KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Интернет » Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества

Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Олег Демидов, "Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества" бесплатно, без регистрации.
Перейти на страницу:

Вне зависимости от мотивов неправомерных действий в сфере использования ИКТ, в отдельную категорию по своим характеристикам выдвигаются угрозы определенному классу объектов – объектам критической инфраструктуры (КИ), в том числе объектам критической информационной инфраструктуры (КИИ).

Понятия, классификация и регулирование критической информационной инфраструктуры

Первая проблема, которая имеет не только научно-теоретическое, но и сугубо практическое значение – отсутствие единообразных определений как на международном уровне, так и в регуляторных нормах и практиках значительного количества государств.

Критически важный объект – объект, нарушение или прекращение функционирования которого может привести к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.


Критическая информационная инфраструктура Российской Федерации – совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

Проект Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (подготовлен ФСБ РФ, текст по состоянию на 8 августа 2013 г.)

Российская Федерация по состоянию на начало 2015 г. является одним из государств, в которых регуляторный подход к вопросам обеспечения безопасности объектов КИИ развивается, однако пока не является завершенным и в достаточной мере систематизированным. Несмотря на активное развитие нормативной базы, до сих пор законодательно не закреплен единый подход к понятию «критически важного объекта (КВО)». Кроме того, даже внутри отрасли информационной безопасности существуют различные толкования КВО на уровне документов ключевых ведомств, вовлеченных в нормотворческий и регуляторный процесс в этой сфере (Совета Безопасности РФ, ФСБ РФ, ФСТЭК РФ). Выработка общегосударственного, интегрированного и систематизированного подхода как к определениям и классификации критически важных объектов России, так и государственной политике по защите в том числе от ИКТ-угроз, должна стать четким приоритетом уже на ближайшую перспективу.

Понятие «критически важные объекты» было определено еще в Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной распоряжением Правительства России от 27.08.2005 № 1314-р, как «объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени». По мере развития регуляторных подходов, выработки новых ведомственных документов и законопроектов терминология в сфере защиты КВО также уточняется и развивается, но это определение закрепилось и находит отражение в более поздних нормативных актах.

Важным шагом на пути выработки согласованного подхода стала подготовка ФСБ РФ в 2013 г. проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Законопроект предлагает само понятие критической информационной инфраструктуры (КИИ) России, а также закрепляет базовые критерии ее классификации. Предлагается классификация объектов КИИ по трем уровням опасности от высокого до низкого, а также семь критериев ее категорирования с точки зрения ее «отраслевой» значимости (экономической, экологической, социальной, для обороноспособности и для национальной безопасности России, для реализации управленческих функций и в части предоставления значительного объема информационных услуг). При этом, исходя из возможности принятия законопроекта в течение 2015 г., сами показатели критериев должны быть определены не ранее конца 2015 г. – начала 2016 г. Что особенно важно, законопроект предлагает системное видение межведомственного взаимодействия в сфере обеспечения безопасности и защиты КИИ РФ.

Излагаемые в проекте закона нормы в целом отвечают подходам, которые сформулированы в одном из наиболее проработанных международных документов по тематике защиты КИИ – Рекомендациях по защите критических информационных инфраструктур от 2008 г., выпущенных Организацией экономического сотрудничества и развития (OECD Recommendations on the Protection of Critical Information Infrastructures (2008)). При этом в российском законопроекте практически не затронута тематика международного взаимодействия по вопросам защиты КИИ, которое предусмотрено в рекомендациях ОЭСР в качестве одного из основных направлений деятельности.

Также в законопроекте не приводится полная классификация КИИ РФ, как и КВО РФ. Вопрос классификации важен как для решения внутригосударственных задач в этой сфере, так и для международного взаимодействия и сотрудничества. Отсутствие единой официально утвержденной классификации КВО и КИИ РФ осложняет межведомственное взаимодействие, служит дополнительным стимулом для конкуренции различных ведомств и регуляторов за полномочия в этой сфере, а также дезориентирует операторов самих КВО и объектов КИИ и диктует необходимость двойной и тройной отчетности об инцидентах и мерах по защите своих объектов перед различными регуляторами. Как один из примеров видения классификации КВО РФ приведем подход МЧС РФ. Нормативные акты министерства предусматривают идентификацию критической инфраструктуры по семи видам угроз, двум классам угроз и 50 типам объектов (зарубежным секторам приблизительно соответствует деление по семи видам угроз).

Помимо разницы во взглядах на приоритет международного сотрудничества, в повестке дня обеспечения ИБ КВО вновь проявляют себя нерешенные вопросы терминологии и классификации. Сопоставление терминологии документов Австралии, Германии, Канады, Великобритании, Нидерландов, России, США, Японии и других государств показывает существенные расхождения в логике определения таких объектов. Разные государства также выделяют различные классы/секторы КИИ (либо не выделяют таковую из общего перечня критической инфраструктуры вообще).

В США выделяются 16 секторов критической инфраструктуры; в Канаде, ЕС, Швейцарии и Японии – по 10 секторов. В большинстве случаев классификации объектов критической инфраструктуры в различных странах отличаются друг от друга, несмотря на то что значительная часть объектов (АЭС и объекты ЯТЦ, дамбы и ключевые объекты гидроэнергетики, крупнейшие телекоммуникационные инфраструктуры, правительственные информационные системы и ряд других) попадают практически во все классификации.

Однако особенностью российского подхода является то, что, в отличие от других государств, в которых объекты критической инфраструктуры, как правило, заранее распределены по отраслям, в России действует система признаков классификации объектов, относящихся к критическим. Точный перечень таких признаков не содержится в открытых источниках, однако сам принцип системы состоит именно в применении к объекту инфраструктуры системы критериев, а не отнесения его к списку КИ исключительно на основании той отрасли или сектора, к которому объект принадлежит.

В международной практике к категориям КИИ, встречающимся в классификациях абсолютного большинства государств, как правило, относятся:

• объекты атомной отрасли;

• энергосети, энергогенерирующие и энергораспределительные мощности;

• транспортные системы: авиация, железные дороги, автомобильные дороги и т. д.;

• объекты производства и хранения сельхозпродукции, а также продовольственного обеспечения;

• объекты государственного управления и правительственных коммуникаций;

• объекты ТЭК, в том числе нефтегазового комплекса;

• основные телекоммуникационные системы, сети, программно-аппаратное обеспечение и системы связи;

• объекты ОПК (в России – химически опасные объекты);

• финансово-кредитный сектор;

• водообеспечение и водоснабжение;

• здравоохранение.


Приведенный перечень, с одной стороны, показывает, что некоторые категории объектов причисляются к КИ почти во всех национальных законодательствах. С другой стороны, даже в этом случае неминуемы различия в трактовках, определениях и детализации категорий. Во многих государствах выделяются категории объектов КИ, часть из которых могут вообще не встречаться у их партнеров, и наоборот.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*