На информационном фронте

Обеспечению безопасности страны российские власти уделяют всё больше и больше внимания. Однако недавний грузино-южноосетинский конфликт показал, что в современном мире угрозу национальным интересам может представлять не только военная техника противника, но и, казалось бы, мирные информационные технологии.

Так, например, 10 и 11 августа, в разгар боевых действий, из-за хакерской атаки более 10 часов не работал сайт одного из крупнейших российских информационных агентств РИА «Новости», в результате был заблокирован доступ к актуальной информации для тысяч посетителей новостного ресурса. Безусловно, сейчас подобный инцидент не может стать определяющим в развитии какого-либо конфликта. Однако, как прогнозируют эксперты, с ростом технических возможностей будет увеличиваться и масштаб таких информационных диверсий.

Под ударом в «информационной войне» оказывается не только пресса. Известно, например, что США и Китай выделяют значительные бюджеты на разработку концепции так называемых сетевых войн и постоянно совершенствуют свои средства технической разведки. В таких условиях недостаточная защищенность электронных сетей в российских государственных учреждениях, включая военные, в кризисной ситуации может сделать их крайне уязвимыми. Специально разработанный вирус способен парализовать работу целого ведомства или спровоцировать утечку секретной информации. И если при разглашении банковской или налоговой информации могут пострадать отдельные граждане, то разглашение государственной тайны угрожает интересам общества.

Эта проблема всегда была в поле внимания государства, еще в 2000 году была принята «Доктрина информационной безопасности Российской Федерации», в которой сформулирована необходимость отстаивать национальные интересы в информационной сфере. В дальнейшем были подписаны два президентских указа, разъясняющие как именно и от кого государственные структуры должны защищать конфиденциальную информацию, с которой они работают. Одной из основных мер по защите информации от несанкционированного доступа является сертификация защитного программного обеспечения, используемого в органах государственной власти. Это гарантия того, что антивирусные программы не только оберегают компьютеры от всевозможных интернет-угроз, но и сами не представляют угрозу.

«В российском законодательстве четко зафиксирована необходимость сертификации защитных средств, в частности антивирусных продуктов, – поясняет Валерий Цибин, заместитель генерального директора ЗАО "НПП "БИТ", лаборатории, аккредитованной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) на проведение сертификации защитного ПО. – Поэтому рассуждения о том, нужна сертификация или нет, хорошо это или плохо, не корректны по своей сути – есть закон, требования которого мы все должны придерживаться. Закон предписывает, что антивирусные решения, поставляемые государственным структурам должны иметь соответствующие сертификаты, значит, поставщики ПО должны придерживаться этой нормы».

В большинстве развитых стран защиту компьютеров в государственных и, тем более, военных  учреждениях доверяют только отечественным тщательно проверенным программам. Трудно себе представить, что на компьютерах в Пентагоне, например, будет установлен российский антивирус. Требования к программному обеспечению в наших госструктурах в этом плане гораздо мягче. Любая компания, не только российская, но и зарубежная может провести сертификацию своего продукта в ФСТЭК и ФСБ. После того, как будет подтверждено, что программа выполняет исключительно заявленные функции и не несет в себе никакой скрытой угрозы, производитель сможет предлагать свой продукт к внедрению российским государственным учреждениям.

Эксперты ФСБ и ФСТЭК России проверяют исходные коды продукта, которые должен предоставить производитель. Но не все западные компании готовы отдать свой продукт для тщательного изучения, то ли из-за нежелания раскрывать профессиональные секреты, то ли из боязни, что в их программах будут обнаружены так называемые «закладки» или сознательно оставленные бреши в защите, позволяющие получить доступ к секретным данным. Некоторые даже обвиняют российское правительство в протекционизме и лоббировании интересов отечественных производителей ПО. Однако российские компании проходят сертификацию на тех же условиях, что и зарубежные.

«Существует ряд правовых документов, в которых сформулированы конкретные требования, предъявляемые к обеспечению безопасности государственных информационных систем, – отмечает управляющий директор компании “Лаборатория Касперского“ в России, Сергей Земков. – Фактически речь идет о защите государственной собственности. Наличие сертификата на программные продукты для защиты информации является обязательным условием для IT-компаний, работающих в госсекторе. При этом важно отметить, что подобная практика распространена не только в нашей стране. В частности, «Лаборатория Касперского» имеет сертификаты Государственного Центра безопасности информации при Президенте Республики Беларусь, сертификат Службы Безопасности Украины и ряд других. Таким образом, если компания хочет работать с государственными заказчиками, то она должна работать по законам этой самой страны. К сожалению, многие иностранные компании и безответственные чиновники этим просто пренебрегают, тем самым ставя под угрозы национальные интересы государства».

Следует отметить, что крупные компании с мировым именем – Microsoft или Cisco – без проблем прошли все необходимые проверки и сотрудничают с российскими госструктурами на законных основаниях. 

В любом случае за использование несертифицированного программного обеспечения в государственных учреждениях будут нести ответственность не компании-поставщики, а чиновники. Указ президента № 188 от 6.03.97 определяет перечень сведений конфиденциального характера. Это и информация о частной жизни граждан, и сведения, составляющие тайну следствия и судопроизводства, и служебная информация различных ведомств, а также налоговая, коммерческая, врачебная, нотариальная тайна, тайна переписки, телефонных переговоров и почтовых отправлений. То есть практически вся информация, проходящая через органы власти, имеет ограниченный доступ и должна быть защищена сертифицированными программами.

Правила защиты информации и эксплуатации компьютерных сетей прописаны в должностных инструкциях каждого ведомства. Недобросовестное их исполнение действительно может повлечь за собой наказание, предусмотренное административным или уголовным кодексом – в зависимости от тяжести последствий. Кодекс РФ об административных правонарушениях предусматривает штрафы для физических и юридических лиц за использование несертифицированных программных средств защиты информации, содержащей государственную тайну.

Если же эти нарушения становятся причиной утечки, уничтожения, модификации или блокирования охраняемой законом информации, виновные могут быть привлечены к уголовной ответственности. Соответствующая статья закона предусматривает наказание в виде ограничения свободы на срок до двух лет или обязательные работы на срок от ста восьмидесяти до двухсот сорока часов. Кроме того, возможно лишение права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет. Если же нарушение правил защиты информации повлекло за собой тяжкие последствия, виновный может быть наказан лишением свободы на срок до четырех лет.

По словам Валерия Цибина, ФСТЭК и ФСБ России, уполномоченные проводить сертификацию защитных средств, также имеют право проверять госорганы на предмет использования сертифицированного ПО. «Уже неоднократно были случаи, когда за использование программ, не прошедших необходимых проверок, на руководителей налагались крупные штрафы. С каждым днем таких случаев становится все больше», – отмечает эксперт.

Повышение контроля за реализацией мер по защите информации приносит свои плоды. Всё больше государственных чиновников, в том числе и на региональном уровне, осознают необходимость использования сертифицированного программного обеспечения. Эта позитивная тенденция позволяет надеяться на то, что в ближайшее время во всех государственных учреждениях России конфиденциальная информация окажется под должной защитой.