Постперестроечный период

Правовое регулирование вопросов защиты информации в

Государственная политика в области защиты информации: обеспечение преемственности и новые аспекты. Указ Президента РФ «О защите государственных секретов Российской Федерации». Децентрализация управления защитой информации. Для того, чтобы представить себе обстановку связанную с состоянием информационной безопасности в августовские дни 1991 г., следует процитировать отрывок из книги Е.М. Стригина «От КГБ до ФСБ (поучительные страницы отечественной истории)».

«Пока госбезопасность пытались скрестить с милицией, продолжался начатый в конце августа 1991 года процесс разглашения секретной информации. А секретность является одним из признаков (хотя и менее всего заметных) суверенности государства, его права иметь и защищать свои секреты.

Сначала в коридорах Верховного Совета, а затем и в газете «Московские новости» были распространены полные тексты шифротелеграмм, которые рассылались КГБ в территориальные органы. Для людей непосвященных в этом не было ничего существенного, но профессионалы хватались за голову – это было вопиющим фактом. Полный текст давал возможность при известных обстоятельствах взломать шифры, которые охранялись как зеница ока.

«Уже 24 августа 1991 года, то есть в первый же день после подавления ГКЧП, вышел указ Президента Бориса Ельцина о передаче архивов КГБ… на государственное хранение. Ни отечественная, ни мировая практика хранения документов спецслужб таких широких жестов не знала… Раскрыть архивы спецслужб для доступа всякому – это, значит, похоронить саму спецслужбу, а с ней и государственную безопасность. Ведь там десятилетиями наработанные специфические формы и методы деятельности спецслужбы, сведения о которых десятилетиями мечтало заполучить ЦРУ», – так написал один из старших офицеров госбезопасности.

Обратимся к сидевшему тогда в следственном изоляторе Владимиру Крючкову. Он писал: «После августовских событий в средствах массовой информации были опубликованы многочисленные документы Комитета госбезопасности, его органов на местах, которым в период их подготовки были присвоены грифы «Совершенно секретно», а то и высший гриф – «Особой важности». В печати появились доклады органов госбезопасности руководству страны и отдельных республик по самым различным вопросам. Были преданы гласности сведения, полученные в результате разведывательных и контрразведывательных операций. Под удар поставлены ценные источники, люди, помогавшие нашей стране. Практика беспрецедентная».

Экс-председателю КГБ СССР, прослужившему столь долго в системе, где секретное делопроизводство было доведено до совершенства (кое-где даже абсурдного совершенства) было трудно понять, как можно так развалить этот порядок обращения с секретами. Следует отметить, что господин Крючков возмущается раскрытием собственных тайн госбезопасности. Но ведь эта структура сама должна обеспечивать сохранность государственной тайны во всех иных организациях. Представляете, сколько секретов уплыло из других ведомств, если уж даже в госбезопасности их не всегда могли удержать.

Но и это еще не все. Крючков возмущается тем, что стало известно средствам массовой информации. Но ведь далеко не все разглашенные секреты разглашались через СМИ. О последних хоть можно узнать, что они разглашены, но о первых думают, что они все еще неизвестны и тщательно охраняли то, что уже стало достоянием других (чаще всего врагов или по терминологии того времени – конкурентов).

При этом нет нужды говорить, что режим секретности в Советском Союзе был явно с перебарщиванием. Однако, из крайности в крайность бросаться не только не серьезно, но и элементарно глупо.

То, что секреты потекли из страны, сообразили быстро все. Надо было что-то делать. Это понимали даже в окружении Ельцина. Но изобрести что-то «демократическое» не хватало времени и поэтому решили не изобретать велосипед. 14 января 1992 года Президент РФ подписал Указ «О защите государственных секретов Российской Федерации», которым предписывал руководствоваться ранее принятыми нормативными актами, регламентировавшими обеспечение защиты государственных секретов впредь до принятия новых законодательных актов.

Кстати сказать, данный указ – просто декларация, попытка кого-либо напугать или убедить. Ранее принятые акты никто не отменял и, следовательно, ими нужно руководствоваться все равно вне зависимости от такого указа. Однако, похоже, что указ появился все-таки не напрасно»[1].

В 1995 г. Указом Президента России был введен перечень сведений, отнесенных к государственной тайне[3]. Он предусматривает 87 типов сведений, конкретное содержание которых определяется ведомственными перечнями федеральных органов исполнительной власти[4].

Стало вполне очевидным, что в рыночных условиях государство не в состоянии обеспечить сохранение государственных секретов на частных предприятиях, например тех, где размещаются государственные оборонные заказы (например, сведения в военной области о режимных объектах в различных стадиях жизненного цикла, НИОКР, технологиях двойного назначения; информация о внешнеполитической и внешнеэкономической деятельности в части информации об экспорте и импорте вооружения и военной техники, гособоронзаказе в рамках военно-технического сотрудничества; сведения в области экономики, науки и техники, касающиеся оборонных НИОКР, запасах, производстве, себестоимости цветных, редких и драгоценных металлов, стратегических запасах и мобилизационных мощностях и т.д.).

Более того, за счет привлечения государственных структур обеспечить информационную безопасность возможно даже не на всех государственных объектах. В этой ситуации государство вынуждено было привлечь на рынок технологий информационной безопасности коммерческие структуры. В этом и заключается один из аспектов децентрализации управления защитой информации в рассматриваемый период.

Для исполнителей работ обычно не имеет значения содержание защищаемой информации. Порядок реализации защитных мероприятий формализован нормативно-методическими документами в зависимости от степени секретности.

Ведомств, размещающих заказы на защиту объектов, которые соприкасаются с государственной тайной, не так много. В основном это те, ведомства, которые причастны к оборонной тематике – ФСБ, ФСТЭК (бывшая Гостехкомиссия), Минфин, Минобороны, МВД, Минатом, Минэкономразвития, РАКА, РАСУ, Российское агентство по судостроению, Российское агентство по обычным вооружениям, Российское Агентство по боеприпасам, Минпромнауки и технологий, ЦБ РФ, МЧС и некоторые другие. Существует устойчивая тенденция расширения перечня ведомств, размещающих заказы по защите информации на рыночных условиях. В последние годы значительно активизировались в роли заказчиков Министерство обороны и Министерство внутренних дел.

Общий объем заказов в области защиты государственной тайны, размещаемых на рыночных условиях, с 1993 г. непрерывно возрастает. В настоящее время он достиг уровня в 40-60 млн долларов в год. Однако необходимо иметь в виду, что существует большой объем работ, выполняемый самостоятельно предприятиями – разработчиками вооружения и военной техники. Их расходы на защиту информации обычно включаются в стоимость проводимых работ.

В сегменте защиты государственной тайны, безусловно, велико влияние государственного регулирования. Деятельность в этой области в настоящее время лицензируют четыре ведомства – ФСБ, ФСТЭК, Минобороны и СВР. Кроме того, в ФСБ, ФСТЭК и Минобороны действуют теоретически взаимно признаваемые системы сертификации средств защиты информации.

В этих условиях важное значение имеет степень доверия контролирующих структур к результатам работ исполнителя, что дает возможность нескольким конкурирующим организациям по отдельным видам деятельности фактически обеспечивать большую ценность услуг для потребителя (устойчивость результатов работы к разнообразным проверкам) при фиксированной цене.

Учитывая то обстоятельство, что идея защиты государственной тайны на рыночной основе в принципе небесспорна, часто складывается ситуация, когда контролирующие ведомства действуют по принципу «Работайте пока. Но смотрите, чтобы это не стало привычкой!» Тем не менее, постоянное сокращение штатных подразделений, занимающихся технической защитой информации в государственных структурах стимулирует рост рынка защиты государственной тайны. В отдельных случаях прослеживается тенденция формирования собственных коммерческих структур, занимающихся защитой информации. Такие структуры существуют в МЧС, МПС, Минатоме. Однако назвать их условия работы рыночными весьма затруднительно.

В целом государственное регулирование в области защиты государственной тайны характеризуется его развитой контрольной функцией. Функция экономического регулирования практически не реализуется.

При существующем объеме рынка в 40-60 млн долларов в год организации-участники рынка защиты информации дифференцируются примерно следующим образом:

- производители средств защиты информации от утечки по техническим каналам;

- производители средств защиты от несанкционированного доступа в компьютерных сетях;

- интеграторы средств и систем защиты информации (аттестационные центры);

- испытательные лаборатории систем сертификации;

- лицензионные центры и центры проведения спецэкспертиз.

Сегмент защиты государственной тайны находится, очевидно, на стадии замедления роста и увеличивается в год всего на 15-20%, причем, в основном за счет гособоронзаказа. Однако ведущие участники рынка ежегодно увеличивают свои обороты на 50-100%. На нем появляется мало новых сильных игроков, специализирующихся на интеграции систем защиты информации – аттестации объектов информатизации. Конкуренция среди 8-10 ведущих интеграторов обостряется. Количество разработчиков и производителей средств защиты информации растет пропорционально увеличению рынка.

Другим элементом децентрализации управления защитой информации является передача части функций центральных ведомств, занимающихся вопросами информационной безопасности, на места. Региональная информационная безопасность должна ориентироваться на защиту особо значимых информационных ресурсов. К ним относятся сведения о кредитно-финансовой, налоговой и таможенной сферах, информация о земельном кадастре, недрах и энергоресурсах, коммуникациях, технологиях, объектах повышенной опасности, субъектах предпринимательской деятельности, структуре и отдельных особенностях управления в сферах экономики, промышленности и науки, борьбы с преступностью, персональные сведения о гражданах и др.

Одним из наиболее сложных вопросов формирования политики в области региональной информационной безопасности является определение ее места в общей структуре организационно-управленческой деятельности.
С одной стороны, в соответствии со ст. 71 Конституции Российской Федерации, основные функции по обеспечению информационной безопасности являются прерогативой собственно Федерации. С другой – ряд важных вопросов информационной сферы, согласно ст. 72 Конституции, отнесены к совместному ведению Федерации и ее субъектов, что предполагает принятие регионами законов и иных нормативно-правовых актов, регулирующих отношения в этой области. Более того, ст. 73 Основного Закона Российской Федерации относит к исключительному ведению субъектов Российской Федерации все те вопросы, которые находятся вне пределов ведения Российской Федерации и совместного ведения.

В настоящее время можно выделить три относительно самостоятельных региональных аспекта федеральной политики обеспечения информационной безопасности:

- политику федеральной власти по отношению к регионам;
- политику регионов по отношению к федеральной власти;

- внутреннюю политику регионов.

Федеральная политика в сфере обеспечения региональной информационной безопасности должна формироваться исходя из необходимости защиты жизненно важных интересов, отнесенных в том числе и к совместному ведению федерации и ее субъектов, а также оказания субъектам федерации финансовой помощи в защите национальных и их собственных жизненно важных интересов в информационной сфере.

Политика субъектов Российской Федерации по отношению к федеральной власти должна строиться на основе соблюдения федеральных и региональных нормативно-правовых актов; выявления жизненно важных интересов регионов в информационной сфере в рамках предметов совместного и исключительного ведения; создания правовых, организационных и финансовых механизмов обеспечения информационной безопасности на основе взаимодействия региональной и федеральной систем.

Внутренняя региональная политика субъектов Российской Федерации в области информационной безопасности должна быть направлена на защиту предметов их исключительного ведения, к которым относится региональная информация, включая региональные информационные ресурсы, информационные инфраструктуры, системы связи и массового информирования граждан.