вторник, 28 июня 2016 г.

Проект Доктрины информационной безопасности РФ: замечания и предложения


Несколько дней назад Совет Безопасности Российской Федерации (далее – Совбез) разместил на своём сайте очередной проект Доктрины информационной безопасности Российской Федерации (далее – Доктрина). На профессиональных интернет-площадках это событие должного внимания не нашло. И это довольно странно: ключевой документ, фундамент, на котором будет строиться в последующем вся законодательная и нормативная база отрасли, игнорируется профессиональным сообществом?

Ознакомившись с текстом Доктрины, я понял почему: в ней на этот раз намного чётче поставлен акцент на гуманитарной составляющей информационной безопасности. Львиная доля текста – о защите от деструктивного информационного воздействия. О защите информации есть, особенно в части АСУ ТП, но это, судя по контексту, не основная тема. Как это, собственно, и должно быть. Сама жизнь заставляет приходить к правильному пониманию проблемы.

И, тем не менее, представленный проект Доктрины вобрал в себя все недостатки, присущие предыдущим версиям. Я в телеграфной манере описал некоторые из них и хотел отправить свои замечания и предложения по их устранению разработчикам Доктрины, но форма обратной связи не позволила мне это сделать (ограничения – 1 раз и не более 1000 символов). Она приняла первый абзац и больше не пожелала. Поэтому я выкладываю этот текст на своём блоге и сайте BISA в надежде, что разработчики проекта с ними, всё-таки, ознакомятся и устранят хотя бы некоторые из недостатков. А лучше было бы переделать её полностью и сделать новую, на научной основе, и таким образом постепенно перевести всю сферу информационной безопасности в правильное русло.

Вот некоторые из недостатков предлагаемого проекта.

Определения терминов, используемых в Доктрине (равно как и во всех предыдущих) даны с нарушениями законов логики. Так, в объём понятия «информационная сфера» не могут входить «совокупность информации», «информационные технологии» и «механизмы управления». «Совокупность информации» - максимально общее и совершенно неопределённое понятие. Его объём равен бесконечности. К тому же, по аналогии, равно как в состав «медицинской сферы» не входят болезни, вирусы или шприцы, в состав информационной сферы не должна входить информация. Кроме того, опять же по аналогии, например, «производственная сфера – совокупность отраслей материального производства, в которых создаются материальные блага - средства производства, предметы потребления». Т.е. средства производства и предметы потребления создаются в отраслях, но сферу образуют именно отрасли. И информация – циркулирует внутри сферы, но её не образует и в её состав не входит. «Технологии» - это совокупность методов. Включать методы в состав сферы не совсем корректно, равно как и «механизмы управления».

Я бы предложил здесь такое определение: информационная сфера – совокупность отраслей, в которых осуществляется производство информационных объектов и информационных продуктов и оказываются информационные услуги.

 Интересы не тождественны потребностям и раскрывать интересы через потребности не совсем корректно (а может быть – совсем некорректно).

«Информационная безопасность» не есть «состояние защищённости». По этому поводу написано огромное количество научной литературы. Трактовка безопасности через состояние защищённости ненаучна. Это – эзотерика. Была возможность уйти от этого средневекового понимания, но, видимо, не судьба. Совбез до этого ещё не созрел.

«Личность» и «общество» не являются субъектами права. Это – понятия психологии и социальной философии. «Личность» – это либо совокупность социальных отношений индивида, либо система социально-значимых черт, а «общество» - либо исторически развивающаяся форма жизнедеятельности людей, либо определённый этап человеческой истории. Ни личность, ни общество не являются и субъектами информационных отношений. Общаются между собой не личности и не общества, а юридические и физические лица, органы государственной власти, граждане, люди-человеки (индивиды). Поэтому «личность, общество, государство» звучит красиво, но выглядит с точки зрения науки безобразно.

Система – это:

традиционная трактовка – совокупность элементов, связей, отношений,

современная трактовка – структура, коммуникации, смыслы.

Отсюда: Система обеспечения информационной безопасности РФ – совокупность органов государственной власти, юридических и физических лиц, используемых ими технических и программных средств, а также нормативных правовых актов и методических документов, регламентирующих деятельность по обеспечению информационной безопасности.

Понятия – форма мышления. Понятия существуют только в головах субъектов. В документах используются термины и их определения. «Понятия» используют бандиты на т.н. «стрелках». Не стоит употреблять этот термин в нормативном правовом акте, лучше заменить на: 6. В настоящей Доктрине используются следующие термины и определения: …

Российская Федерация – государство и, следовательно, речь должна идти о безопасности государства, а не нации. Понятие «национальные интересы» не тождественно понятию «государственные интересы». К тому же понятие «национальные интересы» раскрыто совершенно умозрительно, без опоры на науку и здравый смысл.

О вызовах, кроме упоминания в статье 2, больше нет ни слова. Кроме того, непонятно, какие вызовы и угрозы подвергались анализу.

Угрозы раскрыты неверно. Угрозу представляют действия, направленные на деструкцию, дисфункцию и ухудшение условий функционирования власти, населения, территории (инфраструктуры) государства, но угрозами не могут быть «расширение», «наращивание», «использование» и т.д.

Источники угроз, практически, не указаны, особенно внутренние, в то время как в определении (пункт б статьи 6) они есть.

Основные направления обеспечения информационной безопасности Российской Федерации также представляются размытыми и декларативными. К тому же в разделе «основные направления» почему-то перечисляются принципы и цели. Причём, если это не оговорено специально в ТЗ, то статьи 21 и 22 лучше поменять местами: сначала государственная и общественная безопасность, а потом уже – военная.
 

Таким образом, представленный для обсуждения проект Доктрины информационной безопасности Российской Федерации построен на устаревшей и ненаучной парадигме, содержит множество методологических ошибок, носит размытый и декларативный характер. В случае принятия в таком виде Доктрина не будет способствовать улучшению ситуации с обеспечением информационной безопасности государства.
 

Комментариев нет:

Отправить комментарий