Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Проект Доктрины информационной безопасности РФ: замечания и предложения

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(2)
()
Опубликовано в:

Несколько дней назад Совет Безопасности Российской Федерации (далее – Совбез) разместил на своём сайте очередной проект Доктрины информационной безопасности Российской Федерации (далее – Доктрина). На профессиональных интернет-площадках это событие должного внимания не нашло. И это довольно странно: ключевой документ, фундамент, на котором будет строиться в последующем вся законодательная и нормативная база отрасли, игнорируется профессиональным сообществом? Ознакомившись с текстом Доктрины, я понял почему: в ней на этот раз намного чётче поставлен акцент на гуманитарной составляющей информационной безопасности. Львиная доля текста – о защите от деструктивного информационного воздействия. О защите информации есть, особенно в части АСУ ТП, но это, судя по контексту, не основная тема. Как это, собственно, и должно быть. Сама жизнь заставляет приходить к правильному пониманию проблемы. И, тем не менее, представленный проект Доктрины вобрал в себя все недостатки, присущие предыдущим версиям. Я в телеграфной манере описал некоторые из них и хотел отправить свои замечания и предложения по их устранению разработчикам Доктрины, но форма обратной связи не позволила мне это сделать (ограничения – 1 раз и не более 1000 символов). Она приняла первый абзац и больше не пожелала. Поэтому я выкладываю этот текст на своём блоге и сайте BISA в надежде, что разработчики проекта с ними, всё-таки, ознакомятся и устранят хотя бы некоторые из недостатков. А лучше было бы переделать её полностью и сделать новую, на научной основе, и таким образом постепенно перевести всю сферу информационной безопасности в правильное русло.

Вот некоторые из недостатков предлагаемого проекта.

Определения терминов, используемых в Доктрине (равно как и во всех предыдущих) даны с нарушениями законов логики. Так, в объём понятия «информационная сфера» не могут входить «совокупность информации», «информационные технологии» и «механизмы управления». «Совокупность информации» - максимально общее и совершенно неопределённое понятие. Его объём равен бесконечности. К тому же, по аналогии, равно как в состав «медицинской сферы» не входят болезни, вирусы или шприцы, в состав информационной сферы не должна входить информация. Кроме того, опять же по аналогии, например, «производственная сфера – совокупность отраслей материального производства, в которых создаются материальные блага - средства производства, предметы потребления». Т.е. средства производства и предметы потребления создаются в отраслях, но сферу образуют именно отрасли. И информация – циркулирует внутри сферы, но её не образует и в её состав не входит. «Технологии» - это совокупность методов. Включать методы в состав сферы не совсем корректно, равно как и «механизмы управления». Я бы предложил здесь такое определение: информационная сфера – совокупность отраслей, в которых осуществляется производство информационных объектов и информационных продуктов и оказываются информационные услуги. Интересы не тождественны потребностям и раскрывать интересы через потребности не совсем корректно (а может быть – совсем некорректно).

«Информационная безопасность» не есть «состояние защищённости». По этому поводу написано огромное количество научной литературы. Трактовка безопасности через состояние защищённости ненаучна. Это – эзотерика. Была возможность уйти от этого средневекового понимания, но, видимо, не судьба. Совбез до этого ещё не созрел.

«Личность» и «общество» не являются субъектами права. Это – понятия психологии и социальной философии. «Личность» – это либо совокупность социальных отношений индивида, либо система социально-значимых черт, а «общество» - либо исторически развивающаяся форма жизнедеятельности людей, либо определённый этап человеческой истории. Ни личность, ни общество не являются и субъектами информационных отношений. Общаются между собой не личности и не общества, а юридические и физические лица, органы государственной власти, граждане, люди-человеки (индивиды). Поэтому «личность, общество, государство» звучит красиво, но выглядит с точки зрения науки безобразно.

Система – это: традиционная трактовка – совокупность элементов, связей, отношений, современная трактовка – структура, коммуникации, смыслы. Отсюда: Система обеспечения информационной безопасности РФ – совокупность органов государственной власти, юридических и физических лиц, используемых ими технических и программных средств, а также нормативных правовых актов и методических документов, регламентирующих деятельность по обеспечению информационной безопасности.

Понятия – форма мышления. Понятия существуют только в головах субъектов. В документах используются термины и их определения. «Понятия» используют бандиты на т.н. «стрелках». Не стоит употреблять этот термин в нормативном правовом акте, лучше заменить на: 6. В настоящей Доктрине используются следующие термины и определения: …

Российская Федерация – государство и, следовательно, речь должна идти о безопасности государства, а не нации. Понятие «национальные интересы» не тождественно понятию «государственные интересы». К тому же понятие «национальные интересы» раскрыто совершенно умозрительно, без опоры на науку и здравый смысл.

О вызовах, кроме упоминания в статье 2, больше нет ни слова. Кроме того, непонятно, какие вызовы и угрозы подвергались анализу. Угрозы раскрыты неверно. Угрозу представляют действия, направленные на деструкцию, дисфункцию и ухудшение условий функционирования власти, населения, территории (инфраструктуры) государства, но угрозами не могут быть «расширение», «наращивание», «использование» и т.д.

Источники угроз, практически, не указаны, особенно внутренние, в то время как в определении (пункт б статьи 6) они есть.

Основные направления обеспечения информационной безопасности Российской Федерации также представляются размытыми и декларативными. К тому же в разделе «основные направления» почему-то перечисляются принципы и цели. Причём, если это не оговорено специально в ТЗ, то статьи 21 и 22 лучше поменять местами: сначала государственная и общественная безопасность, а потом уже – военная.

Таким образом, представленный для обсуждения проект Доктрины информационной безопасности Российской Федерации построен на устаревшей и ненаучной парадигме, содержит множество методологических ошибок, носит размытый и декларативный характер. В случае принятия в таком виде Доктрина не будет способствовать улучшению ситуации с обеспечением информационной безопасности государства.

Оцените материал:
Total votes: 402
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ржавский Константин

Интересно, вроде как прописные истины и очевидно, до безобразия, но почему .....? Дело в том, что при таком подходе упростится, даже "срастется" моделирование сущностей и процессов при разработке  специализированных системных проектов, Но .... самый большой недостаток Ваших предложений это 100% переработка всего действующего законодательства в области! А где ж взять то этих .... ну тех кто ...?

up
13 users have voted.
Аватар пользователя Атаманов Геннадий

В том-то и дело, что задача смены законодательства давно назрела, но сделать это одномоментно невозможно. Начинать нужно со смены вектора и далее постепенно, без революционных изменений. В этом как раз состоит главное достоинство моих предложений. Доктрина - документ, который задаёт вектор. К ней ещё нужна Концепция и Стратегия. А где найти тех, кто сможет это сделать, - вопрос сложный. Ищите и обрящете. Не оскудела ещё земля русская.

up
32 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.