После недолгого ожидания в Сети появился Проект Доктрины информационной безопасности Российской Федерации. Документ очень высокоуровневый, определяющий лишь общие цели и направления развития системы информационной безопасности. В силу этого документ не содержит каких либо конкретных описаний процедур, продуктов, указаний и тд. Тем не менее документ очень интересен. Интересен в первую очередь тем, как видит государство информационную безопасность и как оно видит роль граждан в информационной безопасности.

Оставим в стороне политическую составляющую данного документа (так или иначе, а у каждого государства есть свои интересы и естественно каждое государство хочет их отстаивать) и посмотрим на него исключительно с точки зрения обеспечения информационной безопасности.



Любопытное начинается уже в разделе терминов и определений. Скажем что есть национальные интересы?



То есть национальные интересы это в первую очередь интересы государства, а не интересы общества в целом или отдельных граждан. Правда уже следующий абзац интересы общества и государства приводит на одном уровне:



Далее ситуация уточняется:



То есть каждая из трех сторон в целях безопасности должна чем-то поступиться. В общем ситуация не вызывает вопросов — все мы живем в обществе и должны учитывать интересы иных лиц. Но вот кто определяет кто и чем должен поступиться? Тем более, что в документе есть еще один пункт:



То есть ущемление прав и свобод граждан недопустимо. Получается, что поступиться своими интересами должно государство? Вопрос крайне интересен, но в документе не раскрыт — хотя в конце документа говорится, что:



В связи с этим крайне интересно — должна ли такая масштабная программа проходить через законодательные органы?
Но вернемся к началу документа — в раздел определений:



Опять перекос в сторону мер со стороны государства, тогда как без поддержки общества (воспитания компьютерной грамотности например) обеспечение столь масштабных мер вряд-ли нереализуемо.



Странно, но в вышеприведенном определении в числе ресурсов, подлежащих защите, отсутствуют ресурсы, размещенные на зарубежных серверах. Даже если компания хранит свои данные на серверах в России, зачастую необходимо хранить и обрабатывать данные на серверах, размещенных по всему миру. Государство отказывается от защиты интересов компаний или требования по безопасности не распространяются на зарубежные сервера?

За счет чего же видится авторам Проекта усиление информационной безопасности?



К сожалению большая часть пунктов проекта посвящена усилению вертикали власти и улучшению совершенства административного механизма. Чтобы не создалось некорректного впечатления — на самом деле это также дело нужное — вспомним хотя бы качество проработки законов в области ИБ, уровень тендеров и тд. Совершенствовать в этой области нужно много. И об этом также говориться в документе:



Что же говорит документ в отношении роли отдельных граждан в деле повышения уровня информационной безопасности?





Опять в основном меры со стороны государства — о повышении актуальности знаний путем взаимодействия с компаниями различного типа, вовлечении институтов в процесс выпуска новых продуктов, разработки новых технологий — ни слова




И развитие личности опять же предполагается путем проведения административных мер — правовое регулирование и развитие правосознания в одном пункте.

Упоминается в документе и модная тема государственно-частного партнерства:




А вот от сертификации уйти не удастся



Если делать выводы — документ не плохой, но очень бы хотелось исправить его перекос в сторону усиления взаимодействия государства и общества — например в деле выработки той же концепции безопасности — ведь она будет касаться нас всех.