Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Государство как регулятор рынка ИБ

В «арсенале» рычагов влияния на рынок информационной безопасности есть достаточно средств, при помощи которых государство может реализовывать здесь свои интересы. В целом, этот рынок можно даже назвать одним из самых регулируемых сегментов всего рынка информационных технологий.

Поскольку информационные отношения затрагивают все сферы человеческой деятельности, от целостности, достоверности, своевременности и, в ряде случаев, конфиденциальности информации все больше зависят результаты этой деятельности. А угрозы информационным ресурсам по размеру наносимого ущерба становятся сравнимы с террористическими. Естественно, что вопросы информационной безопасности находятся сегодня в сфере государственных интересов. Обязательному регулированию подвергается деятельность по защите информации, а также, в той или иной мере, практически все виды информационных отношений.

Главный документ

В Российской Федерации позиция государства отражена в документе «Доктрина информационной безопасности Российской Федерации», утвержденном президентом 9 сентября 2000 года. Согласно тексту доктрины, она развивает концепцию национальной безопасности применительно к информационной сфере и служит основой для трех направлений: формирования государственной политики в области обеспечения информационной безопасности РФ; подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ; и разработки целевых программ обеспечения информационной безопасности РФ.

Под информационной безопасностью РФ в этом документе понимается «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». На уровне личности для этого необходимо обеспечить реализацию конституционных прав человека и гражданина в информационной сфере, на уровне общества требуется упрочении демократии, создание правового социального государства, достижение и поддержание общественного согласия, а на уровне государства — реализация всех его функций, а также развитие отечественной информационной инфраструктуры.

Этот подход получает развитие при формулировании четырех основных составляющих национальных интересов Российской Федерации в информационной сфере. Во-первых, «соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны».

Во-вторых, «информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам».

В-третьих, «развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов».

В-четвертых, «защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России».

В контексте «технической» информационной безопасности интерес представляет последняя, четвертая из перечисленных составляющих национальных интересов РФ в информационной сфере. Государственное регулирование, направленное на улучшение ситуации по данному направлению, строится по принципу устранения и сокращения традиционных угроз информационной безопасности. Методы соответствующего регулирования подразделяются на правовые, организационно-технические и экономические.

К правовым мерам обеспечения информационной безопасности относится разработка специализированных нормативных правовых актов (законов, постановлений и т.п.), а также нормативных методических документов (в первую очередь, стандартов обеспечения безопасности).

Базу правового обеспечения информационной безопасности составляют: закон «О государственной тайне», законодательство об архивном фонде РФ и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», «О коммерческой тайне» и ряд других законов и законопроектов. Этими правовыми актами, в частности, определяются виды информации, которую можно относить к конфиденциальной, требования к организации информационной безопасности, критерии разграничения доступа к информации, условия ее отнесения к государственной, коммерческой или служебной тайне, а также условия распространения на информацию прав собственности.

Стандарты информационной безопасности, используемые в РФ, сейчас по большей части являются адаптированными стандартами ISO/МЭК. С их помощью на единой методологической основе регламентируются различные аспекты создания и использования средств и систем обеспечения информационной безопасности.

Для государственных учреждений соблюдение этих стандартов обязательно, для коммерческих организаций — носит рекомендательный характер. Тем не менее, указанные стандарты сейчас используются практически во всех крупных организациях, а также в средних и мелких, для которых политики информационной безопасности и системы защиты информации разрабатывались специализированным компаниям.

Среди организационно-технических методов обеспечения информационной безопасности следует выделить: усиление правоприменительной деятельности органов исполнительной власти; разработку, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем; сертификацию средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности.

Экономические методы обеспечения информационной безопасности РФ включают в себя разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Принципиально государство может регулировать рынок информационной безопасности либо непосредственно на него воздействуя, либо влияя на него косвенным образом. Из перечисленных выше методов обеспечения информационной безопасности на уровне государства непосредственное влияние на рынок оказывают экономические (финансирование целевых программ) и организационно-технические (лицензирование деятельности и сертификация продуктов). Первые влияют на величину спроса на средства защиты информации на рынке, а вторые — на соответствующее предложение, ограничивая число участников рынка и ассортимент предлагаемых товаров и услуг. 

Перечень видов деятельности, подлежащих обязательному лицензированию, приводится в федеральном законе «О лицензировании отдельных видов деятельности». Среди них: разработка, распространение и техническое обслуживание шифровальных средств; предоставление услуг в области шифрования информации; деятельность по выявлению электронных устройств, предназначенных для негласного получения информации; деятельность по разработке и производству средств защиты конфиденциальной информации и технической защите конфиденциальной информации; разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации; проведение работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и оказанием услуг по защите государственной тайны (указано в федеральном законе «О государственной тайне»).

Правовое обеспечение информационной безопасности оказывает на рынок косвенное воздействие, определяя структуру рынка и образ действий его участников. По сути правовые акты определяют «что такое хорошо и что такое плохо» в информационной сфере.

Как правило, законодательство отстает от современной ситуации в сфере информационной безопасности (что особенно актуально для российского законодательства). В результате далеко не все предотвращаемые и нейтрализуемые доступными на рынке средствами защиты угрозы относятся к нарушающим закон. Такова нынешняя ситуация со «спамом», «клонированием» мобильных телефонов стандарта CDMA, пользованием услугами интернет по чужим реквизитам, созданием и распространением «шпионского» и «рекламного» программного обеспечения.

С другой стороны, законодательство в сфере информационной безопасности в определенной мере регламентирует деятельность участников рынка, не позволяя, в частности, использовать для защиты информации вредоносное программное обеспечение и иным образом нарушать права других участников информационных отношений.

Сергей Середа