РФ, председателем подкомитета по информационной безопасности Комитета по безопасности Госдумы Владимиром Лопатиным о проблемах взаимоотношений государства и общества, возникающих в процессе поиска баланса в области информационной безопасности. С ним беседует научный редактор Computerworld Россия Михаил Зырянов.
Ваш парламентский подкомитет заканчивает работу над концепцией законодательства в сфере информационной безопасности. Какую формулировку вы намерены дать понятию информационной безопасности?
Мы предлагаем определить понятие информационной безопасности как состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере от внешних и внутренних угроз. Список объектов защиты планируем ограничить тремя. Первый - реализация и защита прав граждан и основных интересов общества в информационной сфере. Здесь следует выделить четыре основных элемента: создание условий для реализации гражданином своего права на доступ к информации; защита права гражданина на неприкосновенность своей частной жизни (свобода одних определяется степенью свободы других); защита здоровья гражданина, его психики от вредной информации, в том числе и распространяемой по компьютерным сетям или с использованием компьютерных технологий (примером вредного воздействия этих технологий может служить недавнее происшествие в Японии, когда 700 человек, посмотрев компьютерный "мультик", попали в больницу с признаками эпилепсии); права на защиту интеллектуальной собственности, прежде всего в интересах государства. Наше законодательство должно ориентирваться на достижение баланса прав и интересов граждан, общества и государства и обеспечение этого баланса. Отсюда законопроекты, стоящие в плане работы: "О праве на информацию" (принят Госдумой в первом чтении), "О персональных данных", "Об информационно-психологической безопасности", "О реализации прав государства на объекты интеллектуальной собственности".
Второй объект - это защита самой информации, но не всей, а лишь информации ограниченного доступа. Президент РФ в своем послании от 16 февраля к Федеральному собранию записал в качестве основной задачи правительства и государства сокращение области ведомственных тайн. Государству нужно в законодательном порядке установить запреты и определить степень своего участия в защите этой информации с ограниченным доступом. По-видимому, должно быть стопроцентное участие в сфере защиты государственной и служебной тайны и частичное - в обеспечении безопасности другой конфиденциальной информации: коммерческой, банковской, профессиональной, в соблюдении гарантии неприкосновенности персональных данных. Степень участия определяется принимаемыми законами, правовыми запретами, установленными нормами ответственности за нарушения этих запретов. Все, что не запрещено законом, должно быть разрешено.
Сейчас ситуация такова: государство говорит - защищайте сами свою информацию, но спрашивайте каждый раз разрешения у государства. В таком подвешенном состоянии ни один уважающий себя собственник не решится на серьезные инвестиции в развитие средств защиты своей конфиденциальной информации, за которую отвечает он, и только он, потому что, во-первых, при отсутствии законодательных ограничений чиновник в любой момент может поменять правила, во-вторых, в случае применения шифрования государство, имея у себя на хранении дубликат ключа, в лице того же самого чиновника может посмотреть, что же происходит у владельца информации и воспользоваться ею без ведома хозяина. Такое положение заставляет пользователей средств защиты по мере сил протестовать в надежде обезопасить свои данные.
В настоящее время существует 32 вида тайн. Понятия их зачастую не определены, соотношения между ними тоже, ответственность за нарушение режима того или иного вида тайн далеко не всегда присутствует в УК или Кодексе об административных правонарушениях. Тем не менее государство требует их выполнения. Мы, законодатели, предлагаем свести 32 вида тайн к пяти основным, по каждому из них принять закон, установить запреты и степень участия государства в защите информации с ограниченным доступом.
Наконец, третий объект защиты - сами информационные системы. Надо ли защищать все системы без исключения? Приведу пример. В Конституции есть статья о том, что государство гарантирует каждому гражданину РФ тайну телефонных переговоров, телеграфных, почтовых и иных сообщений. Вопрос: кто в лице государства гарантирует тайну, например, телефонных переговоров? Из разговоров с руководством Министерства связи и информации России выясняется, что данная структура за это не отвечает, потому что телефонная сеть - это открытая система. Но закрытую Министерство тоже не курирует, поскольку за правительственную связь несет ответственность ФАПСИ. В свою очередь ФАПСИ не отвечает за открытые системы. Тогда кто в государстве гарантирует гражданину право на тайну телефонных переговоров? Никто!
Необходимо изменить государственную политику в этом вопросе так, чтобы каждая норма Конституции, которая затрагивает права и свободы граждан в области информации, была реализована, действовала, именно на это должны быть направлены усилия государства.
Какие законы готовятся в области защиты разного рода тайн?
Закон о государственной тайне уже существует. Помимо него необходимо принять закон о коммерческой тайне (он сейчас проходит второе чтение; я являюсь одним из его авторов). Третий закон, который нам нужен, - о служебной тайне. Мы предлагаем включить в это понятие, во-первых, информацию внутреннего пользования самого органа государственной власти или местного самоуправления, сведя ее при этом к минимуму, во-вторых, любую конфиденциальную информацию, которая становится известна чиновнику в силу исполнения им своих служебных обязанностей. Сегодня есть банковская, коммерческая, профессиональная тайна (существует очень много видов последней). Чиновник по своему служебному положению имеет доступ к этой тайне, может ее получить, ею торговать (такие случаи не редкость), не неся за это никакой ответственности, поскольку доказать его вину достаточно трудно. Вот почему нужен закон о служебной тайне. В плане законопроектов на 1998 год он стоит.
Далее - закон о банковской тайне. Он необходим, поскольку коммерческая и банковская тайны - вещи разные. Нормы, которые сейчас действуют (статья 183 Уголовного кодекса, статья 857 Гражданского кодекса, статьи 16, 163, 167 Таможенного кодекса, статья 26 закона "О банках и банковской деятельности"), не решают проблемы банковской тайны, поэтому нужен отдельный закон. Мы будем его готовить в оперативном порядке. Также нужны законы о профессиональной тайне и персональных данных.
Какова будет степень участия государства в защите различных информационных объектов?
Безусловно, оно должно взять на себя защиту информационных систем высших органов власти, госуправления, систем управления оружием, систем, обеспечивающих банковскую и финансовую стабильность. Но оно должно нести за это и полную ответственность.
В области открытых систем, в том числе и Internet, государству также надлежит определить свою роль в защите информации. Кстати, Госдума первой обратила внимание на Internet. В конце 1996 года прошли парламентские чтения под названием "Россия и Internet: выбор будущего". Безусловно, мы сказали "да" Internet, но при этом перечислили проблемы, которые нельзя оставлять без внимания.
Недавно было заседание группы в Правительстве, где обсуждался проект постановления "О государственном регулировании сети Internet в России". К чести участников группы, они ушли от первоначального варианта названия, выбрав другое - "О роли государства в развитии сети Internet в России". Есть аналогичные решения или их проекты в других структурах. Безусловно, сегодня отношение государства к Internet в целом положительное. Мы должны способствовать развитию этих сетей, но при этом властям нужно четко определить свою роль.
В то же время мы не должны закрывать глаза на проблемы, с которыми связано наступление нового тысячелетия. Сегодня США, являясь родиной Internet, осознали степень опасности, которую несет для страны развитие компьютерных сетей. В феврале администрация Клинтона приняла решение о развертывании нового проекта - Internet2, реализуемого в рамках инициативы Next Generation Internet. Цель проекта - к началу XXI века создать на территории США новую Internet, по своим параметрам отличающуюся от сети, которая получила развитие в других странах мира, в том числе и у нас. Предполагаю, что не только скорости передачи данных будут в ней другие, но и возможности доступа. Это будет более односторонняя система, в которой ее хозяин сможет пользоваться информацией отовсюду, а проникнуть в нее извне можно будет только через отдельные шлюзы. Понятно, что так просто никто не будет выделять колоссальные деньги на планирование информационных войн, на разработку информационного оружия. Эти деньги должны работать, и они будут работать - в направлении информационного противоборства, в том числе и с использованием открытых систем. Означает ли это, что мы должны прекратить дальнейшее развитие открытых систем? Безусловно, нет.
Многие преступления, совершенные с применением сети Internet, очень схожи с обычными, такими как распространение конфиденциальной информации без согласия ее владельца, клевета, взлом компьютерных сетей, кража информации, пиратство, мошенничество. Вместе с тем Internet порождает и некоторые специфические проблемы, которых нет в других открытых системах, действующих на территории одного государства.
Какие именно?
Первая проблема связана с тем, что киберпространство не признает национальных законов и государственных границ. Законы, действующие в одном государстве в отношении компьютерных преступлений, трудно реализовать на территории другой страны, если в ее законодательстве нет аналогичных норм. Нужна унификация законодательства. У стран СНГ имеется концепция модельных законов, которые сегодня принимаются Межпарламентской ассамблеей СНГ. В их числе - закон о персональных данных, который будет рассмотрен на июньской сессии ассамблеи, законы о коммерческой, банковской тайне - они также подготовлены на уровне модельных законопроектов и будут рассматриваться в этом и последующих годах. Мы пытаемся распространить сферу действия унифицированных, приведенных к единым нормам законов и на другие страны. Межпарламентская ассамблея СНГ выступила с обращением в адрес ОБСЕ, Межпарламентского союза (в него входят практически все страны мира), ООН, дабы проблема была осознана на всех уровнях и мы ее могли решать с позиции согласованного национального законодательства.
Вторая проблема: сети международного информационного обмена, в том числе и Internet, резко расширяют возможности использования информационного оружия, одним из примеров которого является коварный японский "мультик". По своей результативности информационное оружие сопоставимо с оружием массового поражения. Спектр действия информационного оружия может простираться от нанесения вреда психическому здоровью людей до внедрения вирусов в компьютерные сети и уничтожения информации. Сегодня в директивах Министерства обороны США подробно излагается порядок подготовки к таким войнам, уже третий год выпускаются подразделения кибервоинов. Это уже не фантастика, а реалии наших дней. Что можно сделать в этой области? Добиться полного запрещения информационного оружия вряд ли удастся. Но ввести ограничения на производство и оборот этого оружия, международный запрет на ведение информационных войн можно и нужно.
В прошлом году я выступил с инициативой, которая была поддержана парламентскими комитетами Госдумы, а в декабре 1997 года превратилась в политическую инициативу девяти государств СНГ. Лидеры парламентов наших стран приняли обращение в ООН с предложением включить в повестку дня Генеральной ассамблеи вопрос о подготовке и заключении международной конвенции "О предотвращении информационных войн и ограничении оборота информационного оружия". Эту конвенцию необходимо подготовить и принять, чтобы мы не тратили средства, сначала на разработку информационного оружия, затем на защиту от него, а потом на его уничтожение, как это было ранее с ядерным, химическим и бактериологическим оружием.
Третий большой вопрос напрямую зависит от сообщества Internet и простирается в область организационно-нравственных норм. Как известно, есть свой кодекс чести у Союза журналистов, есть клятва Гиппократа у врачей. Тому, кто нарушит эти кодексы, сообщество журналистов или соответственно врачей объявляет бойкот. Такой кодекс чести должен быть и в сообществе Internet. Для этого, по-видимому, необходимо, чтобы данное сообщество побыстрее сложилось.
Из этой проблемы вытекает четвертая, характерная именно для сообщества Internet. Сегодня существует несколько центров "кристаллизации" этого сообщества. С одной стороны, государство претендует на роль подобного центра. Свои услуги в этой области предлагают Госкомитет по связи и информации, ФАПСИ и еще целый ряд структур. Но, на мой взгляд, государству хватает собственных проблем. Оно может помочь выработать некие правила, аналогичные тем, которые существуют в других сообществах, решить организационные проблемы, но не более того. Организующую роль должны взять на себя другие, уже действующие негосударственные центры.
Если вопрос о создании сообщества Internet будет решен, то будут реализованы и другие цели: выработка кодекса чести и соответственно решение пятой, последней проблемы - установления правил и норм взаимоотношений государства и сообщества Internet. Ведь государству гораздо легче иметь дело на переговорах с одним-двумя соорганизованными субъектами (не монополистами) гражданского общества в этой сфере, нежели контактировать со всем множеством неорганизованных. Если этого не удастся достичь путем переговоров между государством и сообществом, то государство само назначит эти правила. Думаю, что от такого решения больше будет вреда, а не пользы, потому что сегодня в нашем российском праве, к сожалению, происходит подмена принципа "все, что не запрещено законом, должно быть разрешено" (в том числе и защита информации) другим принципом - разрешительным: каждый раз надо идти к государственному чиновнику, который за взятку или просто так подумает, позволить тебе что-то или нет.
Готовятся ли какие-то международные договоры или конвенции относительно использования Internet?
Да. Я не случайно очень подробно остановился на вопросе о принятии международной конвенции "О предотвращении информационных войн и ограничении оборота информационного оружия". Мы надеемся, что ООН поддержит наше предложение и такая конвенция будет принята.