Существует ли информационная безопасность, или некоторые аспекты законопроекта технического регламента "О безопасности информационных технологий"

(Нестеров А. В.)

("Правовые вопросы связи", 2007, N 1)

Текст документа

СУЩЕСТВУЕТ ЛИ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ИЛИ НЕКОТОРЫЕ

АСПЕКТЫ ЗАКОНОПРОЕКТА ТЕХНИЧЕСКОГО РЕГЛАМЕНТА

"О БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ"

А. В. НЕСТЕРОВ

Сфера информационных технологий переживает сложный период перемен. Среди данных перемен наиболее важны перемены в законодательстве, посвященном информации, информатизации и защите информации. Многих специалистов волнуют вопросы: возможно ли техническое регулирование информационных технологий, почему в перечне видов безопасности в Федеральном законе "О техническом регулировании" нет информационной безопасности? Два Федеральных закона [1, 2] канули в Лету, но появились два новых [3, 4], понятие "информатизация" исчезло из заглавия одного Закона, но при этом основное понятие рассматриваемой сферы "информационные технологии" появилось в заглавии другого Закона. Очень важный шаг сделали законодатели, приняв Федеральный закон "О персональных данных". На наш взгляд, в отличие от данного Федерального закона другой Федеральный закон "Об информации, информационных технологиях и безопасности информации" не только очень слабый, но и слабее Закона, на смену которому он пришел. А учитывая, с какой поспешностью он был принят, можно предположить, что законодатели решали тактическую задачу по легализации термина "информационные технологии". Очень интересными стали сообщения о разработке "Информационного кодекса РФ", а если учесть обсуждаемый законопроект [5], то станет понятен неподдельный интерес власти к сфере информационных технологий.

Фактически власть осознала, что ни административная реформа, ни реформа технического регулирования, ни другие задуманные ею преобразования невозможны без реформы информационной сферы. В этой связи попытаемся на примере рассматриваемого законопроекта показать, что только методологический подход позволит перевести вышеуказанную проблему в задачу и решить ее. Корни ее лежат в концептуальной плоскости определения понятия информации.

Законопроект формально соответствует современным юридическим требованиям по наличию статьи, посвященной основным понятиям, используемым в законопроекте, однако основные понятия в законопроекте фактически остались нераскрытыми. Определения основных понятий должны снимать вопросы, а не выносить их за скобки и тем более не порождать новые вопросы. Например, активы информационных технологий определяются через информационные и другие ресурсы, входящие в состав информационной технологии. Но определение информационного ресурса было выброшено из [3]. Так что такое информационный ресурс?

В законопроекте используются, по мнению законотворцев, как очевидные технические, технологические и научные термины, по поводу которых научные и профессиональные сообщества никак не могут прийти к согласию. Что же тогда делать юристам в форс-мажорных, а тем более в спорных ситуациях?

Рассмотрим некоторые из этих понятий. Это технология, ресурсы, активы, процессы, процедуры, средства, способ, функциональные возможности.

Если убрать слово "информационная", то под технологией в законопроекте понимается совокупность средств, систем и процедур их применения, обеспечивающая осуществление процессов. Опытный глаз сразу увидит недостатки. Это не определение технологии, а определение неполного состава неизвестной и неполной совокупности элементов, которые входят в обеспечивающую технологию некоторых процессов. Мы здесь не находим ни структурных, ни функциональных свойств самой технологии. В связи с принятием нового Федерального закона "Об информации..." должна измениться и формулировка понятия "информационная технология". В соответствии со ст. 2 данного Закона под ней понимаются процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Таким образом, технология - это процессы, методы и способы их осуществления. Интересно, чем отличается способ осуществления метода от самого метода и чем они отличаются от процедур из [5]? Если исходить из того, что метод - это описание конечной последовательности операций, приводящей к искомому результату, а способ - описание неопределенной совокупности операций, могущей привести к искомому результату, а вместе они процедура (описание процесса), то тогда мы различаем термины процесс и процедура, что нельзя сказать о [3].

В соответствии с [3] информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, технология является частью системы, в которую еще входят информация баз данных и технические средства. Здесь уже нигде нет упоминания о программных и аппаратных средствах. Исходя из этого, информационная технология должна только обеспечивать обработку информации из баз данных. Как же быть с другими операциями процессов и действиями в рамках методов? Еще больше "туману" создает ст. 2 законопроекта, в частности, под объектами технического регулирования понимаются процессы эксплуатации информационных технологий и телекоммуникационной инфраструктуры. Что законотворцы понимают под данными процессами, не разъяснено. Можно только догадываться, что, возможно, под данными процессами понимаются процессы поиска, сбора, хранения, обработки, представления, распространения информации. Тогда, наверное, эксплуатация - это управление и обеспечение информационной системы в процессе ее функционирования (реализации), включающее технические, технологические (технологию) и информационные (информация в базах данных) средства. Если ориентироваться на [3], то в ст. 1 отмечается, что Закон регулирует отношения, возникающие при применении информационных технологий. Включает ли применение в себя эксплуатацию, также неясно.

Следующее определение понятия "активы технологии" фактически выносит его смысл за скобки. Ранее в [1] информационные ресурсы определялись как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Если теперь нет законодательно определенного термина "информационные ресурсы", то тогда, может быть, законотворцы под ресурсами подразумевали используемый в Законе [3] термин "средства". В этом случае зачем вводить еще один термин "активы", который уже имеет юридическую смысловую нагрузку.

Основным понятием в информационных технологиях являются информационные процессы. К сожалению, и здесь правила формулирования определений нарушены. Фактически определение информационных процессов представляет собой неполный список действий или операций, причем без разъяснения или ссылок на другие законы.

Если законопроект посвящен безопасности информационных технологий, то, наверное, должны быть определены действия, совершенные "неправомочным способом". Само же понятие информационных процессов должно быть закреплено в другом Законе, в частности в [3]. К сожалению, в законопроекте только упоминаются модификация, подмена и уничтожение, осуществляемые неправомочным способом, но не дается определение свойств, квалифицирующих данные действия. В законопроекте используется широко известный термин "доступ", однако его нет в перечне операций, входящих в информационные процессы. Определение доступа к информации дано в [3], однако оно формальное, и поэтому сразу возникают вопросы. Если доступ - это возможность получения информации и ее использования, то как квалифицировать действия, когда субъект получил возможность, но не воспользовался данной возможностью, т. е. не получил информацию, или получил информацию, но не использовал ее? Напомним, что союз "и" подразумевает только одну логическую операцию.

Следующим важным понятием является обработка информации. На наш взгляд, лучше использовать термин "обработка данных" в соответствии с Федеральным законом "О персональных данных". В частности, под обработкой данных понимаются отдельные действия или операции, выполняемые с данными, или совокупность таких выполняемых с применением средств автоматизации или без их применения действий, как запись, организация, накопление, хранение, обновление или изменение, извлечение, обезличивание, уничтожение данных. Таким образом, сбор данных не входит в обработку данных. Кроме того, выделяется блокирование данных - временное прекращение, извлечение и (или) использование данных. Также не относится к обработке распространение данных, которое состоит из обнародования данных через средства массовой информации, размещение их в информационно-телекоммуникационных сетях или предоставление доступа к данным для неограниченного круга лиц каким-либо иным способом. Под передачей данных в данном Законе подразумевается предоставление оператором какому-то лицу доступа к данным. В связи с этим в данном Законе более четко прописан оператор информационной системы, в частности, это субъект, осуществляющий работу с информационной системой на законных основаниях и определяющий цели, содержание и применение результатов обработки данных.

В законопроекте используется термин "функциональные возможности информационных технологий", которые также не определены. Попытаемся догадаться, что это такое. В [3] данное понятие не используется, но определен оператор информационной системы, который ее эксплуатирует, в том числе осуществляет обработку информации, содержащейся в ее базах данных. Таким образом, оператор или иное лицо, получившее право на доступ к информации и/или функциональным возможностям информационной технологии, может получать информацию и/или осуществлять с ней доступные операции. При этом, так как информационная технология может иметь возможность оперировать и с самими ее функциями, сами функциональные возможности включают и такую возможность.

Казалось бы, что ст. 16 [3], посвященная защите информации, должна быть согласована с нормами законопроекта специального Технического регламента "О безопасности информационных технологий" [5], однако это не так. Если в [5] даны определения трем основным терминам (доступность, конфиденциальность и цельность), то в [3] только определена конфиденциальность информации.

Удивительно, но в соответствии с [3] защита информации представляет собой принятие некоторых мер, направленных на обеспечение защиты информации. Среди этих мер есть действия, предотвращающие неправомерные действия в виде доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий. К сожалению, и законопроект в части защиты информации также имеет недостатки, в частности, в нем под конфиденциальностью понимают состояние защищенности информации ограниченного доступа от неправомерного раскрытия. Что такое раскрытие, не расшифровывается. Под целостностью в [5] понимается состояние защищенности информации и функциональных возможностей информационных технологий от модификации, подмены и уничтожения неправомочным способом. Таким образом, в [5] защита информации превращается в состояние защищенности информации при обеспечении безопасности при эксплуатации информационных технологий в целях защиты жизни и здоровья граждан и далее по тексту.

Так что же мы должны делать? Защищать информацию или обеспечивать безопасность информационных технологий и соответственно информации. Это пример того, как неправильно выбранные термины, включенные в закон, могут искажать реальность.

Термины "защита информации" и "безопасность информации" необходимо различать. Зададим первый вопрос: можно ли в принципе защищать нематериальную информацию? В связи с тем, что мы разделяем понятия "данные", "информация" и "знания", на наш взгляд, под защитой информации надо понимать защиту данных, т. е. деятельность, направленную на предотвращение нарушения целостности, сохранности и подлинности защищаемых данных, а также непосредственно саму защиту как объект, включающий в себя средства и способы защиты, и, наконец, создание таких условий для защищаемых данных, при которых гарантированно обеспечивается целостность, сохранность и подлинность данных [6]. При этом обратим внимание на то, что целостность защиты данных важнее целостности данных, так как нарушение целостности защиты данных еще не является нарушением целостности информации, содержащейся в данных, или конфиденциальности. Например, если к двум субъектам попадает конверт с данными (шифрами и кодами счетов в банке), то один из них может просто не понять, о чем эта информация, а другой может тут же пойти и нелегально снять деньги. В целом же защита представляет собой свойство, характеризующее способность объекта препятствовать нанесению ущерба или уменьшать его уровень.

В связи с этим защита информации (данных) является одним из элементов системы безопасности информации. Можно выделить в данной системе три подсистемы: реализации безотказности, доступности и защиты информации. Не надо забывать, что данные могут быть открытыми (не защищенными), но если они будут недоступными, например, по причине наличия очереди на доступ к ним (времени ожидания), то безопасность может быть нарушена. На наш взгляд, безопасность информационных технологий в соответствии с [5] не должна определяться только ее состоянием и характеризоваться доступностью, конфиденциальностью и целостностью, где две последние, в свою очередь, зависят от состояния защищенности и от условий, в которых находятся данные технологии.

Под безопасностью, в частности, данных будем понимать не только деятельность по реализации защиты данных, безотказности технологии и организации контролируемого окружения, но и мониторинг неконтролируемого окружения. Поэтому безопасность информации (данных, информационных технологий) должна удовлетворять требованиям норм, в которых определены свойства отчуждаемых данных; требованиям правил (процедур), в которых определены состояния процессов взаимодействия, и требованиям условий, в которых определены ситуации среды продуцирования. Аналогичные требования должны быть предъявлены и к защите данных.

В связи с тем, что информационные технологии могут функционировать не только в неконтролируемом окружении, но и в недружественном окружении, необходимо оценивать риск причинения ущерба от нарушения системы информационной безопасности. Обычно риск причинения ущерба оценивается показателем в виде произведения степени вероятности наступления негатива, возможной величины ущерба и длительности негативных последствий. В теории безопасности выделяют три степени ущерба, в котором может находиться объект: неработоспособное состояние, опасное состояние и аварийное состояние. Неработоспособное состояние характеризуется нарушением обязательных требований и определяется приемлемым ущербом. Опасное состояние возникает в результате происшествия и определяется неприемлемым, но допустимым ущербом. Аварийное состояние возникает в результате аварии и определяется недопустимым ущербом. Таким образом, можно выделить три степени ущербного состояния объекта: угрожающее, опасное и вредное и тем самым разделить следующие понятия: угроза, опасность и вред. Сам же ущерб определяется как состояние объекта, характеризующее процесс его негативного изменения.

Для того чтобы предотвращать негатив, необходимо учитывать причины возникновения негатива путем оценки вероятности возникновения причин возможных негативов. Однако нейтрализация причин негатива может не дать искомого результата, так как могут оставаться источники опасности. В этой связи необходим анализ возможных источников опасности, а для этого надо уметь оценивать вероятность появления источников опасности.

Таким образом, в [5] должны быть установлены не только требования к обеспечению безопасности при эксплуатации информационных технологий, но и другие факторы. Законопроект должен регулировать отношения в сфере безопасности информационных технологий или реализации информационной безопасности, в том числе определять юридический статус субъектов данных отношений, а также регулировать требования на взаимодействия данных субъектов как внутри информационных технологий и информационных систем, так и вне их.

К сожалению, законопроект слабо связан с ГОСТом [12] по защите информации. Кроме того, отметим, что мы различаем такие понятия, как "безопасность", "пригодность" и "качество", которые иногда рассматриваются как синонимы [10]. Наши критические замечания Доктрины информационной безопасности РФ приведены в [11].

Далее необходимо остановиться на коренных вопросах. Возможно ли техническое регулирование информационных технологий? Что является объектом технического регулирования в информационных технологиях? Почему в списке видов безопасности в Федеральном законе "О техническом регулировании" [7] нет информационной безопасности (существует ли информационная безопасность)?

Объектом технического регулирования может быть продукция - результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных или иных целях, в том числе и процесс производства, эксплуатации [7]. Если исходить из того, что информация нематериальна (правильнее говорить - идеальна), то тогда информационная безопасность не существует, нет такого понятия, как "идеальная продукция", и информация не может быть объектом технического регулирования. Однако любая информация представлена на материально-вещественном носителе, поэтому, если ввести понятие "информационный объект", например, как информor="white" face="tahoma"> &