В России в области обеспечения информационной безопасности действует Доктрина, представляющая совокупность официальных взглядов на ситуацию с угрозами информационной безопасности в современном мире в целом и отдельные законы и подзаконные нормативные акты, которые концентрируются на конкретных аспектах общей системы. Изучая существующие меры безопасности, необходимо понимать, не только от каких угроз необходимо защищаться, но и кто или что подлежит защите. В зависимости от нормативного акта, объекты, требующие обеспечения информационной безопасности, могут несущественно различаться.

Система информационной безопасности

Доктрина информационной безопасности РФ, утвержденная Указом президента в 2016 году, призвана минимизировать или исключить вред, причиненный интересам личности, общества и государства угрозами, существующими в информационном поле, как технологическими, так и идеологическими. Органы государственного управления ставят своей целью не только обеспечение информационной безопасности государства в части обороны, внутренней и внешней политики, но и заботу о защите от посягательств на интересы граждан и бизнеса.

Виды угроз

Разработчики документа не ранжируют угрозы в зависимости от того, направлены они против личности или против порядка государственного управления, а просто называют их. Национальные интересы являются приоритетными, но при этом доктрина уделяет существенное внимание и защите интересов личности, гражданского общества, бизнеса. Среди основных можно назвать угрозы:

• обороноспособности;
• государственной целостности;
• порядку управления;
• международному имиджу России, деятельности отечественных СМИ за рубежом;
• критически важным объектам информационной инфраструктуры;
• кредитно-финансовой сфере.

Кроме того, технологическая слабость страны, невысокое качество или отсутствие национальных разработок в области информационной безопасности, зависимость от систем связи или коммуникаций, управляемых на международном уровне, являются самостоятельными угрозами. При направлении усилий стратегическим противником в эту сторону целью может стать и бизнес, который потеряет возможность управлять своими промышленными объектами или проводить платежи в случае отключения сети Интернет.

Сферы защиты

Опасность направленного информационного воздействия на объекты защиты, по мнению разработчиков доктрины, связана не только с возможностью повлиять на объекты инфраструктуры или системы платежей, взломать сайт государственной организации или вмешаться через Сеть в работу систем жизнеобеспечения города или всего государства. Существенная опасность связана с информационным воздействием на нематериальные ценности, такие как имидж России на международной арене, суверенитет, понятие о нерушимости государственной целостности, общие понятия о нравственности. Нацеленное информационное воздействие на эти сферы способно подорвать внутреннюю стабильность, привести к беспорядкам.

Обеспечение информационной безопасности нематериальных объектов касается не только государства. Касательно гражданина или бизнеса риски могут возникнуть в части вовлечения детей в деструктивные культы, организации погромов торговых точек, протестов против строительства значимых для экономики объектов. При этом субъектами информационного влияния на сознание граждан, не подготовленных к защите против направленного воздействия, становятся экстремистские, религиозные, этнические, правозащитные организации. Государственная концепция разъяснения гражданам принципов информационной безопасности, умения разделять истинные новости и специально сгенерированные в деструктивных целях фейки, пока не разработана.

В концепции обеспечения информационной безопасности выделяются следующие сферы защиты:

• экономическая сфера, включая денежно-кредитную и рынок ценных бумаг. Направленное информационное воздействие может влиять на репутацию банка или курс ценных бумаг;
• внешнеполитическая. Интересы России на международной арене ущемляются за счет направленного ухудшения ее имиджа;
• внутриполитическая. Вопросы информационной безопасности связаны в основном с недопущением сепаратизма, экстремизма, национальной розни;
• область образования, науки, технологий. Информационные атаки могут привести и к миграции ученых за рубеж и снижению репутации российских научных институтов в мире;
• духовная. Ситуация с попыткой создания Украинской автокефальной церкви показывает, насколько важно для стратегического противника информационное доминирование и в этой сфере;
• судебная и правоохранительная.

Интересно, что изложенные в Доктрине постулаты в области обеспечения информационной безопасности России не полностью коррелируют с теми, которые изложены в принятой чуть позже Стратегии национальной безопасности, также рассматривающей вопросы защиты от информационных угроз. Однако в целом направления защиты по сферам и объектам совпадают.

Объекты-лица

Концепция обеспечения информационной безопасности, называет основные сферы общественной и политической жизни, в которых возможно причинение ущерба действиями внутренних агентов или правительствами иностранных государств, международными террористическими организациями.  Документ предполагает, что ущерб наносится законным правам, свободам или интересам тех или иных субъектов. Конкретные субъекты в доктрине прямо не названы, использовано общее упоминание личности, общества и государства, но на практике выделяются следующие лица и организации, чьим интересам может быть причинен вред направленным информационным воздействием и которые подлежат защите: 

• Россия как государство;
• органы государственной власти, действующие на внешнеполитической и внутриполитической арене, дипломатические и консульские представительства, такие организации, как «Русский Мир»;
• субъекты федерации, муниципальные органы;
• отечественные СМИ, информационные агентства, телеканалы;
• российские бизнес-структуры, в том числе работающие или размещающие ценные бумаги на иностранных организованных рынках;
• общественные организации, включая церковь;
• граждане. Здесь отдельно можно выделить должностных лиц и судей, чья репутация неотделима от репутации государства.

Степень вреда, причиненного интересам субъектов, может разниться, но направленная информационная атака способна обвалить курс акций на несколько миллиардов, и сорвать выборы в муниципальном образовании. Степень защиты в каждом случае будет разной, но осознание существенности информационных угроз помогает обезопасить от них государство и общество. Проблемой может стать то, что оппонировать угрозам приходится только в информационном поле, противопоставляя свои аргументы и возражения чужим, выявляя некорректные сведения или затрудняя распространение ложной информации.  

Объекты – предметы и явления

Помимо лиц, информационные атаки могут быть направлены на определенные объекты и явления. Здесь обеспечение информационной безопасности будет достигнуто легче, так как оптимальная защита может достигаться не только информационным противодействием, но и объективно реализованной системой технических мер. В качестве материальных объектов называются:

• помещения, в которых размещается оборудование систем информационной безопасности, находятся серверы, в том числе банковские, хранятся данные на бумажных носителях. Степень защиты таких помещений, в зависимости от класса охраняемых информационных массивов, определяется нормативными актами ФСБ РФ и ВСТЭК РФ;
• серверы и информационные массивы органов государственной власти и управления;
• НИИ и организации разработчиков, обеспечивающих проведение исследований в области информационной безопасности;
• информационно-телекоммуникационные сети и системы;
• массивы конфиденциальных сведений;
• информационные технологии, как имеющиеся в распоряжении предприятия, так и вновь разрабатываемые;
• системы обеспечения информационной безопасности;
• системы управления производственными объектами;
• банковские системы.

В области защиты этих объектов государство устанавливает стандарты технологического и программного оснащения, которое должно исключить возможность любого несанкционированного вмешательства, нарушения их независимости и целостности. Закон отдельно называет объекты критической информационной инфраструктуры, относительно которых установлен особый режим защиты и определены специальные средства защиты информации. Им присваивается категория защищенности, такие объекты вносятся в государственный реестр. При определении категории учитывается политическая, экономическая и экологическая значимость.

Обеспечение информационной безопасности различных объектов является совместной задачей государственных органов, бизнеса и граждан. Заинтересованность каждого в обеспечении собственной защиты важна для функционирования общей системы.