Не спрашивайте, когда начнется информационная война, - она идет перманентно. В середине марта главный редактор PC Week/RE Эдуард Пройдаков и обозреватель Леонид Черняк встретились с Председателем подкомитета по законодательству в сфере информационной безопасности Комитета Государственной Думы по безопасности Владимиром Лопатиным. Предлагаем вам запись беседы.
PC Week: Говоря об информационной безопасности, нередко понимают этот термин узко, как набор аппаратных и программных средств для обеспечения сохранности, доступности и конфиденциальности данных. Однако в контексте законодательной деятельности это понятие гораздо шире. Как вы его интерпретируете?
Владимир Лопатин: С моей точки зрения, информационная безопасность представляет собой составную часть общей системы национальной безопасности. Впервые понятие “информационная безопасность” было выведено на уровень государственных органов управления в 1989 г., тогда же решением Президиума Верховного Совета СССР была организована рабочая комиссия по совершенствованию системы национальной безопасности. Этой комиссией руководил академик Ю. А. Рыжов, а я возглавил рабочую группу по информационной безопасности. Мы первыми начали законодательный процесс в области информационной безопасности.
По нашему предложению был подготовлен и принят закон “О безопасности”, создан Совет безопасности и целый ряд сертификационных центров, многочисленные информационно-аналитические структуры, которые сегодня насчитывают более 15 тысяч сотрудников на бюджетном финансировании. Они призваны были стать интеллектуальной основой для подготовки решений.
Насколько результативным стало вложение средств в эти структуры? К сожалению, как и десять лет назад, ситуационные центры, важнейшая их составляющая, остаются дорогостоящими игрушками, а решения, принимаемые на уровне органов государственной власти, по-прежнему плохо аргументированы и в итоге оказываются весьма “неожиданными”. Фактор “неожиданности” как раз и свидетельствует о невостребованности той многовариантности, которую несет в себе новая информационная технология, позволяющая минимизировать потери и ошибки.
Нерешенной проблемой в системе обеспечения информационной безопасности остается отсутствие логичной и понятной законодательной базы. Вот почему, придя в парламент в 1995 г., я согласился возглавить подкомитет по информационной безопасности, существующий уже четвертый год.
PC Week: Что было сделано вами за время работы в Думе?
В. Л.: Мы определили понятие информационной безопасности, что было далеко не просто, поскольку сегодня сосуществуют два взаимоисключающих подхода к проблеме. Первый исходит от силовых ведомств, прежде всего ФАПСИ. Эти структуры распространяют понятие информационной безопасности буквально на все, что может быть отнесено к информационной сфере, т. е. на все многочисленные и многовариантные правоотношения, возникающие в связи с производством, хранением, передачей информации. Второй подход демонстрируют те, кого я называю гуманитариями. Они относят к информационной безопасности только то, что связано собственно с тайной. Эти два взаимоисключающих подхода порождают путаницу, причем не только в журнальных статьях, но даже в законодательных актах.
Ошибочно отождествляют два разных понятия - защита информации и информационная безопасность. Даже так, что пишут “информационная безопасность (защита информации)”, хотя это совсем не одно и то же. Мы предложили понимать под информационной безопасностью состояние защищенности интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз.
Это соответствует логике закона “О безопасности” и содержанию концепции национальной безопасности, утвержденной Указом Президента РФ от 17.12.97.
Мы проанализировали состояние законодательства в информационной сфере, а это около 100 законов и более 150 нормативных подзаконных актов. Полученные выводы, к сожалению, неутешительны. Действующее законодательство страдает по меньшей мере тремя недостатками.
- Декларативность. Перечисляется примерно 40 видов тайн, а в кодексах их всего пять, за разглашение которых предусмотрена ответственность. А что же делать с остальными тридцатью пятью?
- Противоречивость. Существуют два базовых закона: “Об информации, информатизации и защите информации” и “О международном информационном обмене”. В первом вся информация с ограниченным доступом делится на информацию, содержащую государственную тайну, и конфиденциальную информацию. Второй относит государственную тайну к конфиденциальной информации. Эта казалось бы небольшая ошибка чревата далеко идущими последствиями.
- Огромное количество белых пятен. Несовершенство правовой базы естественно в период, когда общественные отношения опережают законодательную базу и граждане, общество, предприятия и организации вынуждены сами защищать свои права, нередко в нарушение продекларированных норм. Например, многие организации закупили офисные АТС, снабженные фискальными полицейскими функциями. Действия соответствующих руководителей вполне понятны, но нельзя защищать свои секреты, нарушая при этом права личности сотрудников. Подслушивание допускается лишь для МВД и ФСБ, и то только по решению судебных органов. В данном случае в законе не оговорены механизмы проверки соблюдения норм. Необходимо внедрение режима контроля над использованием полицейских функций.
PC Week: Владимир Николаевич, в прошлом году вами был написан и издан в виде отдельной книги проект “Концепции развития законодательства в сфере обеспечения информационной безопасности в Российской Федерации”. Расскажите, пожалуйста, о нем.
В. Л.: Готовя проект, мы ставили перед собой задачу представления целостной, логически полной системы взглядов на информационную безопасность. Наличие такой концепции жизненно важно, каждый месяц ее отсутствия ведет к ухудшению и запутыванию ситуации. Бесконтрольно возрастает число видов тайн, например, одно из ведомств сейчас заговорило еще об одной - “психологической” - тайне.
Мы предлагаем простую и логичную структуру, предполагающую защиту трех основных категорий объектов:
- собственно информация и права на нее;
- информационные системы и права на них;
- человек и общество, которые должны быть защищены от вредной информации.
Множество информационных объектов можно разделить на две категории - с ограниченным доступом и общедоступные. Вначале остановимся на общедоступной информации. Важно подчеркнуть, что к части ее доступ не может быть ограничен никем ни при каких условиях, например сведения о состоянии окружающей среды. Это подмножество определено в Конституции и законе “О Государственной тайне”, а сейчас мы хотим его определить в законе о коммерческой тайне. Необходим и закон “О праве на информацию”. Государство должно обеспечивать гражданам право на доступ ко всей информации, не имеющей ограничения.
Особое значение имеет еще один вид общедоступной информации - объекты интеллектуальной собственности. Наше авторское и патентное законодательство в этом вопросе можно сравнивать только с французским, признанным одним из самых совершенных. Но, к сожалению, остаются две проблемы.
Первая - авторы не знают своих прав, они не заявляют о них. Это относится в том числе и к авторским правам на программные продукты, что, видимо, наиболее близко читателям вашей газеты.
Вторая - государство не в состоянии реализовать свои права на объекты интеллектуальной собственности, приобретенные на бюджетные средства.
Это обостряет необходимость принятия закона “О реализации права государства на объекты интеллектуальной собственности”. Такой закон находится в стадии разработки.
PC Week: Не могли бы вы рассказать о законодательном процессе в области защиты информации с ограниченным доступом?
В. Л.: Выше я говорил о трех типах защищаемых объектов: о самой информации, об информационных системах и о защите человека и общества в целом от вредной информации.
Говоря о защите информации, прежде всего мы вводим простую и понятную классификацию тайн по шести категориям:
- государственная тайна;
- коммерческая тайна;
- банковская тайна;
- профессиональная тайна;
- служебная тайна;
- персональные данные как особый институт охраны неприкосновенности частного лица.
Последние пять составляют конфиденциальную информацию.
Закон “О государственной тайне” существует и работает. А вот закон “О коммерческой тайне”, создание которого было инспирировано правительством, находился в разработке около трех лет, был принят Думой, но неожиданно Президент наложил на него вето. Среди доводов, вложенных в уста Президента, было просто указание на неактуальность этого закона. Три года назад он был нужен правительству, а теперь оказался ненужным? В итоге сегодня нельзя привлечь к ответственности чиновника, который получил коммерческую тайну и торгует ею. Столь же неубедительны и другие доводы. Кто же в этом заинтересован? Ответить сложно, но можно предположить, причем с очень большой достоверностью, наличие скрытых корыстных интересов отдельных лиц. Я выступал с предложением, чтобы любые законодательные проекты подвергались криминологической экспертизе, в данном случае она была бы не лишней.
В плане нашей работы находится законопроект “О банковской тайне”. К сожалению, недавно Центробанк сменил позицию на противоположную и считает, что такой закон не нужен. Явно со стороны ФАПСИ прослеживается стремление подменить предлагаемый закон законом о коммерческой тайне. Однако это не что иное, как правовая безграмотность. Ведь в законе о коммерческой тайне достаточно одного субъекта - предпринимателя, а в банковских отношениях наличествуют как минимум два - клиент, доверивший свою информацию, и банк.
Разработка законов “О профессиональной тайне” и “О служебной тайне” также запланирована на текущий год. Чем они отличаются друг от друга? Речь в них идет о чужой тайне, доверенной другому лицу, но в первом случае профессиональная тайна доверена данному лицу в связи с исполнением им своих профессиональных обязанностей. Это касается адвокатов, нотариусов, врачей, священников. Во втором случае чужая тайна доверяется должностному лицу, представляющему органы власти или местного самоуправления.
Закон “О персональных данных” должен ликвидировать наше отставание от развитых стран в обеспечении личной безопасности граждан. Отсутствие этого закона препятствует участию России во многих международных проектах, в том числе в международной борьбе с преступностью через Интерпол.
Законы об электронном документообороте и цифровой подписи также крайне нужны, и они находятся в стадии подготовки, но в силу разных обстоятельств работа над ними отнесена на конец года. Остается нерешенным еще один важнейший вопрос - о криптографии. Необходимо определить, кто и как должен защитить информацию.
ФАПСИ претендует на защиту всей, в том числе открытой, информации. Наша позиция состоит в том, что государство может ограничиться защитой только своей информации (прежде всего государственной и служебной тайн), и будет хорошо, если ему хватит на это сил. Все остальное надо подчинить единым, понятным правилам и исполнимым запретам. Это должны быть законы, а не правила, изменяемые чиновниками ежедневно, и, следуя им, субъект сможет защищать свою информацию сам доступными ему средствами. Те, кто претендует на введение единообразного подхода к использованию средств криптозащиты, оставляют монополисту явную возможность для использования дубликатов ключей. Кто даст гарантию, что это будет сделано в интересах государства, а не конкретных лиц? Хотя в целом ряде стран (Великобритания, Франция) существует государственная монополия на средства криптозащиты, справедливость такого подхода спорна. Та же Франция готова к изменению этих правил, правда, решение еще не принято окончательно. Нужно развести государственные интересы и интересы частных лиц, исходя из наших возможностей. Декларировать невыполнимое бессмысленно.
PC Week: Что вы понимаете под информационными системами как объектами защиты?
В. Л.: Существует противоречие в определении информационных систем. В одних случаях под ними понимают и технические средства, и информационные ресурсы, в других - только собственно информацию. Мы предлагаем устранить это противоречие, понимая под информационной системой систему передачи данных и предоставление информационных услуг.
Необходимо дать определение понятию информации, как это было сказано ранее. Она имеет свое специфическое поле в гражданском законодательстве как товар. Информационная система представляет собой такое место, где информация хранится и циркулирует, и это совершенно отдельная сущность.
В обеспечении безопасности информационных систем решающая роль принадлежит государству. Для того, чтобы определить меру участия государства в обеспечении безопасности, нужно классифицировать информационные системы. Мы предлагаем следующую классификацию, разделяя их на пары:
- открытые - закрытые;
- государственные - негосударственные;
- российские - международные.
В область интересов государства попадают закрытые и государственные, это информационные системы органов государственного управления, управления оружием, системы Центробанка и других жизненно важных банковских структур РФ. Мы считаем, что они не должны подключаться ни к каким открытым сетям, в том числе и к Интернету. Отставание от мирового сообщества в этом может пойти только на пользу.
Следует отдельно остановиться на привлекающей к себе внимание теме СОРМ (Система оперативных и розыскных мероприятий). Ее актуальность вызвана тем, что по сетям открытого пользования совершаются сделки преступного характера. Бороться с этим без проведения соответствующих оперативных мероприятий невозможно. Мы с вами говорили о полицейских функциях в цифровых АТС. По отношению к СОРМ у нас такая же позиция. Раньше не было технических средств для выполнения полицейских функций в сетях. Теперь представители спецслужб решили эту задачу, технически возможно производить съем информации. Вопрос в том, кто и на каких основаниях вправе это делать. В принципе эти акции подчиняются закону “О розыскной деятельности”, т. е. могут исполняться только по судебному решению и только теми ведомствами, которым это позволено законодательством. Оснований для паники нет, вопрос будет решен нормально.
PC Week: Последняя в вашей классификации - вредная информация. Что имеется в виду?
В. Л.: Под вредной понимается информация, распространение которой может принести ущерб гражданам и обществу в целом. Остро необходимо принятие ряда актов, ограничивающих распространение вредной информации. В частности, мы готовим закон “Об информационно-психологической безопасности”.
Недавно вышла моя книга “Психотронное оружие и безопасность России”, в которой я говорю не только о том, что происходит при попустительстве властей внутри страны, но и о том, что идет извне. По данным наших спецслужб, сегодня на разработку информационного оружия США тратит средства, сопоставимые с затратами на ракетные программы. Одна из практических областей его применения - воздействие на человека. Известны такие программы, как “МК-Ультра”, “МК-Дельта”, “Блюберд”, “Артишок” и т. д.
PC Week: Владимир Николаевич, мы надеемся, что сказанное вами позволит нашим читателям увидеть проблемы информационной безопасности в новом свете и лучше понять сложности законотворческой работы.
С работами В. Н. Лопатина можно ознакомиться на его персональной Web-странице по адресу: http://www.duma.gov.ru/dppage/99103703.
Биографическая справка
Лопатин Владимир Николаевич родился 16 марта 1960 г. После окончания с золотой медалью в 1981 г. Курганского высшего военно-политического авиационного училища служил в Военно-воздушных силах Северного флота. Имеет ученую степень кандидата юридических наук.
В 1989 - 1991 гг. - народный депутат СССР по Вологодскому территориальному округу. Стал известен после выступления на II съезде народных депутатов СССР с критикой военного руководства, был руководителем парламентской комиссии по разработке концепции военной реформы. В феврале 1992 г. в знак протеста против проводимой военной политики, ведущей к развалу армии, публично отказался от воинского звания полковника.
17 декабря 1995 г. избран депутатом Государственной Думы по 72 Вологодскому избирательному округу.
