В России в области обеспечения информационной безопасности действует Доктрина, представляющая совокупность официальных взглядов на ситуацию с угрозами информационной безопасности в современном мире в целом и отдельные законы и подзаконные нормативные акты, которые концентрируются на конкретных аспектах общей системы. Изучая существующие меры безопасности, необходимо понимать, не только от каких угроз необходимо защищаться, но и кто или что подлежит защите. В зависимости от нормативного акта, объекты, требующие обеспечения информационной безопасности, могут несущественно различаться.
Система информационной безопасности
Доктрина информационной безопасности РФ, утвержденная Указом президента в 2016 году, призвана минимизировать или исключить вред, причиненный интересам личности, общества и государства угрозами, существующими в информационном поле, как технологическими, так и идеологическими. Органы государственного управления ставят своей целью не только обеспечение информационной безопасности государства в части обороны, внутренней и внешней политики, но и заботу о защите от посягательств на интересы граждан и бизнеса.
Виды угроз
Разработчики документа не ранжируют угрозы в зависимости от того, направлены они против личности или против порядка государственного управления, а просто называют их. Национальные интересы являются приоритетными, но при этом доктрина уделяет существенное внимание и защите интересов личности, гражданского общества, бизнеса. Среди основных можно назвать угрозы:
- обороноспособности;
- государственной целостности;
- порядку управления;
- международному имиджу России, деятельности отечественных СМИ за рубежом;
- критически важным объектам информационной инфраструктуры;
- кредитно-финансовой сфере.
Кроме того, технологическая слабость страны, невысокое качество или отсутствие национальных разработок в области информационной безопасности, зависимость от систем связи или коммуникаций, управляемых на международном уровне, являются самостоятельными угрозами. При направлении усилий стратегическим противником в эту сторону целью может стать и бизнес, который потеряет возможность управлять своими промышленными объектами или проводить платежи в случае отключения сети Интернет.
Сферы защиты
Опасность направленного информационного воздействия на объекты защиты, по мнению разработчиков доктрины, связана не только с возможностью повлиять на объекты инфраструктуры или системы платежей, взломать сайт государственной организации или вмешаться через Сеть в работу систем жизнеобеспечения города или всего государства. Существенная опасность связана с информационным воздействием на нематериальные ценности, такие как имидж России на международной арене, суверенитет, понятие о нерушимости государственной целостности, общие понятия о нравственности. Нацеленное информационное воздействие на эти сферы способно подорвать внутреннюю стабильность, привести к беспорядкам.
Обеспечение информационной безопасности нематериальных объектов касается не только государства. Касательно гражданина или бизнеса риски могут возникнуть в части вовлечения детей в деструктивные культы, организации погромов торговых точек, протестов против строительства значимых для экономики объектов. При этом субъектами информационного влияния на сознание граждан, не подготовленных к защите против направленного воздействия, становятся экстремистские, религиозные, этнические, правозащитные организации. Государственная концепция разъяснения гражданам принципов информационной безопасности, умения разделять истинные новости и специально сгенерированные в деструктивных целях фейки, пока не разработана.
В концепции обеспечения информационной безопасности выделяются следующие сферы защиты:
- экономическая сфера, включая денежно-кредитную и рынок ценных бумаг. Направленное информационное воздействие может влиять на репутацию банка или курс ценных бумаг;
- внешнеполитическая. Интересы России на международной арене ущемляются за счет направленного ухудшения ее имиджа;
- внутриполитическая. Вопросы информационной безопасности связаны в основном с недопущением сепаратизма, экстремизма, национальной розни;
- область образования, науки, технологий. Информационные атаки могут привести и к миграции ученых за рубеж и снижению репутации российских научных институтов в мире;
- духовная. Ситуация с попыткой создания Украинской автокефальной церкви показывает, насколько важно для стратегического противника информационное доминирование и в этой сфере;
- судебная и правоохранительная.
Интересно, что изложенные в Доктрине постулаты в области обеспечения информационной безопасности России не полностью коррелируют с теми, которые изложены в принятой чуть позже Стратегии национальной безопасности, также рассматривающей вопросы защиты от информационных угроз. Однако в целом направления защиты по сферам и объектам совпадают.
Объекты-лица
Концепция обеспечения информационной безопасности, называет основные сферы общественной и политической жизни, в которых возможно причинение ущерба действиями внутренних агентов или правительствами иностранных государств, международными террористическими организациями. Документ предполагает, что ущерб наносится законным правам, свободам или интересам тех или иных субъектов. Конкретные субъекты в доктрине прямо не названы, использовано общее упоминание личности, общества и государства, но на практике выделяются следующие лица и организации, чьим интересам может быть причинен вред направленным информационным воздействием и которые подлежат защите:
- Россия как государство;
- органы государственной власти, действующие на внешнеполитической и внутриполитической арене, дипломатические и консульские представительства, такие организации, как «Русский Мир»;
- субъекты федерации, муниципальные органы;
- отечественные СМИ, информационные агентства, телеканалы;
- российские бизнес-структуры, в том числе работающие или размещающие ценные бумаги на иностранных организованных рынках;
- общественные организации, включая церковь;
- граждане. Здесь отдельно можно выделить должностных лиц и судей, чья репутация неотделима от репутации государства.
Степень вреда, причиненного интересам субъектов, может разниться, но направленная информационная атака способна обвалить курс акций на несколько миллиардов, и сорвать выборы в муниципальном образовании. Степень защиты в каждом случае будет разной, но осознание существенности информационных угроз помогает обезопасить от них государство и общество. Проблемой может стать то, что оппонировать угрозам приходится только в информационном поле, противопоставляя свои аргументы и возражения чужим, выявляя некорректные сведения или затрудняя распространение ложной информации.
Объекты – предметы и явления
Помимо лиц, информационные атаки могут быть направлены на определенные объекты и явления. Здесь обеспечение информационной безопасности будет достигнуто легче, так как оптимальная защита может достигаться не только информационным противодействием, но и объективно реализованной системой технических мер. В качестве материальных объектов называются:
- помещения, в которых размещается оборудование систем информационной безопасности, находятся серверы, в том числе банковские, хранятся данные на бумажных носителях. Степень защиты таких помещений, в зависимости от класса охраняемых информационных массивов, определяется нормативными актами ФСБ РФ и ВСТЭК РФ;
- серверы и информационные массивы органов государственной власти и управления;
- НИИ и организации разработчиков, обеспечивающих проведение исследований в области информационной безопасности;
- информационно-телекоммуникационные сети и системы;
- массивы конфиденциальных сведений;
- информационные технологии, как имеющиеся в распоряжении предприятия, так и вновь разрабатываемые;
- системы обеспечения информационной безопасности;
- системы управления производственными объектами;
- банковские системы.
В области защиты этих объектов государство устанавливает стандарты технологического и программного оснащения, которое должно исключить возможность любого несанкционированного вмешательства, нарушения их независимости и целостности. Закон отдельно называет объекты критической информационной инфраструктуры, относительно которых установлен особый режим защиты и определены специальные средства защиты информации. Им присваивается категория защищенности, такие объекты вносятся в государственный реестр. При определении категории учитывается политическая, экономическая и экологическая значимость.
Обеспечение информационной безопасности различных объектов является совместной задачей государственных органов, бизнеса и граждан. Заинтересованность каждого в обеспечении собственной защиты важна для функционирования общей системы.