Приложение 1 к Решению №50/21-7

Приложение 1 к Решению №50/21-7
(2-я редакция)
Проект
Аналитический доклад
Совету глав правительств СНГ о текущем состоянии,
проблемах и первоочередных задачах обеспечения информационной
безопасности СНГ
1. Общие положения
В настоящее время эффективное информационное взаимодействие невозможно
представить без использования информационных технологий, телекоммуникационных
систем и соответствующих технических средств.
Мировое сообщество вступило в информационную стадию своего развития, которая
характеризуется доминированием информации и знаний в функционировании и развитии
различных сфер общественной жизни. Этот период развития характеризуется
лавинообразным ростом объемов производимой информации, ее активным использованием в
различных сферах деятельности и созданием на базе широкого внедрения компьютеров и
телекоммуникаций современной информационно-коммуникационной инфраструктуры,
включая глобальную сеть Интернет.
Интенсивное развитие современных информационных технологий, все более широкое
их использование во всех сферах государственной и общественной деятельности придает
особую актуальность задаче постоянного совершенствования системы защиты общих
информационных ресурсов государств – участников СНГ.
При этом очевидными стали факторы, повышающие необходимость комплексного
подхода к защите информации.
Во-первых, это значительная информатизация всех сфер жизнедеятельности общества
и государства:
с одной стороны – активное внедрение средств информационных технологий и
коммуникационной техники в системы государственного управления, экономику, оборону,
банки и частную жизнь;
с другой стороны – формирование и развитие на базе средств информатизации
больших массивов информационных ресурсов, которые приобрели характер
фундаментальной составляющей экономической, политической и военной стабильности
государства.
Общие информационные ресурсы государств – участников СНГ представляют собой
систему организационно, методически и технологически взаимоувязанных национальных
информационных ресурсов, создаваемых каждым государством на собственные средства, в
своих собственных интересах и в интересах обмена данными между государствами –
участниками, в том числе на условиях совместного использования.
Во-вторых, это требование современного законодательства, учитывающего мировой
опыт, и формирующего правовой институт защиты определенных сведений
(государственная, служебная, коммерческая тайны, персональные данные и др.), и
призванного защищать интересы личности и государства в информационной сфере.
Как следствие этих двух факторов – лавинообразный рост числа вызовов государству
и обществу в информационной сфере, обусловленных как вышеуказанными причинами, так
и множественными внутренними и внешними факторами.
Государства – участники СНГ совершенно не случайно уделяют пристальное
внимание вопросам защиты информации. Последние годы характеризуются стремительным
ростом числа трансграничных информационных систем, которые используются и
государственными организациями государств – участников СНГ, и их хозяйствующими
субъектами для обмена электронными документами и оказания электронных услуг.
2
Проблема заключается в создании доверенной инфраструктуры, содержащей центры
доверенных сервисов, используемых информационными системами (ИС), юридическими и
физическими лицами при трансграничном взаимодействии.
Задачи по защите информации необходимо решать в тесной координации
уполномоченных государственных органов и специалистов государств – участников СНГ. В
этих целях в государствах – участниках СНГ осуществляется дальнейшее сближение
законодательства, ведется отработка механизмов лицензирования и сертификации в области
защиты информации, а также налаживается тесное сотрудничество в сфере подготовки
кадров. Работа по указанным направлениям носит комплексный характер и осуществляться в
ходе реализации межправительственных соглашений, совместных программ и мероприятий.
В настоящее время в сфере информационной безопасности деятельность государств –
участников СНГ концентрируется в рамках Стратегии сотрудничества государств –
участников СНГ в построении и развитии информационного общества и Плана действий по
ее реализации на период до 2015 года (Раздел 5. «Обеспечение информационной
безопасности») от 28.09.2012, а также Соглашения о сотрудничестве государств –
участников Содружества Независимых Государств в области обеспечения информационной
безопасности от 20.11.2013.
В рамках указанных документов предусмотрены мероприятия, направленные на
решение задач по предупреждению и нейтрализации угроз безопасности информации в
критически важных системах информационной инфраструктуры и созданию необходимых
научно-технических и нормативно-методических условий для реализации мер по защите
информации ограниченного доступа при использовании высоких технологий её обработки.
Реализация вышеназванных документов будет способствовать повышению
информационной безопасности заинтересованных государств – участников СНГ, их
социально-экономическому развитию на основе объединения интеллектуальных и
материальных потенциалов.
Важная роль в содействии выполнению раздела «Обеспечение информационной
безопасности» Стратегии сотрудничества государств – участников СНГ в построении и
развитии информационного общества и Плана действий по ее реализации на период
до 2015 года принадлежит базовой организации государств – участников Содружества
Независимых Государств по методическому и организационно-техническому обеспечению
работ в области информационной безопасности и подготовке специалистов в этой сфере
(далее – Базовая организация по ИБ).
Решением Совета глав правительств СНГ от 30 мая 2012 года статус Базовая
организация по ИБ придан федеральному государственному унитарному предприятию
«Всероссийский научно-исследовательский институт проблем вычислительной техники и
информатизации»
Базовая организация по ИБ провела определенную работу, направленную на
организационное и научно-методическое обеспечение органов государственной
(исполнительной) власти, осуществляющих функции по выработке и реализации
государственной политики и нормативно-правовому регулированию в сфере
информационных технологий и информационной безопасности в государствах – участниках
СНГ.
Проблема обеспечения информационной безопасности государств – участников СНГ
имеет комплексный характер. Ее решение связано с необходимостью сочетания
законодательных, организационных мер, дальнейшим объединением научно-технического и
экономического
потенциала
заинтересованных
государств – участников
СНГ,
использованием имеющихся в их арсенале и разработкой новых наиболее эффективных
подходов, способов и средств защиты информации.
2. Развитие
информационно-коммуникационной
инфраструктуры
и
обеспечения информационной безопасности в государствах – участниках СНГ
3
2.1 Республика Армения
В Республике Армения осуществляются меры, направленные на дальнейшую
модернизацию информационно-коммуникационной инфраструктуры государства, раскрытие
потенциала индустрии информационных и инновационных технологий. Совершенствуется
государственная политика в области развития ИКТ, доступности Интернета, обеспечения
информационной безопасности.
Концепция информационной безопасности Республики Армения, принятая в 2009
году, определяет национальные интересы в сфере информационной безопасности, угрозы
этим интересам, содержит основные положения государственной политики по обеспечению
информационной безопасности, виды и источники угроз информационной безопасности,
определяет основные задачи и методы их обеспечения, включает первоочередные
мероприятия.
Правительство Республики Армения 28 августа 2008 года одобрило Концепцию
развития сферы информационных технологий. Основной целью Концепции является
определение перспектив и направлений развития информационных технологий и
информационного общества. В Концепции проанализированы основные вызовы и проблемы
на этом пути и предложены стратегические подходы для их преодоления, определены
основные этапы развития информационной сферы.
В документе приведен ряд целевых показателей, предусматривающих их достижение
к 2018 году. В частности, планируется довести объем доходов сферы информационных
технологий до 1 млрд долларов США в 2018 году, увеличить объемы экспорта до 700 млн
долларов США, увеличить количество ИT-компаний до 1000, в том числе с иностранным
капиталом – до 200, а число рабочих мест – до 20000.
Предусмотрено довести оснащенность компьютерной техникой государственных
органов и образовательных учреждений до 100 %, а домашних хозяйств – до 50–70 %.
Доступность Интернета для населения увеличить до 90 %, инвестирование венчурного
капитала планируется довести до 700 млн долларов США, а количество технопарков и
инкубаторов увеличить до 10–30 ед.
Государственным органом, определяющим государственную политику в области
информационной безопасности, является Совет национальной безопасности Республики
Армения, который возглавляет Президент Республики Армения.
Служба национальной безопасности при Правительстве Республики Армения
определена уполномоченным и национальным координирующим органом в сфере
обеспечения информационной безопасности Решением Правительства Республики Армения
от 03 марта 2011 года № 185-A.
При Премьер-министре Республики Армения действует Совет по содействию
развитию информационных технологий.
Органом исполнительной власти, осуществляющим функции по выработке и
реализации государственной политики и нормативно-правовому регулированию в сфере
информационных технологий является Министерство экономики Республики Армения.
Общественной организацией, координирующей деятельность компаний сферы
информационных технологий, является Союз предприятий информационных технологий,
целью которого является защита экономических интересов компаний данной отрасли,
стимулирование развития бизнеса, поощрение исследований в сфере ИКТ.
По решению Правительства Республики Армения в апреле 2009 года при Службе
национальной безопасности создан специальный узел, который посредством серверов
подключен к основным национальным провайдерам. Благодаря этому отслеживаются и
предотвращаются не только попытки хакерских взломов, но и проникновения разного рода
вирусов и нежелательных программ.
В рамках Концепции «Образования электронного общества в Республике Армения»,
принятой Решением Правительства Республики Армения от 25 февраля 2010 года,
планируется создание Государственного органа по обеспечению информационной
4
безопасности, в составе которого предусматривается формирование Национальной группы
быстрого реагирования на компьютерные инциденты.
Одним из актуальных вопросов является создание отдельного учебного центра по
подготовке высококвалифицированных специалистов в области ИКТ и информационной
безопасности.
Реализация правительством Концепции развития сферы информационных технологий
будет содействовать внедрению информационных и телекоммуникационных технологий в
различных сферах экономики, обеспечит представление новейших и инновационных
программных и технологических решений для автоматизации бизнеса, стимулирование
развития различных сфер предпринимательства посредством внедрения современных
технологий.
С развитием Интернета и повышением уровня информатизации органов
государственной власти, региональных и местных органов, кредитно-финансовой сферы,
промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта
граждан приобретают все большую актуальность вопросы обеспечения информационной
безопасности.
26 декабря 2013 года Правительством Республики Армения было утверждено
«Решение об утверждении стандартных требований к официальным страницам органов
государственного управления в сети Интернет», которая содержит следующие основные
тезисы:
Официальные сайты размещаются на серверах государственных органов или
интернет-провайдеров в зоне безопасности с помощью специальных защищенных узлов или
на серверах службы национальной безопасности.
Официальные сайты начинают действовать только после проверок на безопасность и
разрешения Службы национальной безопасности.
На серверах, где размещены официальные сайты государственных органов, не
должны быть размещены сайты иных организаций или физических лиц, или других систем
электронных услуг.
14 августа 2014 года протокольным решением Правительства Республики Армения
были утверждены «Принципы управления Интернетом», при помощи которых будут
реализованы следующие основные задачи:
- разработка основных принципов управления Интернетом;
- формирование политики управления Интернетом;
- государственная поддержка вопросов развития надежности и безопасности сетей;
- содействие сотрудничеству в области управления Интернетом межгосударственных,
международных, региональных и других организаций.
В рамках сотрудничества государств Содружества в области обеспечения
информационной безопасности со стороны Республики Армения (письмо директора Службы
национальной безопасности Республики Армении Г.Г. Акопяна № 2/4/3-844 от 21.08.14)
предлагается:
- обеспечить сближение законодательных баз государств – участников СНГ в сфере
информационной безопасности;
- изучить опыт государств – участников СНГ по созданию и функционированию
Национальных групп быстрого реагирования на компьютерные инциденты;
- обеспечить переподготовку специалистов, работающих в сфере информационной
безопасности, а также оперативных сотрудников подразделений по борьбе с
киберпреступностью.
Правовое регулирование обеспечения информационной безопасности в Республике
Армения осуществляется на основании следующих нормативных правовых актов:
- Закон Республики Армения «О Государственной и служебной тайне»;
- Закон Республики Армения «О свободе информации»;
- Закон Республики Армения «О персональных данных»;
5
- Закон Республики Армения «Об электронном документе и электронной цифровой
подписи»;
- Закон Республики Армения «Об электронной связи»;
- Закон Республики Армения «Об органах национальной безопасности»;
- Закон Республики Армения «Об актах гражданского состояния»;
- Закон Республики Армения «Об архивном деле»;
- Уголовный кодекс Республики Армения;
- Гражданский кодекс Республики Армения;
- Указание Президента Республики Армения от 26 июня 2009 года № НК-97 об
утверждении Концепции «Информационной безопасности Республики Армения»;
- Решение Национального собрания Республики Армения от 27 февраля 2012 года о
ратификации «Конвенции о защите частных лиц в отношении автоматизированной
обработки данных личного характера»;
- Решение Национального собрания Республики Армения от 21 марта 2006 года
о ратификации «Конвенции по борьбе с киберпреступностью Европейского союза».
2.2 Республика Беларусь
В Республике Беларусь Национальная программа ускоренного развития услуг в сфере
информационно-коммуникационных технологий (ИКТ) на 2011 – 2015 годы (далее –
Национальная программа) утверждена постановлением Совета Министров Республики
Беларусь от 28 марта 2011 года № 384.
Целью Национальной программы является создание условий для ускоренного
развития услуг в области информационных технологий, содействующих развитию
информационного общества на инновационной основе и способствующих повышению
качества и эффективности информационных отношений населения, бизнеса и государства.
В соответствии с Национальной программой реализуется комплекс мероприятий,
результатом которых является формирование и развитие базовых компонентов
инфраструктуры электронного правительства, необходимых для развития государственной
системы оказания электронных услуг организациям и гражданам.
Национальная программа включает девять подпрограмм, одной из которых является
«Безопасность ИКТ и цифровое доверие».
В рамках указанной подпрограммы выполнены НИОКР по 5 мероприятиям, в
результате которых разработаны:
- национальная защищенная информационно-аналитическая система для поддержки
принятия решений (обеспечения деятельности) персоналом государственных органов;
- модель угроз применения не декларированных функций и закладных устройств в
технических средствах, используемых для обработки информации, содержащей
конфиденциальные сведения;
- требования и комплект типовых документов политики безопасности для
государственных информационных систем;
- учебно-методическое и программно-техническое обеспечение оценки соответствия
профессиональной компетентности персонала в выполнении работ и услуг по защите
информации;
- создан программно-аппаратный комплекс анализа высокоскоростных сетевых
потоков для оперативно-розыскной деятельности.
В структуре РУП «Национальный центр электронных услуг» запущен
республиканский удостоверяющий центр государственной системы управления открытыми
ключами проверки электронной цифровой подписи, который будет выпускать единый ключ
для работы со всеми государственными органами.
В Концепции национальной безопасности (далее – Концепция), утвержденной Указом
Президента Республики Беларусь от 9 ноября 2010 года № 575, определены национальные
интересы в информационной сфере, внутренние и внешние источники угроз
информационной безопасности.
6
Приоритетным направлением, согласно Концепции, является совершенствование
нормативной правовой базы обеспечения информационной безопасности и завершение
формирования комплексной государственной системы ее обеспечения, в том числе путем
оптимизации механизмов государственного регулирования деятельности в этой сфере.
Активно продолжится разработка и внедрение современных методов и средств
защиты информации в информационных системах, используемых в инфраструктуре,
являющейся жизненно важной для страны, отказ или разрушение которой может оказать
существенное отрицательное воздействие на национальную безопасность.
Постановление Совета Министров Республики Беларусь от 26 мая 2009 года № 675
«О некоторых вопросах защиты информации» регулирует основные принципы создания
систем защиты информации в государственных информационных системах и системах,
содержащих информацию, распространение которой ограничено.
Согласно указанному Постановлению, все действия по созданию, хранению, передаче
информации в указанных системах должны производиться с сертифицированными или
прошедшими государственную экспертизу средствами защиты информации.
Этапы создания системы защиты информации включают:
- классификацию и категорирование информации;
- анализ структуры организации и порядка обработки информации в ней и
определение класса объекта информатизации, к которой она (организация) относится
(в соответствии с СТБ 34.101.30-2007);
- разработку политики безопасности организации;
- разработку задания по безопасности для данной информационной системы;
- реализацию требований задания;
- аттестацию информационной системы по безопасности;
- ввод защищенной информационной системы в эксплуатацию.
Данное Постановление является основным комплексным нормативным правовым
актом, законодательно обеспечивающим деятельность по обеспечению безопасности и
защите информации в государственных информационных системах.
Развитие системы информационной безопасности, обеспечивающей правовое и
безопасное использование ИКТ, укрепление доверия, обеспечение условий для безопасного
оказания и получения электронных услуг осуществляется в рамках подпрограммы
«Безопасность информационно-коммуникационных технологий и цифровое доверие»
Национальной программы.
Основной целью указанной подпрограммы является развитие системы
информационной безопасности, обеспечивающей правовое и безопасное использование
ИКТ, укрепление доверия, обеспечение условий для безопасного оказания и получения
электронных услуг.
Поставленная цель достигается решением следующих задач:
- разработка методологии аудита безопасности информационных систем;
- разработка комплекта типовых документов политики безопасности для
государственных информационных систем;
- создание системы оценки соответствия профессиональной компетентности
персонала в выполнении работ, услуг в области защиты информации;
- обеспечение государственных органов информационно-аналитической системой для
поддержки принятия решений.
Выполнение данных задач позволит свести к минимуму возможность
злоупотребления персональной и иной конфиденциальной информацией, расширить сферу
использования электронного документооборота, обеспечить возможность ведения
электронной торговли, предоставления электронных услуг, широкомасштабного внедрения
систем электронных платежей.
Подпрограмма насчитывает 11 мероприятий, основными из которых являются:
- развитие правового обеспечения информационной безопасности;
7
- разработка и внедрение эффективных программных и программно-аппаратных
средств защиты информационных ресурсов, информационных и телекоммуникационных
систем;
- создание информационных систем, необходимых для обеспечения деятельности
государственных органов, включая соответствующий уровень защиты информации;
- формирование системы мониторинга информационной безопасности Республики
Беларусь в наиболее важных сферах деятельности общества и государства;
- разработка типовых политик безопасности для государственных информационных
систем.
Основываясь на принципах многодоменного доверия, заложенных в Соглашении о
применении информационных технологий при обмене электронными документами во
внешней и взаимной торговле на единой таможенной территории Таможенного союза
от 21 сентября 2010 г., при которых каждый домен представляет собой единое национальное
пространство доверия, Оперативно-аналитический центр при Президенте Республики
Беларусь в пределах своей компетенции проводит работы по созданию программноаппаратных компонентов национального пространства доверия с учетом обеспечения
интероперабельности национального и интеграционного сегментов Комиссии.
В рамках программы Союзного государства «Совершенствование системы защиты
общих информационных ресурсов Беларуси и России на основе высоких технологий» на
2011-2015 годы выполняются следующие работы:
Опытно-конструкторская работа «Разработка программно-аппаратного комплекса
доверенных центров обеспечения электронного документооборота» (шифр «Доверие»).
В данном изделии будут реализованы функции по выработке и проверке электронной
цифровой подписи в соответствии с российскими и белорусскими алгоритмами и сервисы
«доверенной третьей стороны», а также разработана программно-аппаратная платформа
удостоверяющего центра для обеспечения международного взаимодействия;
Научно-исследовательская работа «Разработка проектов нормативно-правовых
документов межгосударственного обмена электронными документами Союзного
государства» (шифр «Обмен»). Срок окончания НИР II квартал 2015 г.
В рамках НИР разрабатывается:
- комплект проектов межгосударственных нормативных правовых документов,
определяющих правовые основы использования доверенной третьей стороны (далее – ДТС)
при обмене электронными документами, правовые условия определения ДТС, полномочия
государственных органов Союзного государства по определению ДТС;
- комплект проектов межгосударственных технических нормативных правовых актов,
определяющих требования, предъявляемые к форматам электронных документов;
требования к протоколам подтверждения подлинности данных и протоколу выработки
штампа времени; требования к технологии электронной цифровой подписи;
- комплект проектов межгосударственных организационно-распорядительных
документов, определяющих порядок издания, обращения, хранения и уничтожения
электронных документов; требования к функционированию ДТС; требования к
распространению открытых ключей проверки подписи.
В Республике Беларусь, в соответствии с национальным законодательством,
органами-координаторами обеспечения информационной безопасности по направлениям
деятельности являются:
- Администрация Президента Республики Беларусь – по реализации государственной
информационной политики Республики Беларусь;
- Оперативно-аналитический центр при Президенте Республики Беларусь – по
технической защите информации, развитию информационно-коммуникационных технологий
и услуг;
- Комитет государственной безопасности Республики Беларусь – в области защиты
государственных секретов.
8
Органами – исполнителями в области обеспечения информационной безопасности
являются:
- Министерство информации Республики Беларусь;
- Министерство связи и информатизации Республики Беларусь;
- Государственный комитет по науке и технологиям;
- Национальная академия наук Республики Беларусь;
- Министерство иностранных дел Республики Беларусь;
- Министерство внутренних дел Республики Беларусь;
- Министерство обороны Республики Беларусь;
- Следственный комитет Республики Беларусь;
- Национальная государственная телерадиокомпания;
- Республиканское унитарное предприятие электросвязи «Белтелеком».
Полномочия Оперативно-аналитического центра при Президенте Республики
Беларусь в области защиты информации следующие:
- определение приоритетных направлений технической защиты информации,
содержащей сведения, составляющие государственные секреты, или иные сведения,
охраняемые в соответствии с законодательством Республики Беларусь;
- координация деятельности по технической защите информации;
- контроль в пределах своих полномочий за деятельностью по обеспечению
технической защиты информации;
- участие в разработке проектов нормативных правовых актов в области технической
защиты информации;
- осуществление иных полномочий в соответствии с законодательными актами
Республики Беларусь.
Полномочия Министерства связи и информатизации Республики Беларусь в области
информатизации:
- реализует единую государственную политику;
- разрабатывает и реализует государственные программы;
- участвует в разработке проектов нормативных правовых актов;
- координирует работу по формированию и государственной регистрации
информационных ресурсов;
- устанавливает
требования
совместимости
информационных
ресурсов,
информационных систем и информационных сетей;
- разрабатывает и утверждает правила эксплуатации и взаимодействия
информационных ресурсов, информационных систем и информационных сетей;
- организует работы по техническому нормированию и стандартизации,
подтверждению соответствия создания, использования и эксплуатации информационных
ресурсов, информационных систем и информационных сетей требованиям технических
нормативных правовых актов в области технического нормирования и стандартизации;
- стимулирует создание информационных технологий, информационных систем и
информационных сетей;
- осуществляет международное сотрудничество, включая взаимодействие с
международными организациями, обеспечение выполнения обязательств по международным
договорам Республики Беларусь;
- осуществляет иные полномочия в соответствии с законодательными актами
Республики Беларусь.
Полномочия иных государственных органов в области информации, информатизации
и защиты информации:
- участвуют в реализации единой государственной политики;
- формируют и используют информационные ресурсы;
- создают и развивают информационные системы и информационные сети,
обеспечивают их совместимость и взаимодействие в информационном пространстве
Республики Беларусь;
9
- осуществляют техническое нормирование и стандартизацию в области
информационных технологий, информационных ресурсов, информационных систем и
информационных сетей;
- осуществляют подтверждение соответствия информационных технологий,
информационных ресурсов, информационных систем и информационных сетей требованиям
технических нормативных правовых актов в области технического нормирования и
стандартизации;
- осуществляют иные полномочия в соответствии с законодательными актами
Республики Беларусь.
С учетом трансграничного характера киберпреступлений для организации
международного сотрудничества на базе Оперативно-аналитического центра при Президенте
Республики Беларусь создано подразделение реагирования на компьютерные угрозы –
Национальный CERT. ОАЦ выполнил административные процедуры и вступил в
международное сообщество реагирования на компьютерные угрозы FIRST. В решаемые
национальным CERT задачи входят своевременное обнаружение вредоносного
программного обеспечения в национальном сегменте сети Интернет, анализ выявленных
информационных угроз на предмет функционала, методов распространения и управления,
подготовка рекомендаций по устранению данных угроз, а также взаимодействие с
аналогичными зарубежными структурами.
При решении проблемы обеспечения безопасности национальной и трансграничной
информационной инфраструктуры особую озабоченность вызывает их использование
террористическими организациями или группами для осуществления своей противоправной
деятельности.
В
условиях современного глобального мира проблема использования
информационно-коммуникационной инфраструктуры в террористических и иных
противоправных целях может быть решена путём применения государствами адекватных
скоординированных и комплексных мер правового регулирования. Эти меры должны
осуществляться как в рамках отдельных государств, так и на межгосударственном уровне, с
помощью широкого спектра сил, средств и методов воздействия со стороны государства и
общества.
В сфере обеспечения информационной безопасности подготовка специалистов в
Республики Беларусь осуществляется на основании следующих нормативных правовых
актов:
- Постановление Министерства образования Республики Беларусь и Комитета
государственной безопасности Республики Беларусь от 2 мая 2014 г. № 63/12
«Об определении перечня учреждений образования, обеспечивающих повышение
квалификации, переподготовку и стажировку руководителей и специалистов, в компетенцию
которых входит обеспечение защиты государственных секретов»;
- Постановление Совета Министров Республики Беларусь от 2 октября 2008 г. № 1445
«О некоторых вопросах организации повышения квалификации, переподготовки,
стажировки, организованного обучения, обучения в организации (по месту работы),
постоянного профессионального совершенствования руководителей и специалистов в сфере
защиты государственных секретов»;
- Постановление Министерства образования Республики Беларусь, 21 декабря 2004 г.,
№ 78 «Об определении перечня учреждений, обеспечивающих повышение квалификации
работников республиканских органов государственного управления и иных государственных
организаций, подчиненных Правительству Республики Беларусь, в компетенцию которых
входит обеспечение информационной безопасности этих органов (организаций)»;
- Постановление Совета Министров Республики Беларусь от 31.05.2004 № 646
«Об обязательном повышении квалификации работников республиканских органов
государственного управления и иных государственных организаций, подчиненных
Правительству Республики Беларусь, в компетенцию которых входит обеспечение
информационной безопасности этих органов (организаций)».
10
В контексте обеспечения национальной безопасности повышение квалификации
специалистов в сфере обеспечения информационной безопасности осуществляется в
Военной академии Республики Беларусь на факультете Генерального штаба Вооруженных
Сил Республики Беларусь.
В соответствии с Постановлением Совета Министров Республики Беларусь от
31.05.2004 г. № 646 «Об обязательном повышении квалификации работников
республиканских органов государственного управления и иных государственных
организаций, подчиненных Правительству Республики Беларусь, в компетенцию которых
входит обеспечение информационной безопасности этих органов (организаций)» Институт
технологий информатизации и управления Белорусского государственного университета
(ИТИиУ БГУ) организовал работу курсов повышения квалификации по информационной
безопасности.
Одной из основных задач при организации курсов повышения квалификации по
информационной безопасности ИТИиУ БГУ считает формирование единого мировоззрения в
области организации обеспечения информационной безопасности информационных
ресурсов и систем у специалистов, обеспечивающих информационную безопасность в своих
учреждениях и организациях.
На курсах повышения квалификации по информационной безопасности для
специалистов разных уровней разработаны учебные планы и программы, которые
согласованы с заинтересованными ведомствами.
В настоящее время занятия на курсах ведутся по следующим специализациям:
- Безопасность информационных технологий;
- Безопасность корпоративных информационных сетей;
- Основы безопасности информационных технологий;
- Аудит, управление рисками и инцидентами информационной безопасности;
- Администратор информационной безопасности;
- Защита информации в корпоративных системах;
- Стандарты информационной безопасности.
Ежегодно институтом разрабатываются одна-две программы по новым
специализациям курсов повышения квалификации по информационной безопасности.
Занятия на курсах ведут в основном специалисты-практики, имеющие как опыт
разработки внедрения и эксплуатации систем обеспечения информационной безопасности,
так и навыки педагогической работы.
ИТИиУ БГУ важной составляющей своей работы рассматривает налаживание
деловых связей с аналогичными учреждениями России и других стран в целях обмена
опытом, разработки совместных учебных программ и долгосрочных проектов в сфере
информационной безопасности.
ИТИиУ БГУ ведутся работы по созданию интернет-портала по информационной
безопасности (портала знаний). Одна из целей создания портала знаний – объединить
сообщество специалистов по информационной безопасности и направить его
интеллектуальный потенциал на решение существующих проблем.
Одной из таких проблем является создание эффективной системы управления
процессами формирования общественного мнения в сфере защиты информационных
ресурсов общества.
В целях развития сотрудничества государств – участников СНГ в области
обеспечения информационной безопасности со стороны Республики Беларусь
(письмо заместителя Председателя Комитета государственной безопасности О.А Чернышова
№ 13/677 от 25.08.14) предлагается:
- определить
состав
трансграничной
информационно – коммуникационной
инфраструктуры государств – участников СНГ по аналогии с тем, как определён состав
инфраструктур железнодорожного транспорта (ст. 1, Приложение 1 Технического
регламента Таможенного союза «О безопасности железнодорожного транспорта»
(TP ТС 003/2011), утвержденного Решением Комиссии Таможенного союза от 15.07.2011
11
№ 710) и высокоскоростного железнодорожного транспорта (ст.1, Приложение 1
Технического регламента Таможенного союза «О безопасности высокоскоростного
железнодорожного транспорта» (TP ТС 002/2011), утвержденного Решением Комиссии
Таможенного союза от 15.07.2011 №710);
- определить критерии определения критически важных объектов такой
инфраструктуры и составить перечень таких объектов;
- разработать межгосударственные правила и требования: к формированию системы
критически важных объектов трансграничной информационно-коммуникационной
инфраструктуры
государств – участников
СНГ
к
обеспечению
безопасного
функционирования критически важных объектов такой инфраструктуры;
- разработать систему обеспечения безопасности критически важных объектов
трансграничной
информационно-коммуникационной
инфраструктуры
государств –
участников СНГ;
- рассмотреть вопрос о принятии межправительственного соглашения государств –
участников СНГ по вопросам обеспечения безопасности критически важных объектов
трансграничной
информационно-коммуникационной
инфраструктуры
государств –
участников СНГ.
Учитывая важность совершенствования дальнейшего сотрудничества государств –
участников СНГ в сфере обеспечения информационной безопасности, предлагается ускорить
принятие Стратегии обеспечения информационной безопасности государств – участников
СНГ и Модельного закона «Об информации, информатизации и обеспечении
информационной безопасности».
Проекты указанных нормативных правовых актов подготовлены Институтом
национальной безопасности Республики Беларусь во взаимодействии с учреждениями
Российской академии наук.
В Республике Беларусь правовое регулирование обеспечения информационной
безопасности осуществляется на основании следующих нормативных правовых актов:
- Указ Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по
совершенствованию использования национального сегмента сети Интернет»;
- Указ Президента Республики Беларусь от 1 сентября 2010 г. № 450
«О лицензировании отдельных видов деятельности»;- Указ Президента Республики Беларусь
от 9 ноября 2010 г. № 575 «Об утверждении Концепции национальной безопасности
Республики Беларусь»;
- Указ Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых
мерах по обеспечению безопасности критически важных объектов информатизации»;
- Указ Президента Республики Беларусь от 8 ноября 2011 г. № 515 «О некоторых
вопросах развития информационного общества в Республике Беларусь»;
- Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых
мерах по совершенствованию защиты информации»;
- Указ Президента Республики Беларусь от 23 января 2014 г. № 46 «Об использовании
государственными
органами
и
иными
государственными
организациями
телекоммуникационных технологий»;
- Указ Президента Республики Беларусь от 4 апреля 2013 года № 157 «О внесении
изменений и дополнений в некоторые указы Президента Республики Беларусь»;
- Закон Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном
документе и электронной цифровой подписи»;
- Закон Республики Беларусь от 3 января 2002 г. № 74-3 «Об утверждении Военной
доктрины Республики Беларусь»
- Закон Республики Беларусь от 21 июля 2008 г. № 418-3 «О регистре населения»;
- Закон Республики Беларусь от 10 ноября 2008 г. № 455-3 «Об информации,
информатизации и защите информации»;
- Закон Республики Беларусь от 05 мая 1999 г. № 250-3 «О научно-технической
информации»;
12
- Закон Республики Беларусь от 17 июля 2008 г. № 427-3 «О средствах массовой
информации».
- Закон Республики Беларусь от 19 июля 2010 г. № 170-3 «О государственных
секретах»;
- Закон Республики Беларусь от 5 января 2013 г. № 16-3 «О коммерческой тайне»;
- Закон Республики Беларусь от 4 января 2014 года № 102-З «О внесении изменений и
дополнений в Закон Республики Беларусь «Об информации, информатизации и защите
информации» (вступил в силу 11 апреля 2014 года);
- Закон Республики Беларусь от 20 мая 2013 года № 27-З «О внесении изменений и
дополнений в Закон Республики Беларусь «Об электронном документе и электронной
цифровой подписи»;
- Постановление Совета Министров Республики Беларусь от 9 августа 2010 № 1174
«О Стратегии развития информационного общества в Республике Беларусь на период до
2015 года и плане первоочередных мер по реализации Стратегии развития информационного
общества в Республике Беларусь на 2010 год»;
- Постановление Совета Министров Республики Беларусь от 29 апреля 2010 г. № 644
«О некоторых вопросах совершенствования использования национального сегмента
глобальной компьютерной сети Интернет»;
- Постановление Совета Министров Республики Беларусь от 28 марта 2011 г. № 384
«Об утверждении Национальной программы ускоренного развития услуг в сфере
информационно-коммуникационных технологий на 2011–2015 годы»;
- Постановление Совета Министров Республики Беларусь от 15 мая 2013 г. № 375
«Об утверждении технического регламента Республики Беларусь «Информационные
технологии. Средства защиты информации. Информационная безопасность»;
- Постановление Оперативно-аналитического центра при Президенте Республики
Беларусь и Министерства связи и информатизации Республики Беларусь от 29 июня 2010 г.
№ 4/11 «Об утверждении Положения о порядке ограничения доступа пользователей
интернет-услуг к информации, запрещённой к распространению в соответствии с
законодательными актами»;
- Постановление Оперативно-аналитического центра при Президенте Республики
Беларусь и Министерства связи и информатизации Республики Беларусь от 2 июня 2011 г.
№ 2/9 «О некоторых вопросах выполнения подпрограммы «Безопасность информационнокоммуникационных технологий и цифровое доверие» Национальной программы
ускоренного развития услуг в сфере информационно-коммуникационных технологий на
2011–2015 годы».
2.3 Республика Казахстан
В Республике Казахстан вопросы формирования единой государственной политики в
области обеспечения информационной безопасности тесно связаны с регулированием в
области информатизации.
Указом Президента Республики Казахстан от 8 января 2013 года № 464 была принята
Государственная программа «Информационный Казахстан – 2020». В целях реализации
данного Указа Президента РК было принято Постановление Правительства Республики
Казахстан от 7 февраля 2013 года № 101 «Об утверждении Плана мероприятий по
реализации
Государственной
программы
«Информационный
Казахстан – 2020
на 2013 – 2017 годы», в котором также предусмотрен ряд мероприятий по укреплению
информационной безопасности общества и государства. В результате принятия данной
Государственной программы и Плана мероприятий по ее реализации уровень постановки и
решения задач в области развития информационного общества в Казахстане был повышен с
отраслевого до общегосударственного уровня.
Указом Президента Республики Казахстан от 6 августа 2014 года № 875 «О реформе
системы государственного управления Республики Казахстан» было образовано
13
Министерство по инвестициям и развитию Республики Казахстан с передачей ему, в том
числе, функции и полномочий Агентства Республики Казахстан по связи и информации.
Процесс становления единой государственной политики в области обеспечения
информационной безопасности начат еще в 2005-2011 годах. В указанный период были
приняты основные законы – «О связи», «Об информатизации», «О лицензировании»,
«О средствах массовой информации», «О национальной безопасности», «Об электронном
документе и электронной цифровой подписи», «О государственных секретах».
В этот период были разработаны и приняты «Государственная программа
формирования и развития национальной информационной инфраструктуры», «Концепция
развития конкурентоспособности информационного пространства», «Государственная
программа обеспечения информационной безопасности», на основании которых в 2006 году
была разработана и утверждена «Концепция информационной безопасности Республики
Казахстан» - первый основополагающий документ в данной области.
Постановлением Правительства Республики Казахстан от 29 сентября 2010 года
«Об утверждении Программы по развитию информационных и коммуникационных
технологий в Республике Казахстан на 2010-2014 годы» были определены основные
направления обеспечения информационной безопасности.
В целях дальнейшего развития системы информационной безопасности Указом
Президента Республики Казахстан от 14 ноября 2011 года № 174 утверждена «Концепция
информационной безопасности Республики Казахстан до 2016 года».
Целью Концепции является создание национальной системы обеспечения
информационной безопасности, гарантирующей защиту национальных интересов
Республики Казахстан в информационной сфере.
В указанном документе определены основные национальные интересы Республики
Казахстан в сфере информационной безопасности:
- реализация конституционных прав граждан на получение и распространение
информации;
- формирование,
функционирование
и
защита
единого
национального
информационного пространства страны;
- опережающее развитие информационно-коммуникационных технологий;
- недопущение фактов утрат и разглашения сведений, составляющих государственные
секреты, а также иной охраняемой информации;
- обеспечение надежности и устойчивости функционирования критически важных
информационных систем, ресурсов и поддерживающей инфраструктуры.
В положение данной Концепции были включены основные направления Концепции
сотрудничества государств – участников СНГ в сфере обеспечения информационной
безопасности, подписанной в Бишкеке 10 октября 2008 года, Соглашения между
правительствами государств-членов ШОС о сотрудничестве в области обеспечения
международной информационной безопасности, ратифицированного Республикой
Казахстан.
Концепция отражает совокупность официально принятых государством взглядов на
обеспечение информационной безопасности Республики Казахстан.
Принимая во внимание трансграничный характер вопросов обеспечения
информационной безопасности, поставлена задача дальнейшего совершенствования
международного сотрудничества в данной области, соответствующего принципам
равноправного международного информационного обмена.
Следует отметить, что Концепцией предусмотрено проведение конкретных
мероприятий по надлежащему обеспечению информационной безопасности на основе
принятия законодательных, организационных и программно-технических мер.
Реализация данной Концепции позволила выработать новые концептуальные меры
противодействия
инцидентам
информационной
безопасности,
основанные
на
совершенствовании
нормативной
правовой
базы, осуществлении
технического
перевооружения и кадрового обеспечения.
14
За годы реализации Концепции выработаны основные подходы и реализованы
мероприятия по созданию системы мониторинга государственных информационных систем
и ресурсов, нарушение функционирования которых может привести к возникновению
чрезвычайных ситуаций.
Во исполнение постановления Правительства Республики Казахстан от 14 сентября
2004 года № 965 «О некоторых мерах по обеспечению информационной безопасности в
Республике Казахстан» в целях обеспечения информационной безопасности
государственных информационных систем, подключенных к сети Интернет, реализован
безопасный доступ государственных органов в Интернет через единый шлюз, который
позволил обеспечить подключение вычислительных сетей государственных органов с
возможностью блокирования всех видов угроз информационной безопасности, исходящих из
сети Интернет.
Единый шлюз доступа к сети Интернет государственных органов (далее – ЕШДИ)
стал реальным элементом защиты инфраструктуры от утечки информации. Основной целью
ЕШДИ является комплексное обеспечение информационной безопасности государственных
органов при работе в сети Интернет, включающих в себя защиту от вирусов, сетевых атак
(DDoS), блокировку нежелательного контента.
С начала 2014 года на инфраструктуре ЕШДИ заблокировано более 5,0 млн. атак
высокой степени риска.
Создана единая электронная почтовая система государственных органов
(далее – ЕЭПС), обеспечивающая сохранность и конфиденциальность информации при
обмене между государственными органами, создающая единую защищенную
корпоративную электронную почтовую сеть государственных органов.
К ЕЭПС подключены 41 государственный орган и 44300 пользователей из 91000.
Проводится работа по повышению устойчивости всей национальной информационной
инфраструктуры, а также по снижению информационных угроз в сфере информационнокоммуникационных технологий.
Контроль защищенности сайтов и информационных систем государственных органов
выполняется Центром мониторинга безопасности «электронного правительства», основной
задачей которого является поддержка информационной безопасности путем принятия
необходимых мер по предупреждению, локализации и ликвидации последствий угроз
компонентам «электронного правительства». Производится сканирование информационных
систем и веб-ресурсов государственных органов.
Создаются основы системы мониторинга безопасности информационных систем.
В настоящее время разрабатывается законодательство по вопросам защиты
критической информационной инфраструктуры.
Для государственных органов создана защищенная среда передачи ведомственной
информации – Единая транспортная среда государственных органов (далее – ETC).
Документы, передаваемые в Единой системе электронного документооборота
(далее – ЕСЭДО), подписываются электронными цифровыми подписями, которых выдано
уже более 30000 единиц.
В целях обеспечения доверенного и безопасного трансграничного документооборота в
Республике Казахстан создана Доверенная третья сторона Республики Казахстан
(далее – ДТС РК), которая 23 ноября 2013 года введена в опытную эксплуатацию.
В соответствии со статьей 20-1 Закона Республики Казахстан «Об электронном
документе и электронной цифровой подписи» и на основании постановления Правительства
Республики Казахстан от 12 марта 2013 года № 227 «Об утверждении Правил подтверждения
подлинности иностранной электронной цифровой подписи доверенной третьей стороной
Республики Казахстан» ДТС РК осуществляет подтверждение подлинности иностранной
электронной цифровой подписи с использованием средств криптографической защиты
информации, реализующих процессы формирования и проверки электронной цифровой
подписи.
15
В настоящее время ведутся работы по интеграции ДТС РК с ДТС государств-членов
для обеспечения трансграничного документооборота в рамках Евразийского экономического
союза.
Также ведутся работы по внесению изменений в Закон Республики Казахстан
«Об электронном документе и электронной цифровой подписи», в части внесения
компетенции уполномоченного органа по разработке Правил регистрации иностранных
доверенных третьих сторон, удостоверяющих центров и удостоверяющих центров
Республики Казахстан в ДТС РК.
Данные Правила предназначены для возможности проверки и признания иностранной
электронной цифровой подписи на территории Республики Казахстан, в случае если
иностранное государство не имеет сервисов доверенной третьей стороны.
В 2014 году протестировано взаимодействие ДТС РК с ДТС Евразийской
экономической комиссии посредством интеграционного шлюза Евразийской экономической
комиссии и национального шлюза Республики Казахстан.
Разработан и внесен на рассмотрение в правительство проект Единой технической
политики в сфере обеспечения информационной безопасности. Реализация данного
документа позволит обеспечить выработку и реализацию единых стандартов в области
обеспечения требований информационной безопасности к государственным и
негосударственным
информационным
системам,
ресурсам
и
поддерживающей
инфраструктуре.
За период с 2010 года по 2014 год проведено 269 аттестационных обследований
информационных систем.
Аттестация информационных систем проводится на основании Закона Республики
Казахстан «Об информатизации» от 11 января 2007 года № 217 и Постановления
Правительства Республики Казахстан от 30 декабря 2009 года № 2280 «Об утверждении
Правил проведения аттестации государственных информационных систем и
негосударственных информационных систем, интегрируемых с государственными
информационными системами, на соответствие их требованиям информационной
безопасности и принятым на территории Республики Казахстан стандартам».
Основной задачей аттестации информационных систем является определение
состояния информационной безопасности информационных систем на соответствие
требованиям стандартов и нормативно-правовых актов по информационной безопасности,
которая включает в себя анализ и оценку нормативно-технической документации по
информационной безопасности и инструментальное обследование компонентов
информационной системы.
В целях проверки состояния защищенности информационных систем
государственных органов, проводятся работы по аттестации информационных систем на
соответствие требованиям информационной безопасности. Всего за период с 2010 года по
август 2014 года аттестовано 62 информационные системы.
К 2016 году планируется 100 % аттестация всех информационных систем
государственных органов.
С учетом актуальности проблемы обеспечения информационной безопасности,
обусловленной многократным увеличением количества пользователей национальной
информационной инфраструктуры, возрастающим количеством компьютерных инцидентов,
на основе международного опыта, в 2010 году создана Казахстанская Служба реагирования
на компьютерные инциденты (KZ-CERT), на которую возложены функции национального и
международного координатора в сфере безопасного использования информационных
технологий.
В настоящее время KZ-CERT выступает в качестве Центра реагирования на
обращения пользователей национальных информационных систем, а также сети Интернет,
которым необходимо оказание содействия в предотвращении компьютерных инцидентов, в
обращении к казахстанским интернет - провайдерам и официальным государственным
структурам, осуществляющим реагирование на компьютерные инциденты, обеспечивающим
16
консультативную и техническую поддержку в выявлении, устранении, оценке,
прогнозировании и предотвращении угроз информационной безопасности.
Обработка компьютерных инцидентов осуществляется в рамках меморандумов,
соглашений и регламентов взаимодействия по вопросам реагирования на компьютерные
инциденты, заключенных с различными государственными органами Казахстана и
международными организациями.
KZ-CERT подписаны меморандумы о взаимопонимании и сотрудничестве в сфере
информационной безопасности с 14 зарубежными странами (Узбекистан, Армения,
Азербайджан, Индия, Китай, США, Россия, Латвия, Литва, Беларусь, Южная Корея,
Австралия, Малайзия, Румыния).
KZ-CERT вступил в международные организации:
- форум FIRST (Forum of Incident Response and Security Teams), объединяющий
аналогичные службы по всему миру;
- Trusted Introducer for Security and Incident Response Teams (TI, статус enlisted) по
поручительству Эстонской и Российской Служб (CERT-EE и RU-CERT) на правах
национальной службы реагирования.
KZ-CERT внесен в список национальных служб реагирования Координационного
центра (cert.org) США, стал членом рабочей группы по антифишингу APWG (США),
участником программы оказания содействия Службам безопасности и реагирования на
инциденты CSIRT Assistance Program.
Казахстанская служба реагирования на компьютерные инциденты (KZ-CERT)
вступила в Организацию исламского сотрудничества – Служба реагирования на
компьютерные инциденты (OIC-CERT).
Вступление в OIC-CERT дает возможность более тесного взаимодействия с такими
Службами CERT исламских стран, как Азербайджан, Бангладеш, Бруней, Египет, Индонезия,
Иран, Иордания, Ливия, Малайзия, Марокко, Нигерия, Оман, Саудовская Аравия, Пакистан,
Судан, Сирия, Тунис, Турция, Объединенные Арабские Эмираты.
KZ-CERT за 2014 год отработано более 15000 заявок на наличие вирусов,
фишинговых ссылок, ботнетов, DDoS-атак, взломов интернет-ресурсов, вредоносного
программного обеспечения.
С учетом актуальности проблемы обеспечения информационной безопасности,
обусловленной
многократным
увеличением
пользователей
информационной
инфраструктуры, возрастающим количеством компьютерных инцидентов планируется
расширение международного сотрудничества.
В соответствии с постановлением Правительства Республики Казахстан от
11 сентября 2002 года № 993 уполномоченным государственным органом по защите
государственных секретов и обеспечению информационной безопасности является
Канцелярия Премьер-Министра Республики Казахстан. Также вопросы информационной
безопасности находятся в ведении органов национальной безопасности, осуществляющих
общую межведомственную координацию деятельности по обеспечению национальной
безопасности.
Одним из актуальных вопросов обеспечения безопасности информационного
пространства является подготовка отвечающих современным требованиям специалистов в
этой области.
С целью переподготовки кадров в области обеспечения информационной
безопасности выполнены следующие задачи:
- в соответствии с действующими нормативными правовыми актами разработаны
квалификационные характеристики должностей руководителей, специалистов и служащих,
занятых на предприятиях, в учреждениях и организациях в области обеспечения
информационной безопасности;
- прорабатываются требования государственных образовательных стандартов
высшего и среднего профессионального образования, а также соответствующие требования
17
послевузовского и дополнительного образования с действующими и уточненными
квалификационными характеристиками;
- внесены предложения по обеспечению преподавания специальных программ для
лучшего понимания проблем информационной и компьютерной безопасности в средних
общеобразовательных школах с выдачей выпускникам соответствующих сертификатов,
свидетельствующих о начальной подготовке в области информационной безопасности;
- проводится работа по обеспечению целевой государственной поддержки ведущих
вузов страны, научно-педагогических коллективов, осуществляющих подготовку в области
информационной безопасности, и, в первую очередь, региональных учебно-научных центров
по проблемам информационной безопасности в системе высшей школы.
Следует отметить, что на сегодняшний день в сфере информационной безопасности
существуют проблемные вопросы, требующие принятия совместных мер уполномоченных
государственных органов государств – участников СНГ.
В целях развития сотрудничества государств – участников СНГ в области
обеспечения информационной безопасности со стороны Республики Казахстан
(приложение к вх. № 01165 от 27.08.14 «Нота Посольства Республики Казахстан в
Республике Беларусь № 31/587 от 22.08.14») высказаны следующие предложения и
суждения:
1. Предлагается скоординировать действия по взаимообмену информацией о
противоправных материалах (экстремистского характера), а также выработать единые
подходы к их определению и критериям. Это позволит предотвращать распространение
запрещенной литературы на уровне распространителей информационных материалов, а
также повысит эффективность работы по отслеживанию и дальнейшему прекращению
распространения противоправного контента в сети Интернет.
2. Существующая судебная практика в отношении интернет-ресурсов, посредством
которых распространяется противоправный контент, предусматривает приостановление либо
прекращение доступа к ним на территории Республики Казахстан. Между тем, фактически
противоправные материалы, как и сам ресурс, остаются на серверах, в том числе и
иностранных. Применение со стороны пользователей разного рода анонимайзеров, проксисерверов, специальных программ (запретить которые технически сегодня невозможно) или
применение со стороны блокируемых сайтов смены хостинга, IP-адресов, доменных имен и
т.д. делает работу операторов связи по выполнению решения суда о прекращении доступа к
интернет-ресурсам неэффективной.
В этой связи предлагается проработать вопрос по оперативному обмену информацией
между государствами – участниками СНГ (через уполномоченные органы и организации) по
вопросам удаления запрещенных по решению суда материалов с местных серверов.
3. Активное взаимодействие государств – участников СНГ позволит значительно
расширить возможности эффективного выявления и препятствования распространению
противоправного контента в сети Интернет. Обмен опытом в указанной области между
государствами послужит основой эффективного сотрудничества.
4. Особую актуальность сотрудничество в области обеспечения информационной
безопасности
приобретает
в
свете
формирования
основ
скоординированной
информационной политики в интересах развития общего безопасного информационного
пространства в рамках Организации Договора о коллективной безопасности и Шанхайской
организации сотрудничества.
Правовое регулирование обеспечения информационной безопасности в Республике
Казахстан осуществляется на основании следующих нормативных правовых актов:
- Указ Президента Республики Казахстан от 14 ноября 2011 года № 174 «О Концепции
информационной безопасности Республики Казахстан до 2016 года»;
- Закон Республики Казахстан от 11 января 2007 года № 217-З «Об информатизации»;
- Закон Республики Казахстан от 5 июля 2004 года № 567 - II «О связи»;
- Закон Республики Казахстан от 7 января 2003 года № 370- II «Об электронном
документе и электронной цифровой подписи»;
18
- Постановление Правительства Республики Казахстан от 12 марта 2013 года № 227
«Об утверждении Правил подтверждения подлинности иностранной электронной цифровой
подписи доверенной третьей стороной Республики Казахстан»;
- Постановление Правительства от 21 ноября 2007 года № 1124 «Об утверждении
Правил ведения государственного регистра электронных информационных ресурсов и
информационных систем и депозитария» (с изменениями и дополнениями по состоянию на
28.01.2013 г.);
- Постановление Правительства Республики Казахстан от 30 декабря 2009 года
№ 2280 «Об утверждении Правил проведения аттестации государственных информационных
систем и негосударственных информационных систем, интегрируемых с государственными
информационными системами, на соответствие их требованиям информационной
безопасности и принятым на территории Республики Казахстан стандартам (с изменениями и
дополнениями по состоянию на 21.05.2013 г.);
- Постановление Правительства Республики Казахстан от 14 сентября 2004 года
№ 965 «О некоторых мерах по обеспечению информационной безопасности в Республике
Казахстан (с изменениями и дополнениями по состоянию на 26.06.2014 г.)».
2.4 Кыргызская Республика
В Кыргызской Республике осуществляется комплексный подход к защите
государственных информационно-коммуникационных систем и информационных ресурсов от
несанкционированного доступа. Одновременно ведется работа по обеспечению доступа
граждан к государственным информационным ресурсам, по повышению уровня
прозрачности деятельности органов власти.
С использованием информационных технологий оказывается широкий спектр услуг
населению, реализуется право граждан на получение информации. Тем самым
информационно-коммуникационные технологии реализуют в обществе важную социальную
функцию.
Безопасное и надежное функционирование информационно-коммуникационных
систем рассматривается в Кыргызской Республике как один из важных аспектов
национальной безопасности, а вопросы информационной безопасности в неразрывной связи
с развитием информационно-коммуникационной инфраструктуры.
При проведении государственной политики в области ИКТ учитывается, что развитие
информационно-коммуникационных технологий предоставляет широкие возможности по их
использованию для совершения преступлений, в террористических целях и даже
политическом противоборстве.
Согласно законодательству Кыргызской Республики, уполномоченными органами,
осуществляющими государственную политику и координирующими действия органов
власти в сфере обеспечения информационной безопасности, являются:
- Государственный комитет национальной безопасности Кыргызской Республики;
- Министерство транспорта и коммуникаций Кыргызской Республики;
- Министерство внутренних дел Кыргызской Республики;
- Министерство обороны Кыргызской Республики;
- Государственное агентство связи при Правительстве Кыргызской Республики;
- Министерство культуры и информации Кыргызской Республики.
В Кыргызской Республике функционирует Национальный штаб «ПРОКСИ»,
созданный под эгидой Секретариата ОДКБ, деятельность которого направлена на
координацию действий государственных органов по борьбе с преступлениями в сфере
высоких технологий. Работу штаба координирует Государственный комитет национальной
безопасности.
В Кыргызской Республике наблюдаются вызовы и угрозы информационной
безопасности, аналогичные происходящим в других странах. Имеются факты
распространения информации экстремистского характера и мошенничества в сфере
19
электронных платежей. С 2007 года зафиксировано более 30 случаев неправомерных
действий по отношению к информационным ресурсам Кыргызской Республики.
В целях снижения до минимального возможного уровня угроз информационной
безопасности, защиты информационного пространства от негативного воздействия,
обеспечения безопасной и бесперебойной работы автоматизированных систем в Кыргызской
Республике в настоящее время планируется создание центров реагирования на
компьютерные инциденты.
В современных условиях деятельность по реагированию на компьютерные инциденты
является необходимой для функционирования информационного пространства каждого
государства. В Кыргызской Республике для решения данных задач имеются специальные
подразделения правоохранительных органов (ГКНБ, МВД, ГСБЭГ), выполняющие функции
групп реагирования па компьютерные инциденты.
Специалистов по информационной безопасности готовят технические ВУЗы
Кыргызской Республики: Кыргызский технический университет им И. Раззакова,
Кыргызский государственный университет строительства транспорта и архитектуры,
Кыргызский национальный университет им Ж. Баласагына, Кыргызско-Российский
славянский университет им. Б. Ельцина, Кыргызско-Турецкий университет «Манас»,
Кыргызско-Турецкий университет «Ала-Тоо». Студенты из Кыргызской Республики
обучаются также в ВУЗах государств – участников СНГ и дальнего зарубежья по
специальности обеспечения информационной безопасности.
Кыргызская Республика в вопросах обеспечения информационной безопасности
заинтересована в международном сотрудничестве.
В целях обеспечения информационной безопасности в рамках СНГ со стороны
Кыргызской Республики (письмо заместителя министра иностранных дел Кыргызской
Республики А. Бешимова № 20-011/2458 от 02.09.14) предлагается обеспечить сближение
нормативных баз по информационной безопасности государств – участников СНГ, на основе
которого может быть выработан более тесный единый механизм реагирования на угрозы в
сфере информационной безопасности.
Правовые отношения в области обеспечения информационной безопасности
регулируются следующими нормативными правовыми актами:
- Концепцией национальной безопасности Кыргызской Республики;
- Закон Кыргызской Республики «О защите государственных секретов»;
- Закон Кыргызской Республики «Об информатизации»;
- Закон Кыргызской Республики «Об информации персонального характера»;
- Закон Кыргызской Республики «Об электронном документе и электронно-цифровой
подписи»;
- Закон Кыргызской Республики «Об электрической и почтовой связи»;
- Закон Кыргызской Республики «О противодействии терроризму»;
- Закон Кыргызской Республики «Об основах технического регулирования»;
- Закон Кыргызской Республики «О средствах массовой информации»;
- Закон Кыргызской Республики «О гарантиях и свободе доступа к информации».
2.5 Российская Федерация
В условиях перехода Российской Федерации к информационному обществу
интенсивное развитие информационной инфраструктуры, интеграция в мировое
информационное пространство, а также информатизация практически всех сторон
общественной жизни, деятельности органов государственной власти и управления
существенно усилили зависимость эффективности функционирования общества и
государства от состояния информационной сферы.
В различных информационных системах уже сейчас хранятся и обрабатываются
значительные объемы информации, в том числе касающиеся вопросов государственной
политики и обороны, финансовой и научно-технической сферы, частной жизни граждан.
20
Повсеместно
внедряются
информационные
технологии
при
построении
автоматизированных систем управления производственными и технологическими
процессами, используемых в топливно-энергетическом, финансовом, транспортном и других
секторах критической инфраструктуры Российской Федерации.
Глобализация
современных
информационно-коммуникационных
сетей
и
информационных систем, вынужденное применение при их построении иностранного
оборудования и заимствованного программного обеспечения, имеющего уязвимости, а также
существенное
увеличение
количества
автоматизированных
систем
управления
производственными и технологическими процессами в сочетании с интенсивным
совершенствованием средств и методов использования ИКТ в противоправных целях
формируют новые угрозы безопасности Российской Федерации.
Нанесение ущерба критической информационной инфраструктуре может привести к
катастрофическим последствиям, а учитывая, что она является связующим звеном между
другими секторами национальной инфраструктуры, неизбежно нанесет ущерб и этим
секторам.
Стабильность социально-экономического развития Российской Федерации и ее
безопасность, по сути, поставлены в прямую зависимость от надежности и безопасности
функционирования информационно-коммуникационных сетей и информационных систем.
Обеспечение информационной безопасности Российской Федерации является одной
из ключевых задач формирования информационного общества.
В настоящее время в стране реализуется Государственная программа Российской
Федерации «Информационное общество (2011 – 2020 годы)», утвержденная Постановлением
Правительства Российской Федерации от 15 апреля 2014 г. № 313.
Задачами Государственной программы являются обеспечение предоставления
гражданам и организациям услуг с использованием современных информационных и
телекоммуникационных технологий, развитие технической и технологической основы
становления информационного общества, предупреждение угроз, возникающих в
информационном обществе.
В Государственной программе предусмотрено достижение такого уровня развития
технологий защиты информации, который обеспечит неприкосновенность частной жизни,
личной и семейной тайны, безопасность информации ограниченного доступа.
В подпрограмме 3 «Безопасность в информационном обществе» Государственной
программы основными задачами являются:
- обеспечение контроля и надзора разрешительной и регистрационной деятельности в
сфере связи, информационных технологий и массовых коммуникаций;
- обеспечение
безопасности
функционирования
информационных
и
телекоммуникационных систем;
- развитие технологий защиты информации, обеспечивающих неприкосновенность
частной жизни, личной и семейной тайны, безопасность информации ограниченного
доступа;
- противодействие распространению идеологии терроризма, экстремизма, пропаганды
насилия.
В Государственной программе определено подписание в 2015 году международного
соглашения «Об обеспечении взаимного признания и применения электронных подписей на
территории стран Таможенного союза».
Во исполнение Государственной программы в сфере развития электронного
правительства в 2013 году реализованы мероприятия по развитию Единого портала
государственных услуг, Единой системы межведомственного электронного взаимодействия
и Единой системы идентификации и аутентификации в инфраструктуры, что привело к
расширению перечня государственных и муниципальных услуг, предоставляемых в
электронном виде и повышению их качества.
Уполномоченные федеральные органы исполнительной власти проводят активную
работу и по продвижению стратегических инициатив Российской Федерации в области
21
формирования системы международной информационной безопасности (далее – МИБ) в
международных организациях: ООН, ОБСЕ, ШОС, ОДКБ, СНГ, Совета Европы,
Международного союза электросвязи (далее – МСЭ).
Цель российских инициатив – не допустить использования информационных
технологий против интересов безопасности государств.
Система государственного регулирования в области информационной безопасности в
качестве важнейшего компонента включает в себя организационно-техническое обеспечение
устойчивого и безопасного функционирования информационных систем общего
пользования, предусматривающее совокупность требований и мероприятий, направленных
на поддержание:
- целостности информационной системы общего пользования как способности
взаимодействия входящих в ее состав компонентов, при котором становится возможным
выполнение функций по обработке информации;
- устойчивости функционирования информационной системы общего пользования как
ее способности сохранять свою целостность и возвращаться в исходное состояние при отказе
части компонентов системы, а также в условиях внутренних и внешних деструктивных
информационных воздействий;
- безопасности информационной системы общего пользования как ее способности
противостоять попыткам несанкционированного доступа к техническим и программным
средствам системы и преднамеренным дестабилизирующим внутренним или внешним
информационным воздействиям, следствием которых могут быть нежелательное состояние
системы или ее неправильное функционирование.
В Российской Федерации защита прав и законных интересов граждан как субъектов
персональных данных обеспечивается
уполномоченным федеральным органом
исполнительной власти по защите прав субъектов персональных данных, которым является
подведомственная Минкомсвязи России Федеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор).
Основополагающими документами в области защиты прав субъектов персональных
данных в Российской Федерации являются:
- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке персональных
данных»;
- Федеральный закон от 27 июля 2006 г. № 52-ФЗ «О персональных данных»;
- Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации в связи с принятием Федерального закона
«О ратификации Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных» и Федерального закона
«О персональных данных»;
- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 21 марта 2012 г. № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
- приказ Федеральной службы по техническому и экспортному контролю
от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных».
22
В ходе осуществления государственного контроля (надзора) в области персональных
данных особое внимание уделяется инициативам операторов связи, направленным на
унификацию отраслевых подходов в деятельности по обработке персональных данных.
Одной из форм указанной деятельности является разработка отраслевых стандартов или
рекомендаций по реализации требований законодательства Российской Федерации в области
персональных данных в конкретных сферах деятельности.
В практике контрольно-надзорной деятельности Роскомнадзора применяется
мониторинг деятельности операторов, направленный на профилактику нарушения прав
граждан как субъектов персональных данных, который включает в себя, в том числе, оценку
деятельности по обработке персональных данных в сети Интернет, выявление фактов
незаконного распространения персональной информации отдельными ресурсами.
В 2012 году в России был создан Центр реагирования на компьютерные инциденты в
информационно-телекоммуникационных сетях органов государственной власти Российской
Федерации (GOV-CERT.RU), призванный осуществлять координацию действий
заинтересованных организаций и ведомств в области предотвращения, выявления и
ликвидации последствий компьютерных инцидентов, возникающих в информационнотелекоммуникационных сетях органов государственной власти Российской Федерации.
Одними из задач GOV-CERT.RU являются реализация взаимодействия на
национальном и межгосударственном уровнях в области обнаружения компьютерных атак и
установления их источников, определение порядка обмена информацией между
российскими, иностранными и международными организациями, осуществляющими
деятельность в области реагирования на компьютерные инциденты.
Правительством Российской Федерации в этих целях приняты следующие нормативные
правовые акты:
- Постановление Правительства Российской Федерации от 31 июля 2014 г. № 743
«Об утверждении Правил взаимодействия организаторов распространения информации в
информационно-телекоммуникационной сети «Интернет» с уполномоченными государственными
органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности
Российской Федерации»;
- Постановление Правительства Российской Федерации от 31 июля 2014 г. № 746
«Об утверждении Правил уведомления организаторами распространения информации в
информационно-телекоммуникационной сети «Интернет» Федеральной службы по надзору в сфере
связи, информационных технологий и массовых коммуникаций о начале осуществления деятельности
по обеспечению функционирования информационных систем и (или) программ для электронных
вычислительных машин, предназначенных и (или) используемых для приема, передачи, доставки и
(или) обработки электронных сообщений пользователей информационно-телекоммуникационной
сети «Интернет», а также ведения реестра указанных организаторов»;
- Постановление Правительства Российской Федерации от 31 июля 2014 г. № 759 «О Правилах
хранения организаторами распространения информации в информационно-телекоммуникационной
сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой
информации, письменного текста, изображений, звуков или иных электронных сообщений
пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих
пользователях, предоставления её уполномоченным государственным органам, осуществляющим
оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации».
Большое значение приобрело формирование организационной структуры
государственной системы обеспечения информационной безопасности, включающей главу
государства и возглавляемый им Совет Безопасности Российской Федерации,
Межведомственную комиссию Совета Безопасности Российской Федерации по
информационной безопасности, являющейся его рабочим органом, а также органы
законодательной, исполнительной и судебной властей.
Государственную политику и координацию деятельности органов государственной
власти в сфере обеспечения информационной безопасности в Российской Федерации
осуществляют следующие федеральные органы исполнительной власти:
23
а) Федеральная служба безопасности Российской Федерации (ФСБ России).
В соответствии с Федеральным законом от 3 апреля 1995 г. № 40-ФЗ «О Федеральной
службе безопасности» и Указом Президента Российской Федерации от 11 августа 2003 г.
№ 960 «Вопросы Федеральной службы безопасности Российской Федерации» ФСБ России
является государственным органом, уполномоченным в сфере формирования и реализации в
пределах своих полномочий государственной и научно-технической политики в области
обеспечения информационной безопасности и обеспечения криптографической и
инженерно-технической безопасности информационно-телекоммуникационных систем, а
также систем шифрованной, засекреченной и иных видов специальной связи в Российской
Федерации и ее учреждениях за рубежом.
В соответствии с Указом Президента Российской Федерации от 15.01.2013 № 31с
«О создании государственной системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы Российской Федерации» ФСБ
России является государственным органом, уполномоченным в сфере создания
государственной системы обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской Федерации.
б) Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
В соответствии с Положением о Федеральной службе по техническому и экспортному
контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г.
№ 1085, является федеральным органом исполнительной власти, уполномоченным в области
обеспечения безопасности информации в ключевых системах информационной
инфраструктуры и технической защиты информации.
В рамках своих полномочий ФСТЭК России осуществляет реализацию
государственной политики в области обеспечения безопасности (не криптографическими
методами) в ключевых системах информационной инфраструктуры, обеспечения защиты
(не криптографическими методами) информации с ограниченным доступом, предотвращения
ее утечки по техническим каналам, несанкционированного доступа к ней, специальных
воздействий на информацию (носители информации) в целях ее добывания, уничтожения,
искажения и блокирования доступа к ней на территории Российской Федерации.
в) Федеральная служба охраны Российской Федерации (ФСО России).
В пределах своих полномочий участвует в обеспечении информационной
безопасности Российской Федерации. В рамках данной деятельности ФСО России
организует и проводит мероприятия по развитию, совершенствованию, надежному
функционированию и обеспечению информационной безопасности связи для нужд органов
государственной власти и федеральных информационных систем для специального
информационного обеспечения Президента Российской Федерации, Правительства
Российской Федерации, иных государственных органов.
В целях взаимодействия государств – участников по вопросам развития, обеспечения
функционирования и информационной безопасности национальных систем специальной
связи создан Координационный Совет по обеспечению безопасности шифровальных средств
и их эксплуатации в системах правительственной и закрытой ведомственной связи
государств – участников СНГ.
Во исполнение решения Совета Безопасности Российской Федерации от 11 января
2012 г. ФСО России участвует в разработке и продвижении российских инициатив,
направленных на формирование системы международной информационной безопасности.
г) Министерство иностранных дел Российской Федерации (МИД России).
В соответствии с пунктом 19 Основ государственной политики Российской
Федерации в области международной информационной безопасности на период до 2020
года, утвержденных Президентом Российской Федерации 24 июля 2013 г. № Пр-1753,
общую координацию деятельности федеральных органов исполнительной власти, связанной
с реализацией государственной политики Российской Федерации в области международной
информационной безопасности, а также продвижение согласованной позиции по этому
24
вопросу на международной арене, осуществляет Министерство иностранных дел Российской
Федерации.
д) Министерство связи и массовых коммуникаций Российской Федерации
(Минкомсвязь России).
Наряду с другими ведомствами осуществляет функции по выработке и реализации
государственной политики в сфере информационной безопасности. Так, в рамках своей
компетенции (постановление Правительства Российской Федерации от 2 июня 2006 г. № 418
«О Министерстве связи и массовых коммуникаций Российской Федерации») Минкомсвязь
России уполномочена утверждать требования по информационной безопасности
информационных систем, в том числе информационных систем персональных данных
(за исключением информационных систем критически важных объектов), информационнотелекоммуникационных сетей и других сетей связи, требования к формату данных в
государственных информационных системах, акты по вопросам обеспечения контроля и
надзора в установленной сфере ведения, а также требования к сетям и средствам связи для
проведения оперативно-розыскных мероприятий по согласованию с уполномоченными
государственными органами, осуществляющими оперативно-розыскную деятельность.
В соответствии с пунктом 2 постановления Правительства Российской Федерации от
24 мая 2010 г. № 365 «О координации мероприятий по использованию информационнокоммуникационных технологий в деятельности государственных органов», Минкомсвязь
России определена уполномоченным федеральным органом исполнительной власти по
проведению экспертной оценки документов, используемых в рамках планирования, создания
и использования информационно-коммуникационных технологий в деятельности
государственных органов.
Президентом Российской Федерации 24 июля 2013 г., № Пр-1753 утверждены
«Основы государственной политики Российской Федерации в области международной
информационной безопасности на период до 2020 года».
Из данного документа следует, что главные угрозы для себя Россия видит в
использовании интернет-технологий в качестве «информационного оружия в военнополитических, террористических и преступных целях», а также для «вмешательства во
внутренние дела государств».
Противостоять этим угрозам Россия намерена вместе со своими союзниками по ШОС,
ОДКБ и БРИКС. С их помощью Россия рассчитывает добиться реализации ряда ключевых
своих инициатив: принятия в ООН «Конвенции об обеспечении международной
информационной безопасности, выработки международно-признанных правил поведения в
киберпространстве, интернационализации системы управления интернетом и установления
международного правового режима нераспространения информационного оружия».
В указанном документе впервые сведены воедино ключевые инициативы России в
сфере международной информационной безопасности (далее – МИБ), что по замыслу его
разработчиков должно способствовать как их продвижению в мире, так и улучшению
межведомственного взаимодействия внутри России.
В документе выделены четыре основные угрозы для России в сфере МИБ:
- использование информационно-коммуникационных технологий в качестве
информационного оружия в военно-политических целях для осуществления враждебных
действий и актов агрессии;
- применение ИКТ в террористических целях;
- киберпреступления, включая неправомерный доступ к компьютерной информации,
создание и распространение вредоносных программ;
- угроза, обозначенная в документе, об использовании интернет-технологий для
«вмешательства во внутренние дела государств», «нарушения общественного порядка»,
«разжигания вражды» и «пропаганды идей, подстрекающих к насилию».
Основной угрозой в области международной информационной безопасности является
использование информационных и коммуникационных технологий:
25
- в качестве информационного оружия в военно-политических целях, противоречащих
международному праву, для осуществления враждебных действий и актов агрессии,
направленных на дискредитацию суверенитета, нарушение территориальной целостности
государств и представляющих угрозу международному миру, безопасности и стратегической
стабильности;
- в террористических целях, в том числе для оказания деструктивного воздействия на
элементы критической информационной инфраструктуры, а также для пропаганды
терроризма и привлечения к террористической деятельности новых сторонников;
- для вмешательства во внутренние дела суверенных государств, нарушения
общественного
порядка,
разжигания
межнациональной,
межрасовой
и
межконфессиональной вражды, пропаганды расистских и ксенофобских идей или теорий,
порождающих ненависть и дискриминацию, подстрекающих к насилию;
- для совершения преступлений, в том числе связанных с неправомерным доступом к
компьютерной информации, с созданием, использованием и распространением вредоносных
компьютерных программ.
Основными направлениями государственной политики Российской Федерации,
связанной с решением задачи по созданию условий для противодействия угрозам
использования информационных и коммуникационных технологий в экстремистских целях,
в том числе в целях вмешательства во внутренние дела суверенных государств, являются:
- участие в разработке и реализации межгосударственной системы мер по
противодействию указанным угрозам;
- содействие созданию международного механизма постоянного контроля над
недопущением использования информационных и коммуникационных технологий в
экстремистских целях, в том числе в целях вмешательства во внутренние дела суверенных
государств.
Важную роль в комплексном подходе к обеспечению информационной безопасности
играет подготовка кадрового потенциала.
Подготовку специалистов в области информационной безопасности обеспечивают
ФСТЭК России, ФСО России, Минкомсвязь России.
В интересах реализации полномочий по методическому руководству подготовкой,
переподготовкой и повышением квалификации специалистов, работающих в области
технической защиты информации и обеспечения безопасности информации в ключевых
системах информационной инфраструктуры ФСТЭК России:
- рассматривает и согласовывает учебные программы подготовки, профессиональной
переподготовки и повышения квалификации указанных категорий специалистов;
- разрабатывает и утверждает квалификационные требования к специалистам,
работающим в области технической защиты информации и обеспечения безопасности
информации в ключевых системах информационной инфраструктуры;
- выступает государственным заказчиком выполнения научно-исследовательских
работ по вопросам исследования путей совершенствования системы подготовки,
переподготовки и повышения квалификации специалистов по защите информации.
При непосредственном участии управлений ФСТЭК России по федеральным округам
в семи федеральных округах Российской Федерации были созданы и активно работают
совещательные органы координации работ по подготовке специалистов в области
информационной безопасности.
ФСО России подготовку специалистов в области обеспечения информационной
безопасности осуществляет в военном образовательном учреждении профессионального
образования – Академии
ФСО
России.
Академия
располагает
необходимыми
образовательными программами для подготовки специалистов по специальности
«Информационная безопасность телекоммуникационных систем». Данные программы
направлены на освоение специалистами современных методов и средств защиты
информации, а также аппаратуры, используемой в современных сетях связи и в
информационных системах.
26
Минкомсвязь России совместно с Минобрнауки России ведет работу, нацеленную как
на увеличение количества, так и на повышение качества кадров. В 2015 учебном году
количество бюджетных мест в вузах по ИТ-специальностям вырастет на 34%, что позволит
снизить дефицит специалистов в сфере информационных технологий, в том числе
специалистов
по
информационной
безопасности.
Для
обеспечения
качества
профессионального образования, соответствия компетенций подготовленных специалистов
актуальным требованиям работодателей, совместно с профильными ассоциациями создаются
профессиональные стандарты в сфере информационных технологий.
В рамках исполнения дорожной карты «Развитие отрасли информационных
технологий» реализованы следующие мероприятия (приведены в таблице 1).
Таблица 1 – Мероприятия, реализованные для исполнения дорожной карты «Развития
отрасли информационных технологий»
Наименование
мероприятий
Разработка
профессиональных
стандартов в области
информационных
технологий
Установление
контрольных цифр
приема в
образовательные
организации высшего
образования и в
профессиональные
образовательные
организации по
специальностям в сфере
информационных
технологий
Состояние выполнения
В настоящее время Минтрудом России с привлечением
Ассоциации предприятий компьютерных и информационных
технологий (АП КИТ) организована разработка проекта
профессионального стандарта специалиста по информационной
безопасности.
Установлены
контрольные
цифры
приема
по
направлениям подготовки и специальностям высшего
образования по профилю информационные технологии на 2014
год приказом Минобрнауки России от 30 декабря 2013 г.
№ 1424, которые составляют 45578 бюджетных мест.
Контрольные цифры приема по направлениям подготовки и
специальностям
высшего
образования
по
профилю
информационные технологии на 2015 г., установленные
приказом Минобрнауки России от 28 апреля 2014 г. № 415,
составляют 44644 бюджетных мест.
Приказом Минобрнауки России от 30 декабря 2013 г.
№ 1428 организациям, осуществляющим образовательную
деятельность, установлены контрольные цифры приема
граждан по специальностям среднего профессионального
образования для обучения по имеющим государственную
аккредитацию образовательным программам подготовки
специалистов среднего звена и образовательным программам
среднего профессионального образования, интегрированным
с основными образовательными программами основного
общего и среднего общего образования, за счет бюджетных
ассигнований федерального бюджета на 2014 г. по укрупненной
группе
специальностей
090000
«Информационная
безопасность» в объеме 330 мест.
В целях развития сотрудничества государств – участников СНГ в области
обеспечения информационной безопасности со стороны Российской Федерации
(письмо заместителя Министра связи и массовых коммуникаций А.В. Соколова № АС-П1215200 от 25.08.14 г.) высказаны следующие суждения и предложения:
1. Развитие сотрудничества государств – участников СНГ в области обеспечения
информационной безопасности должно быть направлено на повышение уровня
защищенности информации и информационных систем за счет координации деятельности
органов государственной власти и организаций по обеспечению безопасности информации.
Такое сотрудничество может быть организовано в рамках анализа опыта построения
национальных систем информационной безопасности, изучения существующих полномочий
27
органов исполнительной власти государств – участников СНГ, других государственных
органов и организаций, действующих в области обеспечения информационной безопасности,
а также разработки и обоснования предложений по структуре и задачам коллективной
системы обеспечения информационной безопасности государств – участников СНГ.
2. Целесообразно перейти к фазе практического взаимодействия по Соглашению о
сотрудничестве государств – участников СНГ в области обеспечения информационной
безопасности (документ подписан Арменией, Белоруссией, Казахстаном, Киргизией, Россией
и Таджикистаном 20 ноября 2013 г. в Санкт-Петербурге в ходе заседания Совета глав
правительств СНГ).
3. В целях формирования единой позиционной линии государств – участников СНГ в
области международной информационной безопасности на международной арене
принципиально важным является присоединение к Соглашению всех партнеров по
Содружеству.
Основными стратегическими документами в области информационной безопасности в
Российской Федерации являются:
- Стратегия национальной безопасности Российской Федерации до 2020 года,
утвержденная Указом Президента Российской Федерации от 12 мая 2009 г. № 537;
- Доктрина информационной безопасности Российской Федерации, утвержденная
Президентом Российской Федерации 9 сентября 2000 г., № Пр-1895;
- Стратегия развития информационного общества в Российской Федерации,
утвержденная Президентом Российской Федерации 7 февраля 2008 г., № Пр-212;
Концептуальные документы государственного стратегического планирования,
регулирующие вопросы информационной безопасности в Российской Федерации:
- Основные направления государственной политики в области обеспечения
безопасности
автоматизированных
систем
управления
производственными
и
технологическими процессами критически важных объектов инфраструктуры Российской
Федерации;
- Основы государственной политики Российской Федерации в области
международной информационной безопасности на период до 2020 года;
- Основные направления научных исследований в области обеспечения
информационной безопасности Российской Федерации (утверждены и.о. Секретаря Совета
Безопасности Российской Федерации, председателя научного совета при Совете
Безопасности Российской Федерации 7 марта 2008 г.);
- Приоритетные проблемы научных исследований в области обеспечения
информационной безопасности Российской Федерации (утверждены и.о. Секретаря Совета
Безопасности Российской Федерации, председателя научного совета при Совете
Безопасности Российской Федерации 7 марта 2008 г.).
Правовое регулирование обеспечения информационной безопасности в Российской
Федерации осуществляется на основании следующих нормативных правовых актов:
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных технологиях и защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к
информации о деятельности государственных органов и органов местного самоуправления»;
- Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной
тайне»;
- Федеральный закон от 3 апреля 1995 г. № 40-ФЗ «О Федеральной службе
безопасности»;
- Федеральный закон от 27 мая 1996 г. № 57-ФЗ «О государственной охране»;
- Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»;
- Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной
системе»;
28
- Уголовный кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей международного информационного обмена»;
- Указ Президента Указ Президента Российской Федерации от 28 июня 1993 г. № 966
«О Концепции правовой информатизации России»;
- Указ Президента Российской Федерации от 11 августа 2003 г. № 960 «Вопросы
Федеральной службы безопасности Российской Федерации»;
- Указ Президента Российской Федерации от 7 августа 2004 г. № 1013 «Вопросы
Федеральной службы охраны Российской Федерации от 30 ноября 1995 г. № 1203
«Об утверждении Перечня сведений, отнесенных к государственной тайне»;
- Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании
государственной системы обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской Федерации»;
- Постановление Правительства Российской Федерации от 4 сентября 1995 г. № 870
«Об утверждении Правил отнесения сведений, составляющих государственную тайну, к
различным степеням секретности»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512
«Об утверждении требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем персональных
данных»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 31 июля 2014 г. № 747
«О перечне личных, семейных и домашних нужд, удовлетворение которых не влечет
исполнения обязанностей, предусмотренных частями 2 - 4 статьи 10.1 Федерального закона
«Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства Российской Федерации от 15 июня 2009 г. № 477
«Об утверждении Правил делопроизводства в федеральных органах исполнительной
власти»;
- Постановление Правительства Российской Федерации от 18 мая 2009 г. № 424
«Об особенностях подключения федеральных государственных информационных систем к
информационно-телекоммуникационным сетям»;
- Постановление Правительства Российской Федерации от 6 ноября 2007 г. № 758
«О государственной аккредитации организаций, осуществляющих деятельность в области
информационных технологий»;
- Постановление Правительства Российской Федерации от 22 февраля 2006 г. № 103
«Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи
Российской Федерации в целях обеспечения функционирования сетей связи специального
назначения»;
- Постановление Правительства РФ от 5 июня 2013 г. № 476 «О вопросах
государственного контроля (надзора) и признании утратившими силу некоторых актов
Правительства Российской Федерации»;
- Постановление Правительства Российской Федерации от 13 июня 2012 г. № 584
«Об утверждении Положения о защите информации в платежной системе»;
- Постановление Правительства Российской Федерации от 15 апреля 2014 г. № 313
«Об утверждении государственной программы Российской Федерации «Информационное
общество (2011 - 2020 годы)»;
29
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512
«Об утверждении требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем персональных
данных»;
- Постановление Правительства Российской Федерации от 24 июля 2014 г. № 698
«О внесении изменения в Положение о Министерстве связи и массовых коммуникаций
Российской Федерации»;
- Распоряжение Правительства Российской Федерации от 19 сентября 2013 г. № 1699р «Об утверждении Концепции введения в Российской Федерации удостоверения личности
гражданина Российской Федерации, оформляемого в виде пластиковой карты с электронным
носителем информации, и плана мероприятий по реализации Концепции»;
- Распоряжение Правительства Российской Федерации от 12 октября 2013 г. № 1865-р
«Об утверждении плана реализации в 2013 году и в плановый период 2014 и 2015 годов
государственной программы Российской Федерации «Информационное общество 2011 2020 годы»;
- Распоряжение Правительства Российской Федерации от 24 апреля 2007 г. № 516-р
«О Концепции создания государственной автоматизированной системы информационного
обеспечения управления приоритетными национальными проектами»;
- Приказ ФСБ России № 416, ФСТЭК России № 489 от 31.08.2010 «Об утверждении
Требований о защите информации, содержащейся в информационных системах общего
пользования»;
- Приказ ФСБ России от 27.12.2011 г. № 796 «Об утверждении Требований к
средствам электронной подписи и Требований к средствам удостоверяющего центра»;
- Приказ ФСО России от 07.08.2009 г. № 487 «Об утверждении Положения о сегменте
информационно-телекоммуникационной сети «Интернет» для федеральных органов
государственной власти и органов государственной власти субъектов Российской
Федерации»;
- Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в государственных
информационных системах»;
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных»;
- Приказ ФСТЭК России от 20.03.2012 г. № 28 «Об утверждении Требований в
области технического регулирования к продукции, используемой в целях защиты сведений,
составляющих государственную тайну или относимых к охраняемой в соответствии с
законодательством Российской Федерации иной информации ограниченного доступа
(требований к средствам антивирусной защиты)»;
- Приказ ФСТЭК России от 14.03.2014 г. № 31 «Об утверждении Требований к
обеспечению защиты информации в автоматизированных системах управления
производственными и технологическими процессами на критически важных объектах,
потенциально опасных объектах, а также объектах, представляющих повышенную опасность
для жизни и здоровья людей и для окружающей природной среды»;
- Приказ ФСТЭК России от 06.12.2011 г. № 638 «Об утверждении Требований к
средствам обнаружения вторжений»;
- Приказ ФСТЭК России от 27.09.2013 г. № 119 «Об утверждении Требований к
средствам доверенной загрузки»;
- Приказ ФСТЭК России от 28.07.2014 г. № 87 «Об утверждении Требований к
средствам контроля съемных машинных носителей информации»;
- Стратегия развития информационного общества в Российской Федерации,
утвержденная Президентом Российской Федерации 7 февраля 2008 г. № Пр-212;
30
- «Основные направления государственной политики в области обеспечения
безопасности
автоматизированных
систем
управления
производственными
и
технологическими процессами критически важных объектов инфраструктуры Российской
Федерации», утверждённые Президентом Российской Федерации 3 февраля 2012 года;
- Основы государственной политики Российской Федерации в области
международной информационной безопасности на период до 2020 года, утвержденные
Президентом Российской Федерации 24 июля 2013 г. № Пр-1753.
2.6 Республика Таджикистан
В Республике Таджикистан приняты нормативные акты Президента и Правительства
Республики Таджикистан, направленные на регулирование отношений в области обеспечения
информационной безопасности.
В соответствии с поручением Президента Республики Таджикистан от 22 апреля 2010
года Комитет национальной безопасности Республики Таджикистан определен в качестве
национального координатора, осуществляющего государственную политику в сфере
обеспечения информационной безопасности.
Совокупность официальных взглядов на цели, задачи, принципы и основные
направления обеспечения информационной безопасности Республики Таджикистан
изложены в утвержденной Указом Президента Республики Таджикистан от 7 ноября 2003
года № 1175 Концепции информационной безопасности Республики Таджикистан.
Согласно Концепции под информационной безопасностью Республики Таджикистан
понимается состояние защищенности ее национальных интересов в информационной сфере,
определяющихся совокупностью сбалансированных интересов личности, общества и
государства.
Интересы личности в информационной сфере обеспечиваются путем реализации
конституционных прав человека и гражданина на доступ к информации, использования
информации в интересах осуществления не запрещенной законом деятельности,
физического, духовного и интеллектуального развития, а также защиты информации,
обеспечивающей личную безопасность. Интересы общества в информационной сфере
заключаются в обеспечении интересов личности в этой сфере, упрочении демократии,
создании демократического, правового, светского и унитарного государства, достижении и
поддержании общественного согласия, в духовном обновлении Таджикистана.
Интересы государства в информационной сфере заключаются в создании условий для
гармонического развития информационной инфраструктуры, которая направлена на
реализацию конституционных прав и свобод человека и гражданина в области получения
информации и пользования ею в целях обеспечения незыблемости конституционного строя,
суверенитета и территориальной целостности Республики Таджикистан, политической,
экономической и социальной стабильности, в безусловном обеспечении законности и
правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
В соответствии с принятой Концепцией была разработана Программа обеспечения
информационной безопасности Республики Таджикистан, утвержденная постановлением
Правительства Республики Таджикистан от 30 июня 2004 года № 290. В Программе
намечены конкретные мероприятия на период 2005–2010 годов по следующим
направлениям: совершенствование нормативного правового обеспечения информационной
безопасности Республики Таджикистан; реализация государственной политики в области
информационной безопасности; комплексное противодействие угрозам информационной
безопасности; повышение правовой культуры и компьютерной грамотности граждан.
Во исполнение Закона Республики Таджикистан от 6 июня 2005 года № 203
«О защите информации» постановлением Правительства Республики Таджикистан
утверждены Правила об условиях защиты информации в технических средствах обработки
информации, которые определили порядок сертификации средств, обеспечивающих
требования по информационной безопасности.
31
Принятые правительственные акты направлены на внедрение ИКТ. Так,
постановлением Правительства Республики Таджикистан от 2 августа 2004 года № 330 был
утвержден национальный стандарт кодировки и раскладки на клавиатуре компьютеров
символов таджикского алфавита в стандарте UNICODE. Постановлением Правительства
Республики Таджикистан от 6 июня 2005 года № 188 «Об утверждении Программы
применения и развития информационных технологий на таджикском языке» определены
цели и задачи, способствующие широкому применению и развитию информационных
технологий на таджикском языке, а также намечены основные направления и механизмы их
реализации.
Существенным
шагом
в
развитии
информационно-телекоммуникационной
инфраструктуры стало принятие Государственной стратегии «Информационнокоммуникационные технологии для развития Республики Таджикистан» (утверждена Указом
Президента Республики Таджикистан от 5 ноября 2003 года № 1174, далее − Стратегия),
целью которой является разработка мер, направленных на создание условий и формирование
механизмов, обеспечивающих содействие:
- формированию информационного общества в Республике Таджикистан;
- развитию и обновлению различных отраслей деятельности (образование, культура,
здравоохранение, транспорт, агропромышленный комплекс, общественная жизнь,
социальная защита и другие) в Республике Таджикистан на базе широкого использования
ИКТ; сокращению бедности, созданию значительного числа новых рабочих мест,
повышению эффективности труда на основе использования ИКТ.
Основными направлениями деятельности в сфере ИКТ в соответствии со Стратегией
должны стать: совершенствование законодательства и нормативно-технической базы
(технических регламентов) в сфере ИКТ, разработка и внедрение новых приложений ИКТ;
развитие
информационно-коммуникационной
инфраструктуры;
информационная
безопасность. Среди приоритетных направлений разработки и внедрения новых приложений
ИКТ в Таджикистане определены «электронное правительство», дистанционное образование
и наука, телемедицина, развитие систем электронной торговли, создание и развитие системы
информационно-маркетинговых центров, регистры юридических и физических лиц.
Закон Республики Таджикистан об информации от 10 мая 2002 года регулирует
правовые основы информационной деятельности, цели, обязанности, принципы, субъекты и
объекты информационных отношений и устанавливает государственную информационную
политику в обществе.
Программа обеспечения информационной безопасности Республики Таджикистан,
утвержденная постановлением Правительства Республики Таджикистан от 30 июня 2004
года № 290, направлена на реализацию и поддержку основ государственной политики по
обеспечению информационной безопасности как главная составная часть национальной
безопасности.
Существенным вкладом в развитие информационно-телекоммуникационной
инфраструктуры Республики Таджикистан стал Указ Президента Республики Таджикистан
от 30 апреля 2008 года № 451, которым была утверждена Концепция государственной
информационной политики республики. В Концепции сформулирована система
официальных взглядов государства на цели, задачи, принципы и направления деятельности в
информационной сфере. Концепция государственной информационной политики
Республики Таджикистан призвана обеспечить эффективное государственное управление
путём внедрения современных ИКТ, устойчивое экономическое развитие, приоритетность
государственных интересов и национальной безопасности. Согласно этой Концепции,
долгосрочной стратегической целью информационной политики государства является
построение демократического общества и вхождение Республики Таджикистан в мировое
информационное сообщество.
Правительством Республики Таджикистан 26 мая 2009 года утверждена Программа
реализации Концепции государственной информационной политики.
32
Система информационной безопасности в основном обеспечивается четырьмя
главными направлениями: физической защитой, организационной защитой, технической
защитой и оперативной защитой.
Относительно центров реагирования на компьютерные инциденты (СЕRТ) следует
отметить, что в Республике Таджикистан указанные специализированные структуры не
функционируют.
Мероприятия по обеспечению информационной безопасности подкреплены
нормативно-правовыми документами, которые своевременно обновляются путем внесения
соответствующих изменений. Для их реализации определены компетентные и
уполномоченные органы.
Формирование системы информационной безопасности Республики Таджикистан
осуществляется в новых условиях, когда установленные ранее механизмы информационной
безопасности не соответствуют в полной мере новым условиям и в определенной мере
теряют свою эффективность и актуальность.
Действующими нормативными документами в сфере информационной безопасности в
Республики Таджикистан являются:
- Закон Республики Таджикистан об электронном документе от 10 мая 2002 года;
- Закон Республики Таджикистан об информации от 10 мая 2002 года;
- Закон Республики Таджикистан об электронной цифровой подписи от 30 июля 2007
года;
- Закон Республики Таджикистан о праве на доступ к информации от 18 июня 2008
года;
- Закон Республики Таджикистан об экологической информации от 25 марта 2011
года;
- Программа обеспечения информационной безопасности Республики Таджикистан,
утвержденная постановлением Правительства Республики Таджикистан от 30 июня 2004
года № 290;
- Государственная
программа
развития
и
внедрения
информационнокоммуникационных технологий в Республике Таджикистан, утвержденная постановлением
Правительства Республики Таджикистан от 3 декабря 2004 года № 468;
- Программа реализации Концепции государственной информационной политики
Республики Таджикистан, утвержденная постановлением Правительства Республики
Таджикистан от 28 мая 2009 года № 307;
- Государственная Стратегия «Информационно-коммуникационные технологии для
развития Республики Таджикистан», утвержденная Указом Президента Республики
Таджикистан от 5 ноября 2003 года под № 1174;
- Концепция информационной безопасности Республики Таджикистан, утвержденная
Указом Президента Республики Таджикистан от 7 ноября 2003 года под № 1175;
- Концепция формирования электронного правительства в Республике Таджикистан,
утвержденная постановлением Правительства Республики Таджикистан от 30 декабря
2011года № 643;
- План дальнейших мероприятий Правительства Республики Таджикистан по
внедрению информационно-коммуникационных технологий в целях совершенствования
государственного управления, утвержденный постановлением Правительства Республики
Таджикистан от 3 декабря 2010 года № 629.
3.
Перечень первоочередных задач по обеспечению безопасности
информационных систем и информационно-коммуникационных сетей в государствах –
участниках СНГ.
Развитие сотрудничества государств – участников СНГ в области обеспечения
информационной безопасности должно быть направлено на повышение уровня
защищенности информации и информационных систем за счет координации деятельности
органов государственной власти и организаций.
33
В качестве перспективных и первоочередных задач противодействия проблемам
информационной безопасности СНГ представляется необходимым считать предложения:
Республики Беларусь по:
- определению
состава
трансграничной
информационно-коммуникационной
инфраструктуры государств – участников СНГ
- определению критериев выделения критически важных объектов такой
инфраструктуры и выделения перечня таких объектов;
- разработке межгосударственных правил и требований:
а) к формированию системы критически важных объектов трансграничной
информационно-коммуникационной инфраструктуры государств – участников СНГ;
в) к обеспечению безопасного функционирования критически важных объектов такой
инфраструктуры;
- разработке системы обеспечения безопасности критически важных объектов
трансграничной информационно-коммуникационной инфраструктуры стран СНГ;
- рассмотрению предложений по принятию межправительственного соглашения
государств – участников СНГ по вопросам обеспечения безопасности критически важных
объектов трансграничной информационно-коммуникационной инфраструктуры государств –
участников СНГ.
Кроме того, Республика Беларусь считает, что в настоящее время имеется острая
необходимость в принятии Стратегии обеспечения информационной безопасности
государств – участников СНГ и Модельного закона «Об информации, информатизации и
обеспечении информационной безопасности». Проекты указанных актов подготовлены
Институтом национальной безопасности Республики Беларусь во взаимодействии с
учреждениями Российской академии наук, приняты к рассмотрению профильными
комиссиями МПА СНГ и направлены на согласование в парламенты государств – участников
СНГ.
Российская Федерация предлагает:
- организовать сотрудничество в рамках анализа опыта построения национальных
систем информационной безопасности, изучения существующих полномочий органов
исполнительной власти государств – участников СНГ, других государственных органов и
организаций, действующих в области обеспечения информационной безопасности, а также
разработки и обоснования предложений по структуре и задачам коллективной системы
обеспечения информационной безопасности государств – участников СНГ;
- перейти к фазе практического взаимодействия по Соглашению о сотрудничестве
государств – участников Содружества Независимых Государств в области обеспечения
информационной безопасности от 20 ноября 2013 года. В настоящее время
внутригосударственные процедуры по вступлению в силу указанного Соглашения
выполнила Республика Беларусь, Российская Федерация.
В целях формирования единой позиционной линии государств – участников СНГ в
области международной информационной безопасности на международной арене считаем
принципиально важным присоединение к Соглашению всех партнеров по Содружеству.
Обеспечение информационной безопасности государств – участников СНГ в
современных условиях стало невозможным без объединения усилий в противодействии
трансграничным и транснациональным проблемам.
В этих целях необходимо осуществить:
- подготовку и утверждение Положения о единых подходах в организации
трансграничного обмена электронными документами;
- совершенствование и сближение процедур по вопросам лицензирования и
сертификации;
- проработку согласованных подходов к вопросам технического регулирования в
сфере обеспечения информационной безопасности, включая взаимное признание
сертификатов соответствия страны–изготовителя программных и аппаратных средств
защиты информации;
34
- проведение работ по гармонизации нормативных правовых актов в области защиты
персональных данных;
- организацию разработки стандартов в целях обеспечения взаимодействия различных
систем электронной подписи как на национальном уровне, так и в рамках СНГ;
- организацию работ по подготовке типовых методик сертификационных испытаний
средств защиты информации;
- взаимодействие на национальном и межгосударственном уровнях в области
обнаружения компьютерных атак и установления их источников;
- организацию выпуска периодического информационно-аналитического издания СНГ
в сфере обеспечения информационной безопасности с учетом опыта выпуска
ежеквартального журнала «Управление защитой информации» в Союзном государстве;
- подготовку предложений по созданию инфраструктуры аудита безопасности
межгосударственных информационных систем и электронных информационных ресурсов;
- разработку и введение в действие межгосударственных стандартов аудита в области
информационной безопасности, базирующихся на признаваемых в международном
сообществе решениях и учитывающих специфику и особенности аудиторской деятельности
в области информационной безопасности, включая решение задач процедурного плана;
- совершенствование законодательной базы в целях содействия развитию и
распространению новых информационных технологий, развития и расширения
межгосударственного информационного обмена;
- создание и
обеспечение функционирования защищенной
системы
оперативного обмена информацией в целях обмена данными о текущем состоянии
информационной безопасности;
- формирование предложений по подходам и критериям в сфере повышения
квалификации и подготовки научных и инженерных кадров в области информационной
безопасности в государствах – участниках СНГ;
- создание и ведение электронного классификатора технических и программных
средств защиты информации государств – участников СНГ;
- подготовку предложений по совершенствованию системы страхования
информационных рисков.
Информационная безопасность является важнейшей компонентой эффективного
противодействия терроризму, экстремизму, надежной защиты стратегических и иных особо
важных объектов и чрезвычайным ситуациям различного характера.
4.
Заключение
В настоящее время в государствах – участниках СНГ приняты организационные,
правовые, технические меры по обеспечению информационной безопасности, а именно:
- вопросы обеспечения информационной безопасности являются одними из
приоритетных в рамках общего подхода к обеспечению национальной безопасности;
- проблемой обеспечения информационной безопасности занимаются первые лица
государств – участников СНГ;
- разработаны нормативные правовые документы в сфере обеспечения
информационной безопасности (доктрины, концепции, планы, законодательные акты, указы
и постановления органов государственной власти и др.);
- определены уполномоченные органы, осуществляющие государственную политику
и координирующие действия органов власти в сфере обеспечения информационной
безопасности;
- состояние работ по обеспечению информационной безопасности тесно увязано с
уровнем развития ИКТ.
Несмотря на имеющуюся тенденцию к объединению усилий по решению проблемы
обеспечения информационной безопасности в рамках СНГ уровень взаимодействия не
соответствует тем проблемам, с которыми сталкиваются государства – участники СНГ.
35
Так, в выполнении Стратегии сотрудничества государств – участников СНГ в
построении и развитии информационного общества и Плана действий по ее реализации на
период до 2015 года от 28.09.2012 года принимают участие семь государств – участников
СНГ (Республика Армения, Республика Беларусь, Республика Казахстан, Кыргызская
Республика, Российская Федерация, Республика Таджикистан и Украина), а Соглашение о
сотрудничестве государств – участников Содружества Независимых Государств в области
обеспечения информационной безопасности от 20.11.2013 подписали шесть государств –
участников СНГ (Республика Армения, Республика Беларусь, Республика Казахстан,
Кыргызская Республика, Российская Федерация и Республика Таджикистан).
Основные проблемы, сформулированные в нормативных правовых документах
государств – участников СНГ, остаются актуальными в настоящее время. Проведенный
анализ показал, что их можно подразделить на следующие группы:
Первую группу составляют проблемы обеспечения прав человека и гражданина на
свободу информационной деятельности и государственных гарантий на ограничение этой
деятельности в целях защиты прав и свобод других лиц. С приходом компьютерной эры
неизмеримо возросло значение защиты права на неприкосновенность частной жизни в
информационном пространстве. С одной стороны, в условиях современного развития
цивилизации и повсеместного внедрения информационных технологий расширяется доступ
людей к информации, что способствует осуществлению права индивида на свободу
информации. С другой стороны, доступ физических лиц к базам персональных данных
усиливает риск вторжения в сферу частной жизни и нарушения права на ее
неприкосновенность. Таким образом, информационные и телекоммуникационные
технологии предельно обострили правовые проблемы, связанные с дилеммой «раскрытие
информации – защита частной жизни».
Контроль утечек конфиденциальной информации регламентируется принятыми в
государствах – участниках СНГ законами о персональных данных, на которые
накладываются определенные требования на информационные системы, обрабатывающие
персональные данные. В связи с этим актуальным является вопрос создания и применения
сертифицированных средств межсетевого экранирования, обнаружения вторжений,
предотвращения несанкционированного доступа к информации, антивирусной защиты, а в
некоторых случаях – и защиты от утечки по техническим каналам за счет побочных
электромагнитных излучений и наводок.
Информация, содержащая персональные данные и передаваемая с использованием
Интернета (в том числе с компьютера, обращающегося за услугой гражданина), должна
закрываться сертифицированными средствами криптографической защиты, а сам гражданин
− надежно идентифицироваться в информационном пространстве.
Не менее важными проблемами являются обеспечение открытости власти,
публичности процедур, связанных с реализацией властными структурами своих полномочий,
разработка регламентов деятельности министерств и ведомств, формирование открытых
государственных информационных ресурсов и обеспечение доступа к ним граждан.
В настоящее время в государствах – участниках СНГ открыты сайты органов
государственной власти в Интернете, осуществляются формирование и актуализация
государственных информационных ресурсов по различным темам. В то же время
представленные ресурсы еще весьма ограничены по тематике и глубине освещения
вопросов. Стоит задача ускорения создания в государствах – участниках СНГ единых
порталов государственных, региональных и местных услуг. Данные сайты должны
обеспечить гражданам доступ к информации по всем услугам органов власти.
Открытость информации важна для развития бизнеса в государствах – участниках
СНГ, привлечения внутренних и зарубежных инвестиций. В связи с этим большое значение
приобретает решение вопроса обеспечения доступа к информации о деятельности
государственных, региональных и местных органов.
36
В целях защиты информации важны меры по обеспечению информационной
безопасности
при
использовании
информационно-телекоммуникационных
сетей
международного информационного обмена.
В государствах – участниках СНГ приняты нормативные документы, в которых
определены меры по обеспечению информационной безопасности при использовании ИТКсетей, позволяющих осуществлять передачу информации через национальные границы, в
том числе при использовании Интернета.
Вторая группа проблем связана с информационным обеспечением национальной
политики. Они во многом обусловлены недостаточной разработанностью содержания
государственной информационной политики, методов, средств и организационной
структуры ее реализации.
Угрозами информационному обеспечению национальной государственной политики
могут являться: монополизация информационного рынка, его отдельных секторов
национальными и зарубежными информационными структурами; блокирование
деятельности государственных средств массовой информации по информированию
национальной и зарубежной аудитории; низкая эффективность информационного
обеспечения государственной политики вследствие дефицита квалифицированных кадров;
отсутствие системы формирования и реализации государственной информационной
политики.
Противодействие этим угрозам осуществляется по следующим направлениям:
- предотвращение монополизации рынка массовой информации;
- развитие системы международных договоров по вопросам трансграничного обмена
информацией;
- разработка государственной информационной политики.
Большое значение в организации противодействия указанным угрозам имеет
реализация принятых в государствах – участниках СНГ правовых актов, определяющих
порядок освещения деятельности органов государственной власти в национальных средствах
массовой информации, о международно-правовых гарантиях беспрепятственного и
независимого осуществления деятельности межгосударственной телерадиокомпании «Мир»,
об участии в международном информационном обмене.
Третья группа проблем связана с интеграцией государств – участников СНГ в
мировое информационное пространство, созданием конкурентоспособных информационных
технологий, развитием индустрии информационных услуг, выживанием национальной
промышленности в условиях участия и вступления во Всемирную торговую организацию.
Необходимо научиться работать на национальном и международном рынках, конкурировать
с зарубежными партнерами, которые экономически значительно мощнее национальных
компаний государств Содружества.
Угрозами развитию национальной индустрии информационных технологий, включая
индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей
внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также
обеспечению накопления, сохранности и эффективного использования отечественных
информационных ресурсов могут являться: противодействие доступу государств –
участников СНГ к новейшим информационным технологиям, взаимовыгодному и
равноправному участию национальных производителей в мировом разделении труда в
индустрии информационных услуг, средств информатизации, телекоммуникации и связи,
информационных продуктов, а также создание условий для усиления технологической
зависимости государств – участников СНГ в области современных информационных
технологий; закупка органами государственной власти импортных средств информатизации,
телекоммуникации и связи при наличии национальных аналогов, не уступающих по своим
характеристикам зарубежным образцам; вытеснение с внутреннего рынка национальных
производителей средств информатизации, телекоммуникации и связи; нарушение авторских
и смежных прав в сфере информационных технологий; увеличение оттока за рубеж
специалистов и правообладателей интеллектуальной собственности.
37
Четвертая группа проблем связана с обеспечением безопасности функционирования
информационной инфраструктуры и сохранности информационных ресурсов в критически
важных для жизнеобеспечения государства областях. Под критически важными объектами
понимаются объекты, нарушение (или прекращение) функционирования которых приводит к
потере управления, разрушению инфраструктуры, необратимому негативному изменению
(или разрушению) экономики страны, региона, либо административно-территориальной
единицы или существенному ухудшению безопасности жизнедеятельности населения,
проживающего на этих территориях, на длительный срок.
Информационно-управляющие или ИТК-системы, осуществляющие управление
важными объектами, относятся к ключевым системам информационной инфраструктуры.
Нарушение процессов их нормального функционирования может привести к срыву
выполнения функций государственного управления, управления войсками, оружием,
экологически опасными и важными производствами.
Безопасность ключевых систем информационной инфраструктуры определяется
возможностью поддержания таких условий их функционирования, при которых нарушение
технологических процессов, обеспечиваемых данными системами вследствие деструктивных
воздействий, не вызывает недопустимого снижения эффективности критически важных
отраслей жизнедеятельности государства.
Угрозами безопасности функционирования информационной инфраструктуры и
сохранности информационных ресурсов могут являться:
- противоправные сбор и использование информации. Особенно это относится к
противоправному использованию сети Интернет для пропаганды межнациональной и
религиозной розни, экстремистской идеологии, расовой дискриминации, для
распространения детской порнографии, мошенничества в сфере электронных платежей,
вербовки террористов и их финансирования, а также торговли людьми, оружием и
наркотиками;
- нарушения технологии обработки информации;
- внедрение в аппаратные и программные изделия компонентов, реализующих
функции, не предусмотренные документацией на эти изделия;
- разработка и распространение программ, в том числе распространение вирусных
программ,
нарушающих
нормальное
функционирование
информационных
и
информационно-телекоммуникационных систем, в том числе систем защиты информации;
- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств
и систем обработки информации, телекоммуникации и связи;
- воздействие на парольно-ключевые системы защиты автоматизированных систем
обработки и передачи информации;
- компрометация ключей и средств криптографической защиты информации;
- утечка информации по техническим каналам;
- внедрение электронных устройств для перехвата информации в технические
средства обработки, хранения и передачи информации по каналам связи, а также в
служебные помещения органов государственной власти, предприятий, учреждений и
организаций независимо от формы собственности;
- уничтожение, повреждение, разрушение или хищение машинных и других
носителей информации;
- перехват информации в сетях передачи данных и на линиях связи, дешифрование
этой информации и навязывание ложной информации;
- использование
несертифицированных
национальных
и
зарубежных
информационных технологий, средств защиты информации, средств информатизации,
телекоммуникации и связи при создании и развитии российской информационной
инфраструктуры;
- несанкционированный доступ к информации, находящейся в банках и базах данных;
- нарушение законных ограничений на распространение информации.
38
Пятая группа проблем связана с нарушением конституционных прав и свобод
человека и гражданина в области духовной жизни и информационной деятельности, с
воздействием на индивидуальное, групповое, общественное сознание и духовное
возрождение государств – участников СНГ.
К данным угрозам и вызовам относятся:
- девальвация духовных ценностей, пропаганда образцов массовой культуры,
основанных на культе насилия, на духовных и нравственных ценностях, противоречащих
ценностям, принятым в обществе;
- снижение духовного, нравственного и творческого потенциала населения, что
существенно осложнит подготовку трудовых ресурсов для внедрения и использования
новейших технологий, в том числе информационных;
- манипулирование информацией (дезинформация, сокрытие или искажение
информации);
- пропаганда насилия, наркотиков.
Противодействие перечисленным выше вызовам и угрозам на уровне СНГ как
международной организации требует усиления интеграции, проведения согласованной
политики по ключевым направлениям обеспечения безопасности, в том числе в области
обеспечения информационной безопасности.
Формирование информационного общества и обеспечение его безопасности
невозможно осуществить усилиями одного государства. Здесь необходимо объединение
усилий как государственных, так и негосударственных структур. В современных условиях
информационные технологии проникли практически во все сферы деятельности общества.
Соответственно, устойчивость этих сфер зависит от устойчивости функционирования
составляющих информационной инфраструктуры, их защищенности от угроз. Совершенно
очевидно, что без взаимодействия с международными организациями, без объединения
усилий всего международного сообщества обеспечить безопасность информационной
инфраструктуры, которая является технологической основой информационного общества,
весьма затруднительно. Угрозы безопасности в современном мире в значительной мере
носят трансграничный характер, а именно:
- международный терроризм;
- несанкционированный доступ к информации международных правоохранительных
организаций, ведущих борьбу с транснациональной организованной преступностью;
- несанкционированный доступ к конфиденциальной информации в международных
банковских телекоммуникационных сетях и системах информационного обеспечения
мировой торговли.
Возможность противодействия таким проблемам во многом зависит от консолидации
усилий различных государств и их групп, всего международного сообщества. Целый ряд
угроз безопасности просто не может быть нейтрализован на уровне отдельных государств
или региональных организаций, таких как СНГ. Одним из условий плодотворного
международного взаимодействия является взаимопонимание и определение проблем
различными государствами и выработка унифицированных методов противодействия им.
Это делает возможность международного сотрудничества в данной области
значительно более вероятной. Понимание угроз и вызовов безопасности руководством
государств – участников СНГ должно быть сопряжено с пониманием современных угроз
другими ключевыми участниками международных отношений и мировой политики.