В этой связи может быть востребована проработка следующих возможностей.
1. Деполитизация терминологических вопросов применительно к сфере ИКТ-безопасности и вывод их за рамки процесса выработки механизмов взаимодействия там, где это возможно. Параллельным шагом могла бы стать активизация работы над консенсусной терминологией на международных площадках.
2. Выделение и согласование в рекомендательном формате перечня терминов, не требующих определения и интерпретации в силу своей универсальности либо де-факто сложившегося единообразного понимания. Возможные площадки: Группа правительственных экспертов (ГПЭ) ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности, Организация по безопасности и сотрудничеству в Европе.
Примером такого термина может служить термин «интернет» – изначально название Глобальной информационно-телекоммуникационной сети, на сегодняшний день вошедшее в употребление в качестве глобальной технологии коммуникации и даже, как отмечалось выше, общественного блага. Прецедент определения понятия «интернет» был задан в 2004–2005 гг. Эксперты Рабочей группы при Генеральном Секретаре ООН пришли к выводу о том, что данное понятие не нуждается в официальных пояснениях и определениях именно в силу своей очевидности и универсального понимания.
3. Уход от терминологического конфликта «кибербезопасность – МИБ» за счет всестороннего продвижения и популяризации на переговорных и дискуссионных площадках наработок ГПЭ ООН и одноименных Резолюций Генеральной Ассамблеи ООН, принимаемых ежегодно с 1998 г., а с 2005 г. – с учетом наработок ГПЭ.
В частности, речь идет о терминологии «обеспечение безопасности при/в сфере использовании (-я) информационных и коммуникационных технологий (ИКТ)» (английский вариант – security of and in the use of information and communication technologies (ICTs)) как нейтральном и неполитизированном консенсусном термине с широким объемом.
4. Поддержка и реализация мер в части консенсусной терминологии, включенных в Первоначальный перечень мер укрепления доверия в рамках ОБСЕ с целью сокращения рисков возникновения конфликтов в результате использования ИКТ, который был согласован и принят 3 декабря 2013 г. при активном участии России.
Конкретно речь идет о статье 9 упомянутого перечня, в которой предлагается:
• каждому государству представить на добровольной основе перечень используемых ими терминов, касающихся безопасности ИКТ и их использования, сопровождаемый пояснением или определением по каждому термину;
• государствам-участникам – в среднесрочной перспективе составить общий согласованный глоссарий критических терминов ИКТ в сфере международной безопасности.
Целесообразной также видится организация аналогичной работы в части терминологии в рамках некоторых других форматов, в частности Регионального форума АСЕАН (АРФ) и упомянутой ГПЭ ООН.
Возможная цель к 2017 г.Разработка и принятие в формате рекомендательного документа ООН единообразного перечня критической терминологии по вопросам ИКТ и их использования в области международной безопасности с учетом наработок ОБСЕ, АСЕАН, ГПЭ ООН и других международных форматов.
5. В тех случаях, когда консенсусные терминологические наработки не работают либо отсутствуют в дипломатической практике, целесообразно опираться на наработки и технологически ориентированные определения международных организаций прежде всего в рамках структуры ООН.
Полезен может быть опыт Международной организации по стандартизации (ИСО), которая, несмотря на статус НПО, ведет деятельность в 164 странах мира и играет важную роль в разработке и распространении стандартов; в числе ее наработок – стандарт ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности», принятый в 2012 г.
6. Наконец, преодоление терминологических конфликтов по вопросам ИКТ и их использования невозможно без обмена мнениями между представителями экспертных сообществ различных стран и регионов. В дополнение к работе правительственных экспертов в рамках ГПЭ ООН необходимо также усиление трека 1,5 и трека 2 в части работы над критической терминологией ИКТ.
Успешный проект такого рода был осуществлен в 2011 г. Институтом «Запад – Восток» и Институтом проблем информационной безопасности МГУ им. М.В. Ломоносова. По итогам общения группы российских и американских экспертов был издан двуязычный перечень 20 критических терминов в сфере кибербезопасности с расшифровкой. Представляется возможным возобновить подобный формат и усилить его за счет вовлечения широкого круга как правительственных, так и неправительственных экспертов из России, США и других стран. ПИР-Центр будет готов подключиться в такой работе в ближайшее время.
7. Несмотря на противоречие концепции Стратегии кибербезопасности России действующим доктринальным документам и нормативным актам, в экспертном сообществе сохраняется запрос на тот угол зрения на проблемы безопасности в сфере использования ИКТ, который отражен в ней. Востребованы серьезное обновление и доработка этого документа при участии всех профильных ведомств. К этой работе могли бы подключиться Совет по кибербезопасности при Военно-промышленной комиссии и межведомственная рабочая группа по информационной защите, о создании которых в марте 2015 г. отдал поручение заместитель председателя правительства России Дмитрий Рогозин.
Возможным направлением действий в этой связи могло бы стать формирование новой рабочей группы, включающей представителей государственных органов (СБ РФ, МИД РФ, ФСБ РФ, Министерства обороны РФ, МВД РФ, Министерства связи и массовых коммуникаций РФ и проч.), а также представителей частного сектора, академического и технического сообщества. Задача этой группы может включать проработку вариантов гармонизации терминологии концепции Стратегии кибербезопасности РФ с российским национальным законодательством и доктринальными документами.
Дополнительная информация1. Якушев М. Интернет-2012 и международная политика // Индекс безопасности. 2013. № 1 (104). С. 29–42.
2. Материалы круглого стола ПИР-Центра «Международная информационная безопасность и глобальное управление Интернетом: взгляд российских и международных экспертов на встрече в Женеве» // Индекс безопасности. 2013. № 1 (104). С. 185–206.
3. Двусторонний проект Россия – США по кибербезопасности. Основы критически важной терминологии / Под ред. К.Ф. Раушера, В. Ященко. Институт проблем информационной безопасности МГУ им. М.В. Ломоносова, 2011. URL: http://iisi.msu.ru/UserFiles/File/Terminology%20IISI%20EWI/Russia-U%20S%20%20bilateral%20on%20terminology%20RUS.pdf (дата обращения: 01.03.2016).
Документы1. Решение Организации по безопасности и сотрудничеству в Европе (Постоянный совет) от 03.12.2013 № 1106 «Первоначальный перечень мер укрепления доверия в рамках ОБСЕ с целью сокращения рисков возникновения конфликтов в результате использования информационных и коммуникационных технологий». URL: http://www.osce.org/ru/pc/109648?download=true (дата обращения: 01.03.2016).
2. Тунисская программа для информационного общества. Всемирная встреча на высшем уровне по вопросам информационного общества. Женева, 2003 г. – Тунис, 2005 г. Организация Объединенных Наций. URL: http://www.un.org/ru/events/pastevents/pdf/agenda_wsis.pdf (дата обращения: 01.03.2016).
3. X.1205 (04/2008) «Обзор кибербезопасности». Серия X: Сети передачи данных, взаимосвязь открытых систем и безопасность. Международный союз электросвязи. Апрель 2004 г. URL: http://www.itu.int/rec/T-REC–X.1205-200804-I (дата обращения: 01.03.2016).
4. ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности». Всемирная организация по стандартизации. 16.07.2012. URL: http://www.iso.org/iso/ru/catalogue_detail?csnumber=44375 (дата обращения: 01.03.2016).
5. Конвенция об обеспечении международной информационной безопасности (концепция). Совет Безопасности Российской Федерации. URL: http://www.scrf.gov.ru/documents/6/112.html (дата обращения: 01.03.2016).
6. Соглашение между правительствами государств – членов Шанхайской организации сотрудничества о сотрудничестве в области обеспечения международной информационной безопасности. NATO Cooperative Cyber Defense Centre of Excellence. URL: https://ccdcoe.org/sites/default/files/documents/SCO-090616-IISAgreementRussian.pdf (дата обращения: 01.03.2016).
7. Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 г. Совет Безопасности Российской Федерации. URL: http://www.scrf.gov.ru/documents/6/114.html (дата обращения: 01.03.2016).
8. Концепция стратегии кибербезопасности Российской Федерации (проект). Официальный сайт Совета Федерации Федерального Собрания Российской Федерации, 10.01.2014. URL: http://council.gov.ru/press-center/discussions/38324/ (дата обращения: 01.03.2016).
Раздел III Обеспечение безопасности объектов критической информационной инфраструктуры: основные угрозы и стратегии реагирования
Вне зависимости от мотивов неправомерных действий в сфере использования ИКТ, в отдельную категорию по своим характеристикам выдвигаются угрозы определенному классу объектов – объектам критической инфраструктуры (КИ), в том числе объектам критической информационной инфраструктуры (КИИ).
Понятия, классификация и регулирование критической информационной инфраструктуры
Первая проблема, которая имеет не только научно-теоретическое, но и сугубо практическое значение – отсутствие единообразных определений как на международном уровне, так и в регуляторных нормах и практиках значительного количества государств.
Критически важный объект – объект, нарушение или прекращение функционирования которого может привести к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.
Критическая информационная инфраструктура Российской Федерации – совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.
Проект Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (подготовлен ФСБ РФ, текст по состоянию на 8 августа 2013 г.)Российская Федерация по состоянию на начало 2015 г. является одним из государств, в которых регуляторный подход к вопросам обеспечения безопасности объектов КИИ развивается, однако пока не является завершенным и в достаточной мере систематизированным. Несмотря на активное развитие нормативной базы, до сих пор законодательно не закреплен единый подход к понятию «критически важного объекта (КВО)». Кроме того, даже внутри отрасли информационной безопасности существуют различные толкования КВО на уровне документов ключевых ведомств, вовлеченных в нормотворческий и регуляторный процесс в этой сфере (Совета Безопасности РФ, ФСБ РФ, ФСТЭК РФ). Выработка общегосударственного, интегрированного и систематизированного подхода как к определениям и классификации критически важных объектов России, так и государственной политике по защите в том числе от ИКТ-угроз, должна стать четким приоритетом уже на ближайшую перспективу.
Понятие «критически важные объекты» было определено еще в Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной распоряжением Правительства России от 27.08.2005 № 1314-р, как «объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени». По мере развития регуляторных подходов, выработки новых ведомственных документов и законопроектов терминология в сфере защиты КВО также уточняется и развивается, но это определение закрепилось и находит отражение в более поздних нормативных актах.
Важным шагом на пути выработки согласованного подхода стала подготовка ФСБ РФ в 2013 г. проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Законопроект предлагает само понятие критической информационной инфраструктуры (КИИ) России, а также закрепляет базовые критерии ее классификации. Предлагается классификация объектов КИИ по трем уровням опасности от высокого до низкого, а также семь критериев ее категорирования с точки зрения ее «отраслевой» значимости (экономической, экологической, социальной, для обороноспособности и для национальной безопасности России, для реализации управленческих функций и в части предоставления значительного объема информационных услуг). При этом, исходя из возможности принятия законопроекта в течение 2015 г., сами показатели критериев должны быть определены не ранее конца 2015 г. – начала 2016 г. Что особенно важно, законопроект предлагает системное видение межведомственного взаимодействия в сфере обеспечения безопасности и защиты КИИ РФ.
Излагаемые в проекте закона нормы в целом отвечают подходам, которые сформулированы в одном из наиболее проработанных международных документов по тематике защиты КИИ – Рекомендациях по защите критических информационных инфраструктур от 2008 г., выпущенных Организацией экономического сотрудничества и развития (OECD Recommendations on the Protection of Critical Information Infrastructures (2008)). При этом в российском законопроекте практически не затронута тематика международного взаимодействия по вопросам защиты КИИ, которое предусмотрено в рекомендациях ОЭСР в качестве одного из основных направлений деятельности.
Также в законопроекте не приводится полная классификация КИИ РФ, как и КВО РФ. Вопрос классификации важен как для решения внутригосударственных задач в этой сфере, так и для международного взаимодействия и сотрудничества. Отсутствие единой официально утвержденной классификации КВО и КИИ РФ осложняет межведомственное взаимодействие, служит дополнительным стимулом для конкуренции различных ведомств и регуляторов за полномочия в этой сфере, а также дезориентирует операторов самих КВО и объектов КИИ и диктует необходимость двойной и тройной отчетности об инцидентах и мерах по защите своих объектов перед различными регуляторами. Как один из примеров видения классификации КВО РФ приведем подход МЧС РФ. Нормативные акты министерства предусматривают идентификацию критической инфраструктуры по семи видам угроз, двум классам угроз и 50 типам объектов (зарубежным секторам приблизительно соответствует деление по семи видам угроз).
Помимо разницы во взглядах на приоритет международного сотрудничества, в повестке дня обеспечения ИБ КВО вновь проявляют себя нерешенные вопросы терминологии и классификации. Сопоставление терминологии документов Австралии, Германии, Канады, Великобритании, Нидерландов, России, США, Японии и других государств показывает существенные расхождения в логике определения таких объектов. Разные государства также выделяют различные классы/секторы КИИ (либо не выделяют таковую из общего перечня критической инфраструктуры вообще).
В США выделяются 16 секторов критической инфраструктуры; в Канаде, ЕС, Швейцарии и Японии – по 10 секторов. В большинстве случаев классификации объектов критической инфраструктуры в различных странах отличаются друг от друга, несмотря на то что значительная часть объектов (АЭС и объекты ЯТЦ, дамбы и ключевые объекты гидроэнергетики, крупнейшие телекоммуникационные инфраструктуры, правительственные информационные системы и ряд других) попадают практически во все классификации.
Однако особенностью российского подхода является то, что, в отличие от других государств, в которых объекты критической инфраструктуры, как правило, заранее распределены по отраслям, в России действует система признаков классификации объектов, относящихся к критическим. Точный перечень таких признаков не содержится в открытых источниках, однако сам принцип системы состоит именно в применении к объекту инфраструктуры системы критериев, а не отнесения его к списку КИ исключительно на основании той отрасли или сектора, к которому объект принадлежит.