 млн.). В 1999 году число преступлений в сфере информационных технологий в 3 раза превысило уровень 1998 года. В России, начиная с 1997 года, ежегодно расследуется лишь около 10% компьютерных преступлений. При этом по данным аналитиков, от 85 до 97% нападений на корпоративные сети не только не блокируются, но и не обнаруживаются. В 2003 году мировой экономический ущерб от хакерских атак — явных и скрытых, — а также от последствий распространения вирусов и «червей» может превысить $132 млрд. По сравнению с 2002 г., когда подобный ущерб составил $48,47 млрд., рост ущерба может приблизиться к отметке 200%. Согласно прогнозам отечественных и зарубежных социологов, в ближайшее время основным видом компьютерных преступлений станет область финансовой и банковской деятельности, уже к 2005 г. эти преступные деяния уйдут в «беловоротничковую сферу».
По результатам исследования, проведенного CNews Analytics, объем продаж средств защиты информации в России в 2002 году по сравнению с предыдущим годом удвоился и превысил отметку в 1,5 млрд. рублей ($47 млн.). Такая тенденция ежегодного удвоения рынка информационной защиты в связи с неуклонным увеличением количества компьютерных преступлений и ростом наносимого ими ущерба, по мнению аналитиков, сохранится в ближайшие годы.
1.1.7. Структура и рейтинг компьютерных преступлений выглядит следующим образом:
• несанкционированный доступ в информационные системы, перехват информации, кража оплаченного пользователем времени;
• злонамеренные нарушения ИБ в форме всевозможных вирусов и вредоносных программ;
• мошенничества с банкоматами, игровыми автоматами, платежными средствами и т. п.;
• нарушения авторских прав, незаконное копирование программного обеспечения, содержимого баз данных, авторских художественных, литературных и музыкальных произведений, видео- и мультипликационных фильмов, программ Интернет-вещания, дизайна и содержимого web-сайтов, с целью последующего извлечения прибыли;
• распространение порнографии, в том числе детской, через Интернет;
• неправомочное использование междугородней и международной телефонной связи, в том числе и организация нелегальных переговорных пунктов, взлом систем связи общего пользования и т. п.;
• изготовление и продажа технических средств для незаконного получения доступа в ИКТ-системы и информационные базы;
• сетевой экстремизм и информационный терроризм;
• деятельность подразделений иностранных спецслужб и армий, занимающихся разработкой боевых вирусов и методов информационной войны (например, для проверки результатов НИОКР);
• деятельность органов юриспруденции иностранных государств, несанкционированно вторгающихся в киберпространство России для сбора доказательств преступной деятельности граждан РФ.
1.1.8. Сети международного информационного обмена существенно расширяют возможности использования информационного оружия, которое по своей результативности сопоставимо с оружием массового поражения. Под информационным оружием понимается совокупность средств и методов, позволяющих похищать, искажать или уничтожать информацию, ограничивать или прекращать доступ к ней законных пользователей, нарушать работу или выводить из строя телекоммуникационные сети и компьютерные системы, используемые в обеспечении жизнедеятельности общества и государства. Спектр действия такого оружия простирается от нанесения вреда психическому здоровью людей, негативного воздействия на индивидуальное и общественное сознание до перехвата и уничтожения важной информации.
Например, программные вирусы и программные закладки способны полностью или частично вывести из строя базирующиеся на вычислительной технике средства связи, системы государственного и ведомственного управления. К информационному оружию относят разновидности боевых «интеллектуальных агентов» и «логические бомбы», которые вносятся в компьютерные сети потенциального противника, и активизируются специальными командами, подаваемыми в необходимый момент времени, а также различные технические и программные средства преодоления защиты ИТКС, дистанционного нарушения их работоспособности, извлечения данных из информационных массивов и манипулирование потоками информации. Программное воздействие на ИТКС и информационные ресурсы осуществляется путем внедрения элементов информационного оружия (компьютерных вирусов, «программных червей», «Троянских коней», программных закладок, логических бомб) в системы управления с целью разрушения (уничтожения), искажения, съема (перехвата) информации в процессе ее сбора, обработки, хранения, передачи и распространения.
1.1.9. Объектами общенациональной системы информационной безопасности являются компьютерные технологии и информационные ресурсы в следующих областях:
• правительственные автоматизированные системы, включая все государственные учреждения и региональные структуры;
• объекты критической национальной инфраструктуры, такие, как транспортные системы, включая трубопроводные, кредитно-денежная система, связь и энергоснабжение;
• корпоративные автоматизированные информационные системы;
• персональные пользователи информационных ресурсов.
1.1.10. Россия обладает значительным заделом базовых научно-технических разработок в области программных, аппаратных и криптографических технологий защиты информации. Однако ориентация на использование узко национальных средств безопасности может привести к созданию дополнительных барьеров для интеграции российских организаций в международные системы финансовых расчетов и электронной коммерции и, в конечном счете, привести к снижению темпов развития индустрии информации и телекоммуникаций. В то же время, преимущественное использование зарубежных технологий обуславливает потенциальную уязвимость информационно-коммуникационной инфраструктуры для дестабилизирующих внешних воздействий со стороны стран-разработчиков, в том числе, в случае возможного применения ими информационного оружия.
1.1.11. Отдельным аспектом проблемы информационной безопасности России является широкое использование в нашей стране зарубежных программных продуктов, неадаптированных к национально-психологическим особенностям населения, что создает угрозу возникновения системных «пользовательских ошибок» на различных этапах разработки, производства и эксплуатации объектов, и повышению риска техногенных аварий.
1.1.12. В настоящее время в России практически отсутствует политика безопасности Интернет-сайтов.
Исключение составляет сайт http://www.vvp.ru. За 18 месяцев его существования сайт был подвергнут около 15 000 хакерских атак, ни одна из которых не увенчалась успехом. Опыт обеспечения информационной безопасности в сети на этом сайте может быть распространен на всю программу «Электронного правительства»
1.1.13. Решение проблем обеспечения национальной безопасности не может быть осуществлено исключительно силами государства. Необходима согласованная и заинтересованная работа органов государственной власти совместно с общественными организациями, представителями деловых кругов, влиятельных политических сил, то есть всего общества.
1.1.14. Имеющиеся на сегодняшний день организационно-административные и программно-технические решения в области борьбы с компьютерной преступностью и обеспечения информационной безопасности критических компонентов инфраструктуры являются недостаточными, не отвечают требованиям высокой технологичности, слабо учитывают специфику этой сферы деятельности. Внедряемые аппаратные и программные средства зачастую не способны к качественному системному взаимодействию с информационными системами зарубежных государств. Главной целью государственной политики в области выявления и пресечения компьютерных преступлений в этих условиях становится создание эффективной национальной системы борьбы с правонарушениями в сфере компьютерных технологий.
1.2. Система управления информационной безопасностью
1.2.1. В настоящее время система управления информационной безопасностью России включает:
• Президента Российской Федерации,
• Совет Федерации Федерального Собрания РФ,
• Государственную Думу Федерального Собрания РФ,
• Правительство РФ,
• Совет Безопасности РФ,
• федеральные органы исполнительной власти,
• межведомственные и государственные комиссии, создаваемые Президентом РФ и Правительством РФ,
• органы исполнительной власти субъектов РФ,
• органы местного самоуправления,
• органы судебной власти,
• общественные объединения,
• отдельных граждан, принимающих в соответствии с законодательством РФ участие в решении задач обеспечения информационной безопасности Российской Федерации.
1.2.2. Основным органом, на практике отвечающим за обеспечение информационной безопасности РФ, является Государственная техническая комиссия (ГТК) при Президенте Российской Федерации, созданная в соответствии с Указом Президента РФ № 9 от 5 января 1992 г. в целях обеспечения национальной безопасности народов и территорий РФ в части приоритетов и защиты информации в области обороны, политики, экономики, науки, экологии, ресурсов и противодействия иностранным техническим разведкам.
1.2.3. В действующую систему управления информационной безопасностью РФ входит ряд подразделений по борьбе с высокотехнологическими преступлениями, созданных в рамках силовых ведомств:
• в ФСБ РФ работают 8 и 16-й центры (бывшее Федеральное агентство правительственной связи и информации), в Министерстве обороны РФ — Управление криптографии. Эти подразделения заняты обеспечением безопасности каналов связи;
• функции борьбы с киберпреступностью возложены на ФСБ РФ и МВД РФ. В ФСБ РФ — этим занято Управление компьютерной и информационной безопасности, в МВД РФ расширены до федерального уровня функции Управления, ранее занимавшегося собственной технической безопасностью министерства. В структуре ГУВД г. Москвы с 2002 г. действует Управление по борьбе с киберпреступностью;
• в структуру Управления МВД РФ входят:
отдел по борьбе с компьютерными преступлениями;
отдел по борьбе с незаконным оборотом радиоэлектронных и специальных технических средств;
отдел по борьбе с распространением детской порнографии;
аналитический отдел;
технический отдел.
1.2.4. Сложившаяся к настоящему времени схема управления информационной безопасностью страны не обеспечивает достаточное противодействие современным киберугрозам и практически не занимается технологиями предотвращения киберпреступности. У перечисленных структур недостаточно сил и средств для серьезной аналитической работы по информационной безопасности, ведению широкомасштабных НИОКР и их координации, а также активному противодействию потенциальным угрозам информационной безопасности.
1.2.5. Главный недостаток системы управления информационной безопасностью страны состоит в том, что она не в состоянии проводить единую техническую политику в данной сфере. Каждый регион, каждое министерство, ведомство и государственное учреждение практически самостоятельно проводят мероприятия по информационной безопасности. При этом отсутствуют протоколы связи, и работы проводятся не всегда на должном профессиональном уровне. В результате национальная информационно-коммуникационная инфраструктура может оказаться незащищенной, а региональные и ведомственные информационные ресурсы оказываются недоступными и не сводимыми в национальную сеть.
1.2.6. Система управления информационной безопасностью на современном этапе должна как минимум:
• адекватным образом отвечать характеру компьютерных преступлений и быть готова к отражению угроз информационной войны;
• обеспечивать координацию деятельности всех министерств, ведомств и регионов в области информационной безопасности;
• обеспечивать безопасность национальных информационно-телекоммуникационных сетей, включая критические корпоративные сети;
• сочетать механизмы бюджетного рыночного финансирования развития сферы информационной безопасности.
1.2.7. С учетом серьезности угроз информационной безопасности и требований, предъявляемых к системе управления информационной безопасности, необходимы:
• централизация управления сферой обеспечения информационной безопасности;
• создание разветвленной региональной системы управления как для решения региональных проблем обеспечения информационной безопасности, так и для защиты национальных информационно-телекоммуникационных сетей.
1.2.8. Для решения задач обеспечения информационной безопасности страны целесообразно создание Федеральной службы информационной безопасности (ФСИБ РФ) на базе 8-го и 16-го центров, Управления компьютерной и информационной безопасности ФСБ РФ, Управления по борьбе с киберпреступностью МВД РФ. Соответствующие региональные подразделения должны быть созданы в Федеральных округах.
Как вариант, возможно создание Центра информационной безопасности (ЦИБ) с аналогичными функциями в рамках ФСБ РФ.
1.2.9. Создаваемая схема управления должна быть также дополнена подсистемами горизонтальной и вертикальной координации в виде комиссий, которые в полной мере отвечали бы как характеру программных мероприятий, так и специфике объектов информационной безопасности.
1.3. Этапы программных мероприятий
1.3.1. С целью разработки эффективной системы информационной безопасности необходимо осуществить четыре этапа программных мероприятий.
1.3.2. В соответствии с основными положениями Доктрины ключевым направлением обеспечения информационной безопасности должно стать повышение безопасности информационных систем федеральных органов государственной власти. В настоящее время сложилась насущная необходимость выработки общей технической политики в области обеспечения и оценки безопасности информационных технологий, сертификации средств защиты информации и построения на ее основе современной нормативно-методической базы. Исходя из этих задач, на первом этапе необходимо провести детальный анализ состояния системы безопасности правительственных компьютерных сетей, включая государственные учреждения и региональные структуры.
1.3.3. Ответственность за проведение первого этапа возлагается на Совет безопасности РФ и его Межведомственную комиссию по информационной безопасности. Создаются такие же комиссии с аналогичными функциями во всех федеральных округах, обеспечивается функциональное руководство ими со стороны Национальной комиссии по информационной безопасности. К выполнению этой задачи должна быть подключена создаваемая ФСИБ РФ (ЦИБ ФСБ РФ).
1.3.4. На втором этапе предстоит определить принципы государственной политики информационной безопасности в наиболее важных областях инфраструктуры.
Речь идет о реализации комплекса организационно-технических мероприятий по формированию эффективной системы защиты АИС наиболее важных областей национальной инфраструктуры, связанных с обеспечением бесперебойной работы
• кредитно-денежной сферы,
• связи,
• средств массовой информации,
• экологически опасных производств,
• транспорта,
• энергоснабжения
в условиях возможного воздействия различных дестабилизирующих факторов, включая умышленные террористические акты и кибератаки, направленные на несанкционированный доступ к ресурсам, физическое разрушение оборудования или искажение критической информации.
1.3.5. На данном этапе особенно важным представляется формирование механизма объединения усилий частных и государственных структур в решении возникающих задач обеспечения устойчивости критически важных сегментов информационной инфраструктуры общества.
1.3.6. Ответственность за обеспечение защиты информации в критически важных объектах инфраструктуры возлагается на Правительство РФ и ФСИБ РФ (ЦИБ ФСБ РФ). При Правительстве РФ создается Комиссия по защите информации в критических объектах инфраструктуры, к работе в которой привлекаются представители ведущих коммуникационных компаний, банковских учреждений и энергетического комплекса.
1.3.7. В рамках третьего этапа предстоит провести детальный анализ угроз информационной безопасности государственных учреждений с целью выработки общих подходов к защите информации на государственном уровне. Результатом этой работы должны стать конкретные планы мероприятий по информационной безопасности для каждого государственного учреждения.
При разработке правительственной концепции оценки уровня информационных рисков необходимо принимать во внимание эффективность используемых систем защиты компьютерных ресурсов и их соответствие международным нормам информационной безопасности.
1.3.8. По результатам анализа необходимо определить стандартный пакет средств информационной защиты, усилить уровень защиты правительственных компьютерных сетей с использованием программных, аппаратных и криптографических средств и обеспечить:
• разработку технических требований и критериев по отнесению объектов к критической информационно-технологической инфраструктуре Российской Федерации;
• разработку порядка согласования технических заданий на создание объектов информатизации в интересах федеральных органов государственной власти;
• разработку системы учета и аттестации объектов информатизации федеральных органов государственной власти;
• разработку подходов к стандартизации проблем защиты информации в части рассмотрения, согласования и подготовки к утверждению государственных стандартов и других нормативных документов, принятие ГОСТ Р «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки информационных технологий», как основы для совершенствования нормативно-методической базы оценки безопасности информационных технологий Российской Федерации, совместимой с международными критериями;
• организацию работ по созданию средств, обеспечивающих информационную безопасность информационных технологий, используемых в деятельности федеральных органов государственной власти, а также их сертификации и оценке;
• ускорение работ по изучению возможности поэтапного присоединения России к международному Соглашению о взаимном признании оценок по «Общим критериям»;
• повышение статуса и ответственности представителей Российской Федерации в Международной организации по стандартизации (ISO) (в части вопросов информационной безопасности).
1.3.9. В рамках данного этапа необходимо завершить работу по совершенствованию стандартов в плане их согласования с положениями международного стандарта безопасности ISO/IEC15408. Разработка и отладка стандартов и нормативно-правовой базы информационной безопасности необходимы для ускоренного внедрения служб электронной коммерции и АИС государственных учреждений. Стандарты безопасности должны в максимальной степени обеспечивать эффективность выполнения основных функциональных задач АИС, обеспечивать возможность дальнейшего развития инфраструктуры, увеличения скорости пересылки данных и оптимальной интеграции в международную информационно-коммуникационную среду. Координация работ по стандартизации может быть возложена на Государственную техническую комиссию.
1.3.10. Ответственность за реализацию этапа в целом возлагается на Совет безопасности РФ, его Межведомственную комиссию по информационной безопасности и ФСИБ РФ (ЦИБ ФСБ РФ)
1.3.11. На четвертом этапе необходимо обеспечить разработку и внедрение новых высокоэффективных технологий выявления и анализа утечки информации, атак и несанкционированного доступа к сетевым ресурсам, а также создание комплексной организационной системы противодействия компьютерным преступлениям на общенациональном уровне в плане подготовки к внедрению систем «электронного правительства».
1.3.12. Ключевыми направлениями деятельности в рассматриваемой области являются:
• разработка методик оценки уровня информационных рисков и эффективности используемой стратегии безопасности на национальном уровне и для отдельных учреждений;
• создание эффективных технологий построения высоконадежных АИС, обеспечивающих высокий уровень конфиденциальности информации при сохранении целостности данных и их доступности для легального доступа в многопользовательском режиме;
• разработка технологий поддержания устойчивого бесперебойного функционирования разветвленных сетей в условиях возможного воздействия дестабилизирующих факторов (попыток нарушения работы АИС) на основе использования современных методов аутентификации;
• разработка быстродействующих средств оперативного выявления наиболее уязвимых мест информационной инфраструктуры и анализа контента для идентификации внутренних и внешних угроз информационной безопасности;
• разработка систем долговременного хранения данных с высокой степенью защищенности;
• разработка технологий мониторинга сетевых компьютерных систем для выявления признаков и определения источника возможной кибератаки;
• создание эффективных средств защиты распределенных баз данных и локализации развития потенциально опасных ситуаций в сети;
• разработка высокопроизводительных технологий архивирования данных и восстановления работоспособности АИС, нарушенной в результате кибертерроризма.
1.3.13. Ответственность за координацию работ по этому этапу возлагается на Министерство РФ по связи и информатизации. Координация и мониторинг НИОКР может осуществляться комиссией в составе представителей министерства, подразделений соответствующих министерств и ведомств, непосредственно занятых защитой информации, представителей корпоративных кругов ИКТ сферы и академической науки. Исследовательские работы осуществляются, главным образом, силами государственных научно-исследовательских институтов и РАН с привлечением специалистов ведущих университетов и частных компаний ИКТ отрасли.
1.3.14. В рамках четвертого этапа необходимо начать работы по созданию комплексной организационной системы противодействия компьютерным преступлениям на общенациональном уровне.
1.3.15. Комплексная организационная система противодействия компьютерным преступлениям на общенациональном уровне должна обеспечивать раннее предупреждение об угрозе несанкционированного доступа к сетевым компьютерным системам критического значения и противодействие кибертерроризму. Она осуществляет постоянный мониторинг потоков электронных данных в наиболее важных узлах национальной коммуникационной инфраструктуры и должна обладать способностью в реальном масштабе времени распознавать аномальные явления, являющиеся признаками возможной кибератаки, точно определять источник подозрительных электронных сигналов, обеспечивать эффективную защиту баз данных и локализировать развитие потенциально опасной ситуации в сети.
1.3.16. Для функционирования системы необходимо установить локальные программные и аппаратные средства контроля и защиты во всех правительственных АИС, а также в критических компьютерных системах частных предприятиях энергетической, транспортной, телекоммуникационной и финансовой сферы, экологически опасных объектах. Предполагается, что средства, установленные в государственных и корпоративных сетях, будут контролироваться централизованной системой, которая обеспечит постоянный сбор и анализ информации о попытках несанкционированного доступа к различным ресурсам, оперативное распространение предупреждений о возникновении криминальной активности и управление согласованными действиями всех участников информационной деятельности по противодействию противоправным действиям.
1.3.17. Эксплуатация общенациональной системы информационной безопасности коммуникационной инфраструктуры и организация эффективного противодействия компьютерным преступлениям должны осуществляться в рамках ФСИБ РФ (ЦИБ ФСБ РФ). На новую организацию могут быть также возложены функции регулярной проверки уровня защищенности государственных и корпоративных АИС, сбор информации о потенциальных правонарушителях, координация деятельности различных ведомств в области разработки прогрессивных технологий защиты информации. Для осуществления таких функций ей должны быть предоставлены дополнительные полномочия по доступу в государственные и частные сети по утвержденной законом процедуре.
1.3.18. С учетом приоритетов национальной безопасности основные объемы работ по финансированию программы должны осуществляться за счет средств государственных капиталовложений, выделяемых под программные мероприятия на конкурсной основе.
В США на цели повышения информационной безопасности и борьбы с кибертерроризмом выделено 2 млрд. долл. По данным IDC (International Data Corporation) расходы на обеспечение компьютерной безопасности в Западной Европе в 2003 году составляют до 2,48 млрд. евро, а к 2004 году вырастут до 4,73 млрд. евро.
В России основным источником централизованных государственных инвестиций в укрепление информационной безопасности является федеральная целевая программа «Электронная Россия». В рамках этой программы до 2010 года в информатизацию страны будет инвестировано в общей сложности 2.4 млрд. долларов. По оценкам экспертов, от 5 до 10% от этой суммы будет потрачено на задачи, прямо или косвенно связанные с информационной безопасностью.
1.3.19. В целом рынок средств информационной защиты в России сформировался и его государственная поддержка в части стимулирования ключевых НИОКР и более широкого привлечения частных компаний к участию в госзаказах на открытой конкурсной основе поможет решению проблем информационной безопасности.
Сегодня в России действуют более ста фирм, специализирующихся на информационной безопасности, объем инвестиций в их развитие по разным оценкам составляет 200—250 млн. долларов в год. Отмечается тенденция ускоренного возникновения и развития фирм, специализирующихся не на разработке программных и аппаратных средств безопасности, а на предоставлении услуг — консалтинга, аудита, тестирования персонала и информационных систем и т. д.
1.3.20. Проводимые в России НИОКР в области технологий информационной безопасности носят разрозненный характер и нуждаются в координации и приоритетной поддержке со стороны правительства. При том, что сфера информационной безопасности в достаточной мере коммерциализирована, государству необходимо обеспечивать ее постоянное развитие путем инвестиций в ключевые НИОКР, формируя таким образом рынок средств обеспечения информационной безопасности с учетом интересов национальной безопасности.
1.3.21. В целях стимулирования разработки и производства средств защиты информации поручить Министерству РФ по связи и информатизации и Министерству экономического развития и торговли РФ разработать механизмы финансирования и стимулирования работ по информационной безопасности с учетом использования бюджетных средств, в числе на возвратной основе, и привлечения средств частных инвесторов.
1.4.1. Недостаточный уровень подготовки кадров в области информационной защиты является проблемой на всех уровнях — от государственных учреждений до небольших компаний. Необходимость принятия специальных мер по обучению кадров основам информационной безопасности прямо отмечается в федеральной целевой программе «Электронная Россия» принятой на период 2002—2010 гг.
1.4.2. В рамках программы «Электронная Россия» предпринят ряд шагов по организации обучения и сертификации как специалистов по информационной безопасности, так и рядовых пользователей. Организация обучения базируется на следующих основных предпосылках:
• рост требований к специалистам по информационной безопасности;
• необходимость комплектования соответствующими специалистами каждой фирмы и государственного учреждения;
• возможность для специалистов пройти сертификацию и получить официальное признание экспертов;
• необходимость соблюдения единых международных стандартов к подготовке специалистов.
1.4.3. В России действует ряд фирм, специализирующихся на обучении и сертификации специалистов по информационной безопасности на основе специально разработанных отечественных методик, кроме того, существуют центры обучения специалистов по международным методикам. Вместе с тем, в отличие от средств информационной защиты рынок обучения специалистов по информационной безопасности в России еще не сложился.
2—3 центра обучения на такой мегаполис, как Москва, — это практически ничего. Так, только в Норвегии функционируют около 300 авторизованных центров.
1.4.4. Сложившуюся ситуацию нужно коренным образом изменить и прежде всего средствами стимулирования образовательной деятельности. Министерству образования РФ совместно с заинтересованными организациями необходимо рассмотреть вопрос о создании таких центров на базе известных государственных высших учебных заведений, разработать систему поддержки малого бизнеса, занятого в данной сфере.
1.4.5. В целом, необходима разработка государственной программы подготовки специалистов в области компьютерной безопасности для работы в госучреждениях (разработчиков, экспертов и пользователей).
1.5. Приоритетные направления НИОКР и критические технологии
1.5.1. Распространение компьютерных технологий представляется одним из средств устойчивого социально-экономического развития общества на современном этапе. При этом необходимо иметь ввиду принципиальную невозможность построения абсолютно надежных и безопасных технических систем, и в этой связи ключевым подходом при разработке перспективных средств информационной безопасности должно быть создание таких технологий, которые бы, в первую очередь, в максимальной степени обеспечивали эффективность выполнения основных функциональных задач АИС.
1.5.2. В настоящее время защита ИТКС и важных компонентов инфраструктуры от программного воздействия осуществляется:
• применением безопасных информационных технологий;
• сертификацией технических и программных средств иностранного производства и проведением специальных проверок на наличие в них закладок;
• разработкой и внедрением отечественного программного и технического обеспечения для АСУ;
• исключением несанкционированного доступа к информации, циркулирующей в технических системах;
• применением программных методов (средств) защиты информации.
1.5.3. С появлением новых задач ужесточаются требования к защите информации в ИТКС. Вновь разрабатываемые отечественные продукты для защиты ИТКС и критических компонентов инфраструктуры предусматривают:
• защиту информации при передаче ее по каналам связи, хранении и обработке (конфиденциальность информации);
• обеспечение целостности и подлинности передаваемой, хранимой и обрабатываемой информации (имитозащита);
• аутентификацию сторон, устанавливающих связь (подтверждение подлинности отправителя или получателя информации);
• контроль доступа к ресурсам сети, оборудованию и данным абонентов;
• криптоживучесть при компрометации части ключевой системы;
• возможность доказательства неправомочности действий пользователей и обслуживающего персонала в сети;
• обеспечение взаимодействия между локальными различными информационными системами при одновременном исключении возможности «сквозного» проникновения к наиболее важным подсистемам, в которых циркулирует подлежащая защите информация.
1.5.4. В дополнительном государственном финансировании и координации нуждаются следующие ключевые направления НИОКР:
• «элементные» технологии —
разработка новых высокоэффективных средств идентификации пользователей и организации иерархического доступа к ресурсам в условиях сложной распределенной сетевой среды;
создание эффективных методик оценки стойкости средств криптокодирования и электронной подписи;
разработка нового поколения базовых методов обработки и пересылки данных повышенного уровня безопасности на основе новых принципов;
• системные технологии. К числу наиболее важных исследовательских тематик в рамках данного направления относятся —
разработка комплексных методов мониторинга состояния и уровня ИБ сетей;
создание высоконадежных средств пересылки и подтверждения коммерческой и финансовой информации на основе технологий обратной связи;
разработка алгоритмов оценки уровня взаимной зависимости и уязвимости различных АИС;
создание нового поколения антивирусного ПО, функционирующего на принципах иммунитета живых организмов.
• комплекс «социальных» технологий формирования устойчивой мотивации различных участников информационной деятельности к совместному противодействию компьютерным правонарушениям, выработка морально-этических норм поведения в киберпространстве.
Вопросы социальных технологий и мотивации должны разрабатываться Министерством образования РФ, Министерством РФ по делам печати, телерадиовещания и средств массовых коммуникаций, Министерством культуры РФ.
1.5.5. Реализация намеченного комплекса мероприятий будет способствовать дальнейшему укреплению национальной системы информационной безопасности России и позволит создать предпосылки для ускоренного внедрения и устойчивого развития систем информационной поддержки деятельности государственных учреждений, прогрессивных форм электронной торговли и предпринимательства в следующем десятилетии.
1.5.6. Под критическими технологиями понимаются технологии, подлежащие первоочередной разработке в целях дальнейшего долгосрочного обеспечения национальной безопасности, а также в целях экономического процветания страны. Понятие критических технологий предполагает, что такие технологии настолько важны для обеспечения национальной безопасности или способствуют экономическому росту, что они должны разрабатываться и сохраняться в стране.
1.5.7. Для обеспечения национальной безопасности представляется необходимым формирование в сфере ИКТ общенационального механизма выявления критических технологий для принятия соответствующих государственных решений и привлечения к решению этих проблем бизнеса, инвесторов, академических кругов.
К примеру, в настоящее время к числу критических технологий в ИКТ могут быть отнесены нанотехнологии в области нанофотоники (разработка высокоинтегрированных компонентов оптических коммуникаций) и наноэлектроники (электронные и оптикоэлектронные устройства с активными элементами нанометрического масштаба).
1.5.8. Учитывая многофункциональный характер задач, решаемых в сфере ИКТ, целесообразно создание Национальной комиссии по критическим технологиям в области ИКТ под эгидой Министерства РФ по связи и информации. В состав этой комиссии должны войти представители заинтересованных министерств и ведомств, ИКТ бизнеса, академических кругов. Главными задачами Комиссии должно быть формирование списка критических технологий в ИКТ сфере, а также механизмов их финансирования и мониторинг состояния реализации соответствующих проектов.
2. Международное сотрудничество
2.1.1. Особенность международного сотрудничества Российской Федерации в области ИКТ состоит в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках сбыта, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия».
2.1.2. Основными направлениями в области обеспечения международной информационной безопасности являются:
• запрещение разработки, распространения и применения «информационного оружия»;
• обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным каналам и каналам связи;
• координация деятельности правоохранительных органов стран, входящих в мировое сообщество, по предотвращению компьютерных преступлений;
• повышение эффективности защиты интеллектуальной собственности в России и помощь в обеспечении такой защиты российским производителям за рубежом;
• предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми.
2.1.3. При осуществлении международного сотрудничества Российской Федерации в области обеспечения информационной безопасности особое внимание уделяется проблемам взаимодействия с государствами — участниками Содружества Независимых Государств.
2.1.4. Для осуществления этого сотрудничества по указанным основным направлениям необходимо обеспечить активное участие России во всех международных организациях, осуществляющих деятельность в области информационной безопасности, в том числе в сфере стандартизации и сертификации средств информатизации и защиты информации.
2.1.5. Следует поручить Совету безопасности РФ во взаимодействии с МО РФ, МВД РФ и МИД РФ, ФСБ РФ Министерству РФ по связи и информатизации, Министерству экономического развития и торговли, Министерству промышленности, науки и технологий РФ разработать набор мероприятий, обеспечивающих решение вышеозначенных задач в сфере международной информационной безопасности.
2.2.1. Одним из ключевых факторов развития российского сектора информационных технологий является международная кооперация.В данной области выделяются две взаимосвязанных сферы:
• образование межгосударственного информационного сообщества;
• функционирование мирового рынка ИКТ.
2.2.2. Стратегическая задача в сфере международной кооперации — обеспечить защиту интересов России в процессах формирования глобального информационного общества.
2.2.3. Важным направлением международной деятельности в области ИКТ остается выстраивание двусторонних связей на основе межправительственных и межведомственных соглашений и работа со всем спектром международных организаций, имеющих отношение к техническим, экономическим, политическим, правовым и прочим аспектам применения ИКТ, а также участие в телекоммуникационных форумах.
2.2.4. Государственные структуры и частный бизнес России сегодня вовлечены во многие международные проекты с большим количеством иностранных партнеров.
Можно выделить следующие категории международных организаций в ИКТ секторе:
• региональные и профессиональные международные ассоциации. Их деятельность может быть направлена на создание предпочтительных или наоборот, дискриминационных условий для деятельности тех или иных стран на определенных рынках;
• международные организации в составе и под эгидой ООН (например, МСЭ и ЮНЕСКО ООН). Они определяют стратегию развития стран и регионов и при работе с ними необходимо отстаивать геополитические интересы России и по возможности добиваться финансирования проводимых в России работ. Так, в рамках ООН предполагается создание «Фонда цифровой солидарности» для финансирования программ международного сотрудничества в области ИКТ;
• международные инвестиционные фонды;
• органы Европейского Союза по обеспечению компьютерной безопасности. Правительства Евросоюза пришли к соглашению по вопросу о создании единого европейского агентства по компьютерной безопасности. Новая структура будет призвана бороться с компьютерными вирусами и другими преступлениями, связанными с Интернетом и компьютерными сетями.
Организация под официальным названием Европейское агентство по сетевой и информационной безопасности (ENISA) начнет свою работу с начала 2004г. Оно также должно будет привнести долю порядка в ныне сильно варьирующиеся подходы стран ЕС к борьбе с интернет-преступлениями. Бюджет ENISA на период с 1 января 2004 года по 31 декабря 2008 года составит 24,3 млн. евро.
В задачу агентства будет входить решение всех проблем, связанных с информационной безопасностью как для правительственных организаций, так и для крупных деловых структур. Окончательное решение по составу управления ENISA, в который войдут пять человек, назначенных европейским советом, пять представителей Еврокомиссии, два представителя Европарламента, четыре представителя промышленности и два представителя обычных клиентов, будет приниматься Европарламентом совместно с Еврокомиссией.
Как видно, функции новой организации Евросоюза во многом совпадают с функциями предлагаемой к созданию Федеральной службы информационной безопасности. В ее задачи должно входить и обеспечение взаимодействия с аналогичным агентством Евросоюза.
2.2.5. Тесное международное сотрудничество между национальными органами власти, заинтересованными сторонами и международными организациями применительно ко всем аспектам информационного общества в настоящее время важно, как никогда. В связи с этим следует воспользоваться теми возможностями, которые предоставляют международные и региональные финансовые учреждения и региональные комиссии Организации Объединенных Наций.
2.2.6. В связи с этим России необходимо вести со всеми странами политический диалог, который обеспечивал бы возможность создания прочной базы для международного сотрудничества и устранения финансовых препятствий на пути доступа к мировым достижениям в ИКТ сфере.
2.2.7. Россия должна быть активным участником международного сотрудничества в сфере информационной безопасности на всех его уровнях. При этом важно обеспечивать не просто участие в международных проектах, но и развивать двусторонние контакты с заинтересованными странами.
2.2.8. В связи с активным участием России в усилиях международного сообщества по борьбе с терроризмом и преступлениями в высокотехнологической сфере имеются все предпосылки для подключения научно-технического потенциала России к участию в программах сотрудничества в области информационно-коммуникационных технологий и, особенно в области обеспечения информационной безопасности. Такие программы в последние годы активно осуществляются по линии ОЭСР.
2.2.9. Необходимо дать поручение МИД РФ об обеспечении активного участия российской стороны в международных программах, организациях системы ООН и других международных структурах.
2.3. Создание условий для экспорта продукции ИКТ отрасли
2.3.1. В сфере взаимодействия России с международным информационным сообществом и, в частности, с международными институтами и корпорациями, занимающими лидирующие позиции в ИКТ сфере, ставятся следующие задачи:
• определить рыночные ниши в производстве программного обеспечения, где российские специалисты могут занять ведущие места, как на внутреннем, так и на международном рынках;
• определить аналогичные ниши в сфере производства компьютеров и приборного обеспечения и обеспечить им необходимое развитие
Эти задачи должны решать Министерство экономического развития и торговли РФ во взаимодействии с бизнес-сообществом.
2.3.2. Россия остается единственной страной, где существуют барьеры для экспорта программного обеспечения. Проблема с экспортом программного обеспечения, интеллектуальных продуктов, технологий и ноу-хау осложняет работу отечественных производителей на мировом рынке. В январе 2003 года о необходимости ликвидации ненужных таможенных барьеров говорил Президент РФ В. В. Путин на заседании Совета по науке и высоким технологиям. Административные барьеры при экспорте наукоемкой продукции являются морально устаревшими и вредными; они уничтожают конкурентные преимущества страны, не принося при этом экономической пользы и не укрепляя безопасность.
2.3.3. Для устранения этих препятствий необходимо дать поручение ГТК РФ и Гостехкомиссии при Президенте РФ по разработке соответствующих реалиям таможенных правил и процедур для экспорта наукоемкой продукции в сфере ИКТ для увеличения объема экспорта этой продукции и налоговых поступлений.
РАЗДЕЛ VI
правовое обеспечение программы
1. Общие положения
1.1. Объектами нормативно-правового регулирования в ходе движения к информационному обществу являются процессы производства, распространения и использования информации на основе информационных технологий. В поле зрения права находится весь комплекс ИКТ, включая информационный ресурс, коммуникационные системы и сети, а также используемые в них технологии.
1.2. Первоочередными задачами, на которых необходимо сосредоточить усилия по формированию государственной политики информатизации, являются:
• разработка организационно-методологической системы для управления процессом информатизации на федеральном уровне, формирование федеральных и ведомственных организационных структур управления и запуск в действие соответствующих деловых процессов и административных регламентов;
• формирование и законодательное оформление механизмов финансирования информатизации;
• создание единой интегрированной информационно-технологической инфраструктуры федеральных органов государственной власти с учетом жизненного цикла информационных систем;
• совершенствование нормативно-правовой базы, регулирующей применение ИТ;
• комплексное решение проблем кадрового обеспечения процессов информатизации.
1.3. Факторами, которые необходимо учитывать при реализации государственной политики информатизации, являются:
• изменение роли федеральных целевых программ, межведомственных и ведомственных программ информатизации, которые должны быть модернизированы с учетом положений настоящей Концепции;
• максимальное использование отечественных научно-технических заделов и промышленных разработок в сфере информационно-технологической инфраструктуры, использование опыта и услуг коммерческих структур;
• необходимость построения и развития «электронного правительства» как механизма предоставления услуг государства обществу с использованием информационных технологий и сети Интернет;
• потребность в совершенствовании механизмов государственных закупок товаров и услуг в сфере информационных технологий, требующей комплексного подхода к реализации взаимоувязанных проектов и специализированных механизмов для закупок технологически сложных товаров и услуг.
2. Социально-экономическая политика
2.1. Формирование эффективной рыночной среды
2.1.1. В реализации стратегии системной трансформации нынешней неэффективной экономической системы в нормальную рыночную экономику, важнейшая роль принадлежит государству. При этом главная задача государства заключается в создании и обеспечении функционирования правового механизма, отвечающего требованиям рыночной системы хозяйствования — законодательства и условий для его неукоснительного соблюдения, а также в содействии формированию рыночных институтов, разработке и проведении социально-экономической политики. Это необходимо, в первую очередь, для создания и поддержания конкурентной среды, что для нормального функционирования рынка значительно важнее, чем приватизация.
2.1.2. Основные направления совершенствования правовой (нормотворческой и правоприменительной) базы развития информационного общества и экономических преобразований, направленных на стимулирование информационного развития страны, включают:
• ликвидацию большого числа законов непрямого действия, оставляющих простор для чиновничьего произвола, коррупции, нарушения законодательства;
• проведение всесторонней судебной реформы, направленной на достижение реальной независимости органов судебной власти от власти исполнительной;
• совершенствование правоприменительной практики и административных процедур, которые должны дополнить законодательную и судебную реформы. Это не только обеспечит реализацию принципов правового государства, но и упрочит нормативную базу хозяйственного развития страны, способствуя решению актуальной задачи искоренения методов управления экономикой, не совместимых с природой рыночной системы.
2.1.3. Изменения в законодательстве и административно-правовых процедурах, отвечающие требованиям здоровой рыночной экономики, также должны предусматривать гарантии рыночного характера управления государством основной частью своих активов в корпоративном секторе экономики. Кроме того, они предполагают скорейшее введение в действие правовых механизмов, обеспечивающих реальную возможность для акционеров выполнять функции собственника, и защиту прав акционеров, располагающих небольшим количеством акций. Это позволит преодолеть существующую нерациональную систему корпоративного управления на большинстве крупных и средних российских предприятий, возникновение которой связано с грубыми просчетами, допущенными при реформировании прав собственности.
Эта проблема стоит и в других постсоциалистических странах. В чистом виде ни одна из известных в мире эффективных моделей корпоративного управления не получила полноценного развития в странах Центральной и Восточной Европы по причинам неразвитости соответствующих рыночных институциональных структур и недостаточной политической стабильности. Ни пассивный контроль над корпорациями через действие рынка капитала, ни активный контроль со стороны банковских структур через кредитные соглашения, ни финансирование компаний в счет погашения долга и т. д. не существуют самостоятельно. Не имеет самодовлеющего значения и активный контроль через участие политических институтов в управлении крупными предприятиями, предполагающий высокую долю в них государственной собственности и преимущественно государственный банковский сектор. Складывающиеся схемы контроля над корпорациями носят смешанный характер, и их эффективность оказывается пока невысокой. Такое положение стало одной из причин отсутствия прямой зависимости между фактами обретения субъектами хозяйствования правомочий собственников и повышением эффективности использования собственности.
2.1.4. Суть стоящей перед Россией в этой области задачи заключается в том, чтобы:
• поставить менеджмент российских акционерных компаний под контроль всех собственников капитала, учитывая в полной мере интересы миноритарных акционеров;
• ориентировать его на максимизацию прибыли (в краткосрочном плане) и чистой стоимости фирмы (в долгосрочном плане).
Решение этой задачи обеспечит базовые предпосылки для адекватной реакции хозяйственных субъектов на рыночные сигналы, позволит создать эффективную систему корпоративного управления, добиться прозрачности в бухгалтерской отчетности фирм, а тем самым, коренным образом изменить условия для инвестиционной деятельности, заложить основы эффективного фондового рынка.
2.1.5. Наряду с упомянутыми механизмами реализации прав собственников и акционеров, достижения прозрачности деятельности предприятий, необходимо провести декриминализацию процедуры банкротств путем устранения многочисленных лазеек, имеющихся в Законе о банкротстве. Предстоит, в частности:
• усилить контролирующую роль федеральных органов исполнительной власти;
• установить реальную ответственность временного управляющего за исполнение закона;
• обеспечить процесс смены собственника в конфликтных ситуациях в рамках гласных, прозрачных и при этом достаточно оперативных судебных процедур;
• заключить «договор» между государством и бизнесом, в соответствии с которым бизнес берется вести экономическую деятельность, не уклоняясь от общественно необходимых фискальных обязательств, а государство гарантирует предпринимателям разумную «цену вхождения на рынок», защиту прав собственности и соблюдение контрактов. Одновременно, работники, выполняющие эти контракты, получают достойное социальное обеспечение (подробнее см. Раздел II).
Указанные институционально-правовые преобразования в корпоративном секторе и экономике в целом под эгидой государства будут способствовать легализации идекриминализации российского бизнеса. Это исключительно важная предпосылка устойчивого экономического развития, учитывая, что значительная часть (по разным оценкам от 25 до 50%) российской экономики находится сегодня «в тени». По некоторым расчетам, только за счет легализации экономической активности можно увеличить производство в России минимум на 20%.
2.1.6.Формирования эффективной рыночной среды невозможно безпринятияФЗ о лоббировании, создающего публичный, легальный механизм согласования интересов промышленно-предпринимательского сообщества и органов государственной власти. Позиция отраслевых ассоциаций предпринимателей по каждому вопросу, который, по их мнению, затрагивает их деятельность, должна доводиться до законодателей, принимающих закон, или руководителя, принимающего тот или иной нормативный акт. Это мнение может быть учтено или отвергнуто без обсуждения с высказавшими его. Но субъекты экономики должны иметь право на доведение своего мнения до органов законодательной и исполнительной власти.
2.1.7. Формирование эффективной рыночной среды требует также принятия мер в правовой сфере на региональном и местном уровне. Необходимо:
• привести региональные законы в соответствие с федеральными, особенно в той части, которая обеспечивает условия равной конкуренции для предпринимателей и соблюдения единого экономического пространства. Это облегчит реализацию крупномасштабных хозяйственные проектов, участниками которых могли бы быть два или несколько субъектов федерации, и трансрегиональную экономическую активность в целом, что естественным образом сузит поле для сепаратистских устремлений. По этой же причине реформирование естественных монополий не должно приводить к дезинтеграции экономического пространства России;
• разработать и принять пакет федеральных законов о региональном развитии и федеральной поддержке депрессивных, проблемных и отсталых территорий. Они должны обеспечить базу целенаправленной, партнерской политики федерального центра, региональных властей и инвесторов, которая поможет смягчить остроту проблемы выравнивание уровней экономического развития регионов страны. Региональный уровень должен стать главной ареной противодействия слиянию власти и бизнеса и развивающейся в связи с этим коррупции, для чего также нужны правовые и административные ограничители, препятствующие возможности региональным политическим элитам манипулировать контролируемой ими собственностью в целях упрочения своего влияния;
• произвести законодательную фиксацию социальных стандартов и бюджетных нормативов всех уровней; особое внимание следует обратить на принятие и реализацию законодательства, четко определяющего права и ответственность различных уровней власти в обеспечении здоровья матери и ребенка
2.2. Использование ИКТ в социально-экономической сфере
2.2.1. Применение ИКТ в социально-экономической сфере требует подготовки пакетов нормативных актов по следующим направлениям:
• информационно-коммуникационные технологии как отрасль экономической деятельности, реализация интеллектуального и технологического потенциала;
• ИКТ как область межотраслевого управления;
• создание гибкой системы обеспечения безопасности ИКТ.
2.2.2. Предполагаемые меры должны обеспечить включение ИКТ в систему видов экономической деятельности как самостоятельного сектора экономики. В совокупности все направления правового обеспечения создают базу для регулирования поступательного и системно связанного процесса развития всех составляющих ИКТ и вывода их на внутренний и международный рынки работ, услуг, продукции.
2.2.3. Программа предусматривает разработку системы мер по стимулированию, поддержке производителя, разработчика и защите их интересов в сфере обмена. Антимонопольная политика должна сочетаться с максимальным вниманием к среднему и мелкому бизнесу в информационной сфере, оказанием ему поддержки, включением его продукции в единый хозяйственный комплекс ИКТ, основанный на разных формах собственности. Необходима разработка ФЗ «О регулировании экономики ИКТ».
В сфере частноправовых и публичных отношений в области торговли и иных финансово-расчетных операций требуется, в первую очередь, корректировка проекта ФЗ «Об электронной торговле», выработка детальных рекомендаций по рассмотрению споров, возникающих в сфере отношений по электронной торговле.
2.2.4. Программа предусматривает шаги по нормативному регулированию информатизации системы образования и культуры.
2.2.5. Организация программного обеспечения дистанционного образования, его безопасности и юридической силы должна получить нормативное оформление на уровне федерального закона. Стандарты на деятельность в области образования планируется распространить на все виды частного образования и взаимодействия системы российского образования с зарубежными структурами в целях обеспечения интересов российского государства и граждан России.
2.2.6. Информатизация в области культуры затрагивает, прежде всего, системы массовой работы культурных учреждений. Формы представления ресурсов государственного и частного сектора культуры в сеть Интернет, использования этих ресурсов с учетом интересов российских центров культуры (государственных и частных) — библиотек, музеев, фондов и т. п. — требуют обобщения мировой практики и корректировки законодательства РФ.
2.2.7. Требуется внесение изменений и дополнений в действующее законодательство (Гражданский и Бюджетный кодексы Российской Федерации, федеральный закон о некоммерческих организациях) с целью устранения существующих препятствий для развития конкурентной среды и повышения деловой активности организаций культуры, науки и образования в результате увеличения многообразия их правового статуса. Основные шаги в данной области — это:
• модернизация системы учредительства и введение института соучредительства, а также создание дифференцированных правовых режимов, обеспечивающих необходимую гибкость в решении вопросов имущества и денежных средств, передаваемых в собственность, оперативное управление, хозяйственное ведение организациям культуры, науки и образования их учредителем или соучредителями;
• внедрение контрактных отношений между учредителем и учреждаемой организацией, предусматривающих ответственность организации за выполнение зафиксированной в ее уставе определенной миссии и соответствующие, в том числе имущественные, обязательства учредителя, модификация системы управления, включая решение проблем бюджетного финансирования (государственные гарантии и бюджетные обязательства) и хозяйственной самостоятельности организаций, учредителем которых является государство или муниципалитет;
• меры по преобразованию значительной части учреждений культуры, науки и образования в государственные специализированные некоммерческие организации, обладающие более высоким уровнем хозяйственных свобод.
2.2.8. Требуется также разработка пакета нормативных правовых документов, необходимых для развития телетехнологий в клинической медицине, в том числе:
• об ответственности технических работников за обеспечение телемедицинского сеанса;
• об ответственности консультантов за сделанное заключение;
• об обеспечении конфиденциальности телеконсультации и защите персональных данных пациентов.
3. Государственное управление
3.1. Использование ИКТ в деятельности органов власти
3.1.1. Нормативно-правовое регулирование сферы использования информационных технологий в деятельности федеральных органов не покрывает сложившегося многообразия отношений между участниками и не соответствует международной практике в части оказания государством услуг гражданам и организациям, формирования федеральных информационных ресурсов и организации управления в этой сфере. Анализ нормативных актов в области использования ИКТ органами государственной власти показывает, что на федеральном уровне отсутствует единое видение приоритетов информатизации государства, основные проекты реализуются в рамках отдельных федеральных и ведомственных программ и недостаточно увязаны между собой.
Российское законодательство в сфере использования современных информационных технологий в деятельности федеральных органов государственной власти характеризуется, с одной стороны, большим количеством нормативно-правовых актов разного уровня, к тому же слабо согласованных между собой, а с другой — несоответствием содержащихся в них норм реальным потребностям участников правоотношений. Изменения законодательной базы производились бессистемно, по инициативе различных ведомств в условиях отсутствия единой государственной политики.
Нормативная база, связанная с реализацией конституционных прав и свобод граждан при использовании современных технологий в деятельности федеральных органов власти, информационном взаимодействии граждан, общества и государства до сих пор в основном содержится в актах подзаконного характера, что обусловило ее противоречивость и фрагментарность. Ни на теоретическом, ни на нормативном уровне не определен характер и степень взаимодействия законодательства в информационной сфере и других отраслей права, в первую очередь гражданского.
3.1.2. Для упорядочения сложившейся ситуации необходимы:
• принятие единого нормативного акта, раскрывающего основные права граждан в области информации (включая порядок осуществления доступа к информации) и механизм их реализации;
• законодательная регламентация прав и обязанностей государственных органов при формировании государственных информационных ресурсов и обеспечения доступа граждан к соответствующим данным;
• выработка предметного перечня открытой информации, содержащейся в государственных информационных ресурсах;
• законодательное закрепление в едином нормативном акте принципов предоставления информации;
• формирование единого порядка информационного взаимодействия государственных органов с гражданами и организациями, использования электронных сообщений (документов) и информационных сетей при таком взаимодействии;
• систематизация и должная детализация регулирования института конфиденциальной информации;
• искоренение неоднозначности законодательного урегулирования соотношения вещных и исключительных прав на информационные объекты.
3.1.3. Требуется обеспечить немногочисленные нормы, регулирующие информационное взаимодействие граждан и органов государственной власти, которые включены в действующее законодательство, системой необходимых гарантий их исполнения — правовых, организационных, материально-технических. На сегодня эффективность таких нормативных правил весьма низка, механизм реализации прав граждан и организаций на доступ к информации фактически не существует.
3.1.4. Система действующих нормативных актов должна давать четкое представление о том, какое ведомство отвечает за реализацию практических мероприятий по информатизации системы государственного управления.
3.1.5. Основные проблемы в области охраны интеллектуальной собственности связаны с разрешением противоречий между возможностью свободного доступа к информации и защитой прав правообладателей. На текущий момент сформирована правовая база для регулирования правоотношений, связанных с использованием интеллектуальной собственности и информации как объекта гражданских прав. Однако на практике эти нормы не всегда правильно проецируются на вновь возникающие технологии, а судебная практика рассмотрения дел, связанных с компьютерными технологиями и формированием доказательственной базы, пока не сформировалась. Государство должно проконтролировать формирование правоприменительной практики в этой области.
3.1.6. В области регулирования средств защиты информации необходимо изжить необоснованно жесткий подход, выражающийся в лицензировании подавляющего большинства видов деятельности, связанных со средствами защиты информации и криптографии, а также в обязательной сертификации всех соответствующих программных и аппаратных средств.
3.1.7. С учетом необходимости информационной защиты критических объектов инфраструктуры требуется законодательно обеспечить решение вопросов о регламентации процедур доступа спецслужб к корпоративным сетям и порядке использования электронных средств в оперативно-розыскной работе.
3.1.8. Необходимо нормативно урегулировать порядок взаимодействия государства с научно-производственной сферой и бизнесом в области управления сферой информации и инноваций на основе ИКТ, с легализацией прав и обязанностей каждой стороны.
3.2. Информатизация органов государственной власти
3.2.1. Совершенствование нормативно-правового обеспечения информатизации органов государственной власти реализуется путем разработки и принятия законодательных и нормативных актов в следующих областях:
• регулирование институциональных аспектов
нормативно-правовые акты, регулирующие отношения институционального характера, в частности, законодательство о праве на информацию, об объектах интеллектуальной собственности в информационной сфере;
Федеральные законы «О развитии государственных информационных ресурсов», «Об объектах интеллектуальной собственности в информационной сфере», изменения в нормативных актах, связанных с законом «О связи»;
• регулирование инфраструктурных аспектов
нормативно-правовые акты, регулирующие информационную инфраструктуру, в частности, изменения в законодательство об электронной цифровой подписи, об основах информационной безопасности, о ФЦП «Электронная Россия», о федеральном бюджете — в части внесения статьи об информатизации в классификацию расходов бюджета; законодательство о развитии государственных информационных ресурсов, об информационных услугах;
• регулирование прикладных аспектов
нормативно-правовые акты, регулирующие создание и использование конкретных информационных систем, такие, как Закон «О государственном регистре населения Российской Федерации».
3.2.2. Для заполнения наиболее критичных пробелов в нормативном регулировании информационных правоотношений и приведения его в соответствие с международной практикой необходимо принять комплекс законодательных мер, заключающихся как во внесении дополнений и изменений в гражданское законодательство, так и в корректировке «профильных» законодательных актов в информационной сфере.
Применительно к Федеральному закону «Об участии в международном информационном обмене», на практике не работающему из-за заложенных в него фундаментальных юридических и организационно-технологических противоречий, необходимо принять решение либо о его отмене, либо о его полной переработке в направлении придания ему самостоятельного предмета регулирования и уточнения порядка использования международного информационного обмена в практике работы государственных органов и организаций.
3.2.3. Систематизация правовых норм, относящихся к использованию информационных технологий в органах власти, проведенная на уровне Гражданского кодекса и одного или нескольких «базовых» законов, должна быть распространена, в части последовательного введения единой терминологии и единых принципов регулирования, на иные профильные законы в области информационных правоотношений, включая законодательство о государственной, коммерческой и служебной тайне, а также о массовой информации. Должны быть исключены ситуации, когда одни и те же понятия вводятся, определяются и используются по-разному в различных актах федерального законодательства, либо формулируются некорректно (например, понятие «телекоммуникационные сети связи» в Налоговом кодексе и законодательстве о бухгалтерском учете).
3.2.4. В отношении обеспечения государственными органами конституционного прав граждан на информацию и применения в этих целях современных информационных технологий следует завершить работу над комплексом нормативных актов об «информационной открытости» (обеспечении прав граждан на информацию о деятельности органов государственной власти) и порядке использования информационных технологий во взаимоотношениях между государством, обществом и гражданами. В соответствии с Конституцией Российской Федерации должен быть законодательно установлен принцип открытости информации, с перечнем сведений, подлежащих обязательному размещению для открытого доступа на официальных сайтах органов власти в сети Интернет, и нормативно установленным порядком получения информации из государственных информационных ресурсов. Особое внимание при этом должно быть уделено скорейшему нормативному закреплению правил работы с персональными данными (федеральный закон «Об информации персонального характера») и использованию современных средств идентификации участников информационного обмена (включающих, но не ограничивающихся электронной цифровой подписью в терминах принятого в 2001 г. федерального закона «Об электронной цифровой подписи»).
Применительно к законодательству об использовании электронной цифровой подписи необходимо внести в действующий федеральный закон об ЭЦП изменения и дополнения, корректирующие порядок использования ЭЦП в отношениях между органами власти и гражданами, выведя из сферы законодательного регулирования использование ЭЦП хозяйствующими субъектами между собой (что подлежит регламентации в первую очередь договорами между ними) и использование ЭЦП внутри органов государственной власти (порядок которого должен быть определен подзаконными актами об электронном документообороте в госорганах).
Немаловажным в этом плане является также скорейшее принятие ФЗ о государственном регистре населения Российской Федерации.
3.2.5. Подлежит корректировке бюджетное законодательство (включая законодательство о бюджетной классификации) в части уточнения порядка выделения бюджетных средств на информатизацию деятельности органов власти и контроля за их расходованием.
В связи с этим должны быть также внесены изменения и дополнения в законодательство, регламентирующее порядок закупок товаров (услуг) для государственных нужд (включая предоставление возможности проведения конкурсов и заключения государственных контрактов с использованием электронных сообщений и информационно-телекоммуникационных каналов) и определяющее объем и порядок реализации прав государственных органов на информационные объекты, включая программные продукты и информационные системы (ресурсы), создаваемые на бюджетные средства (законодательство о правовой охране программ для ЭВМ и баз данных, об авторском и смежных правах и т.д.).
3.2.6. Отдельным направлением совершенствования законодательства по применению современных информационных технологий в органах государственной власти является обеспечение безопасности информации. Основным направлением работы в данной сфере должно стать приближение российского законодательства к мировым нормам. Необходимо вернуться к вопросу о разграничении правовых режимов использования средств защиты информации применительно к различному кругу лиц, использующих такие средства (государственные органы или коммерческие организации), сняв необоснованные административные ограничения на оборот криптографических и иных средств защиты информации (законодательство о лицензировании отдельных видов деятельности). Подлежат уточнению также правовые режимы различных видов информации с ограниченным доступом, в первую очередь служебной тайны, включая вопросы использования электронных сообщений (документов), содержащих сведения, относимые к конфиденциальной информации. Требуется нормативное закрепление порядка создания защищенных, а также общедоступных, информационных систем органов государственной власти и иных государственных организаций, с регламентацией хранения и обработки в них информации с различными категориями доступа.
3.2.7. Использование информационных технологий в органах государственной власти не должно создавать предпосылок для совершения противоправных действий, включая несанкционированный доступ к информационным системам, использование нелицензионного программного обеспечения, нарушение авторских прав на применяемые объекты интеллектуальной собственности, распространения незапрошенной информации (спама) и вредоносных программ (компьютерных вирусов), других правонарушений в информационной сфере и «компьютерных преступлений». В связи с этим основное внимание должно быть уделено разработке и принятию соответствующих подзаконных нормативных актов и внесению требующихся изменений в законодательство об административных правонарушениях, а также уголовное и процессуальное законодательство.
4. Информация как объект права
4.1. Интеллектуальная собственность и производство информации
4.1.1. Осуществление определенных в социально-экономическом разделе Программы структурных сдвигов сопряжено с эволюцией института собственности. Научное знание, информационные и коммуникационные технологии, информация в целом, должны играть принципиально новую роль в производстве товаров и услуг, а интеллектуальная собственность — исключительное право на использование продуктов творческого труда — стать важнейшим фактором производства; удельный вес виртуальной составляющей в структуре общественного капитала, должен существенно возрасти.
4.1.2. Легитимация исключительного права собственности на результаты интеллектуального труда, не имеющие вещной формы, порождает процессы индивидуализации значительной части «общественных товаров» (public goods) и приводит к расширению института частной собственности. При этом увеличение удельного веса виртуальной составляющей этого института (имущественные права на использование результатов интеллектуального труда) — представляет собой генеральную линию развития зрелых рыночных экономик и одно из важнейших условий перехода к информационному обществу. Институт интеллектуальной собственности является одновременно мощным и эффективным механизмом перераспределения общественного богатства в пользу работников, участвующих в производстве новых знаний, информационных продуктов и технологий.
4.1.3. Создание благоприятной общественной и правовой среды для созревания института интеллектуальной собственности должно стать одним из приоритетных направлений. Это предполагает меры по совершенствованию действующего законодательства в области авторского права и смежных прав, в том числе в отношении введения имущественного права юридических лиц на использование результатов интеллектуального труда, имеющего первостепенное значение в корпоративной экономике больших коллективов.
4.1.4. Для правового регулирования порядка работы с информацией (информационными ресурсами) разных видов и назначения важно выработать нормативное определение понятия «информационные ресурсы» применительно к различным видам субъектов.
При этом следует различать правовой статус субъектов, производящих информацию, и субъектов, обрабатывающих эти ресурсы на основе информационных технологий. Задачей законодательства является также установление правового режима информации с учетом ее систематизации и классификации по различным критериям в целях установления и обеспечения порядка ее дальнейшего распространения и использования.
4.1.5. Для урегулирования отношений, связанных с созданием информационного продукта (информации) конкретным субъектом или приобретением им этого продукта необходима выработка следующих законопроектов:
• ФЗ «Об объектах интеллектуальной собственности в информационной сфере», определяющий порядок защиты прав создателя интеллектуального продукта, имеющего форму информационного объекта (продукта, ресурса), а также порядок защиты самого объекта интеллектуальной собственности в процессе включения данной информации в системы коммуникации и пользования. Этот же закон должен урегулировать проблемы государственного заказа на создание продукции интеллектуального творчества.
• ФЗ «Об управлении федеральными информационными ресурсами», регулирующий отношения в области формирования информационных ресурсов и оформления их правового режима в соответствии с основами, установленными ФЗ «Об информации, информатизации и защите информации». Все категории информации по доступу должны получить внятное правовое регулирование с учетом характеристики их открытости и необходимых ограничений в интересах государства, гражданина, общества.
• ФЗ «О документировании информации и документообороте в условиях информатизации», решающий проблемы, связанные с электронным документом и введением его в практику деловых, личных и других общественных отношений. Этот акт может позволить исправить недоработки, допущенные в ходе подготовки и принятия ФЗ «Об электронной цифровой подписи».
4.1.6. Применительно к «базовому» законодательному акту в области информационного законодательства — Федеральному закону «Об информации, информатизации и защите информации» необходимо либо заменить его рядом отдельных законодательных актов с самостоятельными предметами регулирования (информация как объект гражданских прав; государственные информационные ресурсы; информационная безопасность), либо полностью переработать его в направлении устранения терминологических противоречий, приведения в соответствие с Гражданским кодексом Российской Федерации и, в частности, более точного определения правового режима государственных информационных ресурсов и использования государственных информационных систем. Подлежат обязательному уточнению объем и содержание правовых понятий «информация», «информационный ресурс», «информационная система», «электронный документ», «электронное сообщение»; порядок закрепления прав на информацию (информационный ресурс); должны быть устранены коллизии в объектах регулирования законодательных актов, принятых (или принимаемых) в отношении информации с ограниченным доступом.
4.1.7. Применительно к Гражданскому кодексу Российской Федерации требуется в кратчайшие сроки завершить работу над Частью ГК, регулирующей исключительные права на объекты интеллектуальной деятельности (интеллектуальную собственность), при необходимости внеся уточняющие корректировки в положения ГК об информации как отдельном объекте гражданских прав, о коммерческой и служебной тайне.
4.1.8. В развитие вышеназванных актов необходима разработка ряда более конкретных законов, устанавливающих порядок формирования и дальнейшего использования информации, относящейся к персональным данным, к служебной и деловой информации, к коммерческой тайне и другим категориям информации по признакам ограничения доступа.
4.1.9. Одновременно требуется принятие законов по видам информации, структурируемым по предметным областям ее создания (производства), и в первую очередь:
• о научно-технической информации;
• о статистической информации;
• об учетно-регистрационных источниках информационных ресурсов (регистрах, кадастрах, реестрах и т. п.).
4.2. Распространение и использование информации
4.2.1. В основу правового регулирования процессов распространения и использования информации должны быть положены установки на:
• гуманизацию всех процессов информатизации;
• экономичность использования ресурсов ИКТ в процессе информатизации;
• максимальную стандартизацию, унификацию нормативного регулирования;
• повышение правовой культуры специалистов в области ИКТ.
4.2.2. Предполагается разработать и принять следующие акты:
• ФЗ «О праве на информацию» как базовый законодательный акт;
• ФЗ «О формах распространения информации», определяющий порядок предоставления (получения) информации по модели «одного окна», организации справочно-консультационных структур для предоставления информации пользователям разного правового статуса;
• ФЗ «Об информационных услугах», регулирующий вопросы о видах услуг, условиях их оказания, субъектах, осуществляющих деятельность в этой форме, вопросы о тарифах, разрешении споров, ответственности сторон и т. д.;
• специальные акты, регулирующие порядок организации распространения информации через Интернет и другие виды сетей (предметом регулирования являются отношения по организации таких форм распространения информации, как сайты, порталы, электронные СМИ, электронные библиотеки и т. п.) и обеспечивающие защиту личности от незаконных информационных вторжений в частную жизнь;
• нормативные акты о безопасности информационного обслуживания пользователей информационными источниками и средствами распространения информации.
Эти законодательные акты регулируют права и ответственность субъектов, от которых зависит организация предоставления информации в общедоступной форме (см. подробнее VI; 3). В их рамках решается вопрос о различных видах посредников и их правовом статусе. Предметом регулирования служат информационные ресурсы открытого типа: официальная, правовая информация, просветительская, культурная, развлекательная информация; специальное внимание должно быть уделено вопросу о вредной информации.
4.2.3. Выделяются три самостоятельных области правового регулирования процессов использования информационных ресурсов:
• органов исполнительной власти и местного самоуправления;
• электронной (дистанционной) торговли;
• государственных и частных учреждений образования, здравоохранения и культуры.
4.2.4. Публичные услуги по доступу граждан к информационным системам органов исполнительной власти и местного самоуправления должны быть урегулированы нормативно на уровне федерального закона и на уровне законов субъектов РФ, а также актами органов местного самоуправления.
4.2.5. В связи с информатизацией системы управления особое внимание следует уделить проблеме организации и упорядочения системы законодательства. Решение проблем, связанных с усовершенствованием формирования, агрегирования и использования правовой информации возможно только на основе ИКТ и соответствующих правовых решений.
4.2.6. В рамках дальнейшей работы по координации процесса информатизации необходима разработка теории и методов регулирования публичных услуг, публичных договоров в области информационного обслуживания потребностей населения, органов государственной власти и местного самоуправления