· - при привлечении иностранных инвестиций - сохранение государственного контроля и участия в управлении предприятиями этой отрасли индустрии и дальнейшей эксплуатации произведенной продукции (например - для космической отрасли);
· - при использовании иностранных технологий, элементной базы и отдельных видов оборудования и средств связи - проведение их обязательной экспертизы и сертификации государственными органами России с точки зрения обеспечения безопасности;
· - при разработке, производстве и эксплуатации средств обеспечения информационной безопасности, включая программное обеспечение, использовать только отечественные технологии и средства защиты.
В-третьих, - подготовка кадров, без чего трудно реализовать задачи обеспечения информационной безопасности в информационных системах. Приказом Министерства общего и профессионального образования РФ № 1781 от 20.08.1997 г., наряду с существующими учебными заведениями по подготовке специалистов в этой области в системе МО, ФСБ, МВД, ФАПСИ была создана сеть из 14 региональных учебно-научных центров по проблемам информационной безопасности в системе высшей школы, где головным определен МИФИ (технический университет).
Требуется специальная федеральная целевая программа, предусматривающая подготовку специалистов (на условиях госзаказа) с учетом потребности как для государственных, так и негосударственных структур в этой сфере. Актуальность подтверждается тем, что новая глава 28 УК РФ о компьютерных преступлениях не будет в ближайшее время работать в полном объеме из-за отсутствия соответствующих специалистов среди оперативных работников, следователей, судей, прокуроров и т.д.
В-четвертых, необходимо определить перечень информационных систем, где государство должно нести 100% ответственность за их охрану и защиту (системы управления федеральных органов государственной власти, управления войсками и оружием, обеспечения банковской и финансовой стабильности и т.п.), критерии безопасности таких систем.
Так, например, в США компьютерные системы по критериям безопасности распределены по 7 классам:
· Д - с минимальной защитой;
· С-1 - с раздельным доступом (ограничение доступа пользователей на индивидуальной основе);
· С-2 - с раздельным и контролируемым доступом (регистрация любого ввода в систему, контроль операций каждого пользователя и изоляция массива данных);
· В-1 - с контролируемым доступом и с регулируемым уровнем безопасности (категории секретности всех данных, принудительный контроль доступа конкретных лиц к конкретным данным или операциям);
· В-2 - со структурированной защитой (четко определенная, задокументированная модель обеспечения безопасности по "критическим" и "некритическим" элементам защиты, дополнительные звенья контроля и управления);
· В-3 - со специальными комплексами безопасности внутренний механизм регистрации доступа любого пользователя к любым данным с полным исключением возможного несанкционированного доступа к данным при одновременном снижении до минимума сложности и размеров системы);
· А-1 - с доказуемым и проверяемым уровнем безопасности. Наличие такого рубрикатора позволяет легче осуществлять государственное регулирование при сертификации средств защиты и лицензировании деятельности в этой сфере.
Примером такой закрытой, со стопроцентным участием государства информационной системы может стать создаваемая в соответствии с Указом Президента РФ от 3.04.1995 № 334 информационно-телекоммуникационная система специального назначения в интересах органов государственной власти (ИТКС).
В-пятых, одновременно с этим, государство должно определить степень своего участия в регулировании процессов создания и функционирования закрытых негосударственных (корпоративных) систем, а также открытых систем, прежде всего, в интересах защиты прав граждан." Примером этому может служить нынешняя ситуация, когда банки, предприятия и организации устанавливают у себя импортное оборудование цифровых АТС с встроенным блоком полицейских функций, позволяющим вести запись в автоматическом режиме всех телефонных переговоров. Это, по мнению собственников таких систем позволяет им защитить более надежно свои права на коммерческую, банковскую, служебную тайну, но сточки зрения закона это грубо нарушает конституционные права граждан на тайну переговоров, в т.ч. тех, кто не является
работником данной организации. Другим примером неблагополучия в этой области может служить ситуация с цифровыми телефонными станциями общего пользования, ответственность за которые несет Госкомсвязи РФ. За пять лет число цифровых телефонных станций возросло с 2 до 76, а цифровых каналов до 70 тыс. В этом импортном оборудовании, по оценке спецслужб России, не исключены закладки обратной связи, позволяющие бесконтрольно снимать информацию в любое удобное время для поставщиков без ведома российских пользователей. А это уже не только нарушение конституционных прав граждан на тайну переговоров, но и с учетом возможностей информационного оружия - прямая угроза для безопасности всей страны.
В-шестых, государство должно установить более четко правовые регуляторы, запреты и ограничения при осуществлении международного информационного обмена.
В действующем ФЗ "Об участии в международном информационном обмене" ряд таких ограничений установлен:
· - включение информационных систем в состав средств международного обмена осуществляется при наличии международного кода в порядке, устанавливаемом Правительством РФ, а в отношении систем с особыми правилами доступа к информации - с разрешения Гостехкомиссии при Президенте РФ и ФАПСИ (ст. 10);
· - средства международного информационного обмена для обработки информации с ограниченным доступом, а также средства защиты этих средств подлежат обязательной сертификации в порядке, определяемом ФЗ "О связи" (ст. 17);
· - деятельность при вывозе (ввозе) информации государственных информационных ресурсов подлежит лицензированию (ст. 18);
· Выдача сертификатов и лицензий возложена законом на Гостехкомиссию и ФАПСИ (ст.9).
· -при обнаружении нештатных режимов функционирования информационных систем, т.е. возникновении ошибочных команд, а также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информации собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля за осуществлением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб (ст.9);
· в случае противоправных действий органы исполнительной власти (РФ и субъектов РФ), осуществляющие контроль за международным информационным обменом, могут приостановить его на любой стадии до 2-х месяцев, что может быть обжаловано в суде (ст. 16, 19);
· - за противоправные действия нарушители несут гражданско-правовую, административную или уголовную ответственность (ст. 20).
Защита прав может осуществляться по выбору собственника (владельца) в административном порядке (в случаях, установленных прямо в законе: например, для пресечения монополистической деятельности и недобросовестной конкуренции - жалоба в федеральный антимонопольный орган), либо по общему правилу - в судебном порядке (суд, арбитражный суд или третейский суд)
Только в УК РФ (глава 28) предусмотрена ответственность за правонарушения в этой области (ст. 272 - неправомерный доступ к компьютерной информации; ст.273 - создание, использование и распространение вредоносных программ для ЭВМ; ст.274 -нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети). Наряду с совершенствованием действующего законодательства РФ по вопросам международного информационного обмена необходимо объединение усилий всего международного сообщества по решению ряда проблем, являющихся специфическими для открытых информационных систем при таком обмене.
1 .Требуется унификация законодательства, т.к. киберпространство не признает национальных границ. Нужны единые подходы в борьбе с компьютерными преступлениями. Предпосылки для такой единой правовой политики создаются в странах Европейского Союза, Совета Европы и СНГ.
2.Сети международного информационного обмена резко расширяют возможности использования информационного оружия, добиться полного запрещения которого вряд ли удастся. Но ввести ограничения на производство и оборот этого оружия, международный запрет на ведение информационных войн можно и нужно.
В прошлом году автор выступил с инициативой, которая была поддержана парламентскими комитетами Госдумы, а в декабре 1997 года превратилась в политическую инициативу девяти государств СНГ. МПА СНГ приняла обращение в ООН, ОБСЕ, к странам Межпарламентского Союза с предложением включить в повестку дня Генеральной ассамблеи вопрос о подготовке и заключении международной конвенции «О предотвращении информационных войн и ограничении оборота информационного оружия». Это необходимо, чтобы мы не тратили средства, сначала на разработку информационного оружия, затем на защиту от него, а потом на его уничтожение, как это было ранее с ядерным, химическим и бактериологическим оружием в XX веке.
3. Нужен «кодекс чести» собственников, владельцев и пользователей открытых информационных систем (в т.ч. Internet - сообщества), как клятва Гиппократа у врачей, Кодекс поведения в Internet (Канада), хартия Internet (Франция). Основой для выработки такого Кодекса может стать Национальный кодекс деятельности в области информатики и телекоммуникаций, принятый Торгово-Промышленной Палатой РФ.[2]
Безусловно, названные правовые проблемы и пути их решения не являются исчерпывающими. Актуальность темы требует объединения усилий ученых и практиков, политиков и общественности, представителей всех ветвей государственной власти по дальнейшему исследованию этих вопросов, поиску путей эффективного обеспечения национальных интересов России в системе информационной безопасности.
[1] Лопатин В.А. На спутниковую связь не хватает денег. Распыление средств ведет к технологическому отставанию \Независимая газета 0т 13.11.1997
[2] Копылов В.А. Информационное право М,1997г. с. 306-308