ш
- ■
ГГ|
Цирлов
Валентин Леонидович
кандидат технических наук
Правовые основы кибербезопасности Российской Федерации
Аннотация: работа посвящена основным нормативно-правовым актам, лежащим в основе зарождающейся тематики обеспечения кибербезопасности. Дан краткий обзор проекта Концепции стратегии кибербезопасности Российской Федерации, а также анализ международного стандарта ISO/IEC2703. Проведен анализ потенциальных путей развития соответствующей нормативной базы.
Ключевые слова: кибербезопасность, информационная безопасность, руководящие принципы, стандарты, нормативный документ.
Задача нормативно-правового регулирования обеспечения кибербезопасности в Российской Федерации является органичным компонентом государственной политики развития национального сектора применения информационных технологий [7]. Среди основных документов, определяющих на сегодняшний день фундаментальные подходы к обеспечению информационной безопасности в Российской Федерации, можно выделить, в первую очередь, следующие:
> Закон Российской Федерации 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
> Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года;
> Доктрина информационной безопасности Российской Федерации;
> Стратегия развития информационного общества в Российской Федерации.
Указанные, а также сопутствующие им ведомственные нормативные документы (в первую очередь это документы ФСТЭК России) на сегодняшний день формируют комплексную систему требований по обеспечению информационной безопасности для информационных систем различного уровня. В то же время вопрос уточнения специфики киберпространства, а также соответствующих угроз и механизмов защиты, безусловно, заслуживает отдельного рассмотрения.
Из современных правовых документов в области безопасности киберпространства следует особо отметить следующие:
> Концептуальные взгляды на деятельность Вооруженных сил РФ в информационном пространстве;
> Проект ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [8];
> Указ Президента России 2013г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».
Однако, на сегодняшний день в Российской Федерации документом, определяющим наиболее фундаментальные подходы к обеспечению кибербезопасности, является Концепция стратегии кибербезопасности Российской Федерации. Документ определяет киберпространство как сферу деятельности в информационном пространстве, образованную совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства), а кибербезопасность, в свою очередь, как совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями. Тем самым, понятие «кибербезопасность» является по определению более узким, чем понятие «информационная безопасность». Следует обратить внимание, что указанное определение отличается и от общепринятых в отдельных отраслях определений понятия «кибербезопасности» [1-5].
Правовые основы кибербезопасности Российской Федерации
Общая структура направлений деятельности, предложенная в названном документе, приведена на рис. 1.
трех компонентов системы обеспечения информационной безопасности (рис. 2):
> безопасность приложений;
> сетевая безопасность;
> безопасность сети интернет.
Рис. 1. Общая структура деятельности по обеспечению кибербезопасности Российской Федерации
Нетрудно видеть, что предложенные механизмы должны сформировать логичную и целостную систему, однако для практической их реализации необходима колоссальная работа по подготовке нормативных документов, регламентирующих отдельные аспекты соответствующей деятельности.
На этом этапе может быть полезен международный стандарт ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности» (ISO/ IEC 27032 Information technology. Security techniques. Guidelines for cybersecurity), разработанный подкомитетом SC 27 «Информационные методы обеспечения безопасности» технического комитета ISO/TC «Информационные технологии». Понятие киберпространства в данном документе носит более прикладной характер: оно рассматривается как комплексная среда, возникающая в результате взаимодействия людей, программного обеспечения и удаленных сервисов с использованием информационных и телекоммуникационных технологий. Принципиально важным при этом является вопрос взаимодействия между различными организациями, обеспечивающими существование ки-берпространства как единого целого: по мнению разработчиков стандарта тот факт, что каждая из организаций решает вопросы обеспечения информационной безопасности самостоятельно, создает предпосылки для реализации принципиально новых угроз информационной безопасности.
Тем самым, кибербезопасность (cybersecurity) реализуется на стыке следующих
Рис. 2. Место понятия кибербезопасность
Выделяются две основных категории участников информационного взаимодействия (рис. 3): провайдеры и потребители.
Рис. 3. Участники информационного взаимодействия
Провайдеры могут предоставлять как доступ к среде информационного взаимодействия, так и доступ к тем или иным сервисом. В качестве потребителей могут выступать физические лица и организации.
По сути, в содержательной части стандарт представляет собой набор рекомендаций для провайдеров и потребителей по обеспечению кибербезопасности. Если для физических лиц рекомендации сводятся в основном к выполнению рекомендаций провайдеров, то про-
Правовавя информатика
ваидеры должны реализовывать полноценную систему управления информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001 [9]. Подчеркивается важность анализа рисков и управления рисками согласно ISO/IEC 27005 [6].
Категории механизмов безопасности, предлагаемые для киберпространства, включают следующие аспекты:
> Безопасность приложений
> Защиту серверов
> Защиту конечных пользователей
> Защита от атак, связанных с использованием методов социальной инженерии.
На наш взгляд, акцент на организацию межсистемного взаимодействия, характерный для стандарта, нельзя назвать в полной мере обоснованным - тем самым, принятие аутентичного перевода ISO/IEC 27032 в качестве стандарта ГОСТ Р вряд ли целесообразно. В то же время, отдельные положения стандарта вполне могут быть задействованы при разработке аналогичного отечественного нормативного документа (например, в статусе документа Минобороны или ФСТЭК России).
Литература
1. Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века (Часть 1) // Вопросы кибербезопасности. 2013. № 1(1). С.2-9.
2. Гольчевский Ю.В., Некрасов А.Н. К вопросу о кибербезопасности Интернет - пользователей // Известия Тульского государственного университета. Технические науки. 2013. № 3. С. 235-261.
3. Ефремова М.А. Уголовно-правовое обеспечение кибербезопасности: некоторые проблемы и пути их решения // Информационное право. 2013. № 5. С. 10-13.
4. Зубарев И.В., Жидков И.В., Кадушкин И.В. Кибербезопасность автоматизированных систем управления военного назначения // Вопросы кибербезопасности. 2013. № 1(1). С. 10-16.
5. Капто А.С. Кибервойна: генезис и доктри-нальные очертания // Вестник Российской академии наук. 2013. Т. 83. № 7. С. 616.
6. Марков А.С., Цирлов В.Л. Управление рисками - нормативный вакуум информационной безопасности//Открытые системы. СУБД. 2007. № 8. С. 63-67.
7. Матвеев В.А., Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С.61-64.
8. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасно-сти. 2013. № 1(1). С.17-27.
9. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.
10. Карцхия А.А. Развитие законодательства о промышленной собственности и реформа гражданского законодательства Российской Федерации // Мониторинг правоприменения. 2013. № 1. С.14-21.