Решение
о Концепции сотрудничества государств-участников Содружества Независимых Государств в сфере обеспечения информационной безопасности и о Комплексном плане мероприятий по реализации Концепции сотрудничества государств-участников Содружества Независимых Государств в сфере обеспечения информационной безопасности на период с 2008 по 2010 год
| (Бишкек, 10 октября 2008 года) |
Совет глав государств Содружества Независимых Государств
решил:
1. Утвердить Концепцию сотрудничества государств-участников Содружества Независимых Государств в сфере обеспечения информационной безопасности и Комплексный план мероприятий по реализации Концепции сотрудничества государств-участников Содружества Независимых Государств в сфере обеспечения информационной безопасности на период с 2008 по 2010 год.
2. Настоящее Решение вступает в силу с даты его подписания, а для государств, законодательство которых требует выполнения внутригосударственных процедур, необходимых для его вступления в силу, - с даты сдачи депозитарию соответствующего уведомления.
Совершено в городе Бишкеке 10 октября 2008 года в одном подлинном экземпляре на русском языке. Подлинный экземпляр хранится в Исполнительном комитете Содружества Независимых Государств, который направит каждому государству, подписавшему настоящее Решение, его заверенную копию.
(Подписи)
Утверждена
Решением
Совета глав государств
Содружества Независимых
Государств о Концепции
сотрудничества
государств-участников
Содружества Независимых
Государств в сфере
обеспечения информационной
безопасности и о Комплексном
плане мероприятий
по реализации Концепции
сотрудничества
государств-участников
Содружества Независимых
Государств в сфере
обеспечения информационной
безопасности на период
с 2008 по 2010 год
от 10 октября 2008 года
КОНЦЕПЦИЯ
СОТРУДНИЧЕСТВА ГОСУДАРСТВ-УЧАСТНИКОВ СОДРУЖЕСТВА НЕЗАВИСИМЫХ ГОСУДАРСТВ В СФЕРЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1. Введение
Концепция сотрудничества государств-участников Содружества Независимых Государств в сфере обеспечения информационной безопасности (далее - Концепция) разработана согласно утвержденному Советом глав правительств Содружества Независимых Государств 25 ноября 1998 года Перспективному плану подготовки документов и мероприятий по реализации Концепции формирования информационного пространства Содружества Независимых Государств и в развитие других многосторонних документов, касающихся вопросов межгосударственного сотрудничества в информационной сфере.
Настоящая Концепция представляет собой согласованную государствами-участниками Содружества Независимых Государств (далее - СНГ) совокупность официальных взглядов и положений о целях, принципах и основных направлениях межгосударственного сотрудничества в сфере обеспечения информационной безопасности.
Одной из характерных особенностей современного этапа мирового научно-технического прогресса является стремительное развитие и повсеместное внедрение новейших информационно-коммуникационных технологий (ИКТ). Проникая во все области человеческой деятельности, ИКТ формируют глобальную информационную сферу, представляющую собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.
Эта сфера, по сути, является системообразующим фактором жизнедеятельности общества и уже сегодня активно влияет на состояние политической, экономической, оборонной, экологической, социальной и других составляющих безопасности государств-участников СНГ.
2. Используемые термины и определения
Для целей настоящей Концепции использованы следующие термины и определения:
воздействие на информацию - действие по изменению формы предоставления и/или содержания информации;
доступность информации - возможность реализации беспрепятственного доступа к информации субъектов, имеющих на это надлежащие полномочия;
защита информации - деятельность, направленная на защиту прав субъектов на информацию, предотвращение несанкционированного доступа к ней и/или утечки защищаемой информации, несанкционированных и/или непреднамеренных воздействий на нее;
защищаемая информация - информация, подлежащая защите в соответствии с требованиями правовых документов и/или требованиями, устанавливаемыми обладателем данной информации;
информатизация - организационный, социально-экономический и научно-технический процесс создания благоприятных условий для удовлетворения информационных потребностей, прав и свобод субъектов информационной сферы;
информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
информационная безопасность - состояние защищенности от внешних и внутренних угроз информационной сферы, формируемой, развиваемой и используемой с учетом жизненно важных интересов личности, общества и государства;
информационные отношения - отношения, возникающие при обработке, сборе, хранении, распространении и использовании информации;
информационные процессы - процессы формирования, поиска, сбора, обработки, хранения, распространения и использования информации;
информационные ресурсы - информационная инфраструктура (технические средства и системы формирования, обработки, хранения и передачи информации), включая массивы и базы данных, собственно информацию и ее потоки;
информационная система - организационно упорядоченная совокупность средств, реализующих определенные технологические действия посредством информационных процессов, предназначенных для решения конкретных функциональных задач;
информация ограниченного доступа - информация, доступ к которой ограничен законодательством государств-участников СНГ либо межгосударственными договорами;
межгосударственная информационная система - задействованная в межгосударственных информационных обменах система, принадлежащая органам СНГ, субъектам государств-участников СНГ на правах совместной собственности, совместного владения или совместного (общего) пользования;
несанкционированный доступ к информации - доступ субъекта к защищаемой информации с нарушением прав или правил, установленных ее обладателем, владельцем или нормативными правовыми актами;
обеспечение информационной безопасности - система мер правового, организационно-технического и организационно-экономического характера по выявлению угроз информационной безопасности, предотвращению их реализации, пресечению и ликвидации последствий реализации таких угроз;
общедоступная информация - информация, доступ к которой не ограничен;
субъекты - физические и юридические лица, а также государственные органы и международные организации;
технический канал утечки информации - путь утечки информации от объекта защиты, образуемый совокупностью объекта защиты, физической среды и средств технической разведки;
угрозы информационной безопасности - совокупность условий и факторов, создающих опасность нанесения ущерба интересам государств-участников СНГ в информационной сфере;
утечка информации - неконтролируемое распространение защищаемой информации.
3. Основные цели и принципы сотрудничества в сфере обеспечения информационной безопасности
3.1. Целью сотрудничества государств-участников СНГ в сфере обеспечения информационной безопасности является совместная защита интересов государств-участников СНГ в информационной сфере.
3.2. Интересы государств-участников СНГ в информационной сфере заключаются в ее гармоничном формировании, наиболее эффективном развитии и использовании в целях реализации прав и свобод человека и общества, соблюдения норм законности и правопорядка, обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности государств-участников СНГ, достижения ими экономического роста, политической и социальной стабильности.
3.3. Концепция служит основой для:
реализации партнерства государств-участников СНГ в области обеспечения информационной безопасности;
гармонизации законодательств государств-участников СНГ в сфере обеспечения информационной безопасности;
координации мероприятий по комплексному противодействию угрозам информационной безопасности;
разработки предложений по межгосударственным целевым программам обеспечения информационной безопасности;
развития и совершенствования правового, методического, научно-технического и организационного обеспечения работ, относящихся к этой сфере.
3.4. Правовую основу настоящей Концепции составляют многосторонние международные договоры государств-участников СНГ, касающиеся вопросов безопасности в информационной сфере, а также законодательства государств-участников СНГ.
3.5. Сотрудничество государств-участников СНГ в сфере информационной безопасности базируется на следующих основных принципах:
разработка и выполнение совместных мероприятий по обеспечению информационной безопасности осуществляется на равноправной основе, с учетом и обеспечением гармонизации интересов государств, с соблюдением норм международного права, требований нормативных правовых актов СНГ и законодательств государств-участников СНГ, с реализацией взаимной ответственности человека, общества и государства, с регулярным информированием общественности о состоянии информационной безопасности и о деятельности по ее обеспечению;
добровольное принятие и выполнение каждым государством-участником СНГ обязательств, касающихся совместного обеспечения информационной безопасности;
последовательная реализация государствами-участниками СНГ мер по обеспечению информационной безопасности, направленных на нейтрализацию соответствующих угроз в информационной сфере.
4. Угрозы информационной безопасности
4.1. Угрозы информационной безопасности могут иметь объективный и субъективный характер, выражаться в явлениях, процессах и действиях (или их совокупности), исходить от внешних и внутренних источников.
4.2. В сфере информационных отношений данные угрозы обусловлены наличием противоречий, которые существуют или могут возникнуть между субъектами этих отношений.
4.3. К угрозам информационной безопасности относятся:
осуществление действий в интересах получения несанкционированного доступа к информации государств-участников СНГ;
проведение третьими странами в информационном пространстве мероприятий, направленных на дестабилизацию социально-политической обстановки в государствах-участниках СНГ;
деятельность организованных преступных групп и сообществ, в том числе экстремистской и террористической направленности, в информационной сфере СНГ;
обострение международной конкуренции за обладание стратегически важной информацией и стремление ряда стран к доминированию в мировом информационном пространстве;
введение ограничений, ущемляющих интересы государств-участников СНГ в информационной сфере, а также основные права и свободы граждан;
нарушение исторически сложившихся в СНГ научно-технических связей;
природные и техногенные катастрофы, воздействие на радиоэлектронную аппаратуру шумов и помех естественного происхождения, а также другие физические явления, приводящие к сбоям и отказам информационных систем;
зависимость от третьих стран - производителей программных и аппаратных средств при создании и развитии информационной инфраструктуры.
5. Подлежащие защите объекты
5.1. Защите от угроз информационной безопасности в первоочередном порядке подлежат:
права и свободы граждан государств-участников СНГ;
система межгосударственного сотрудничества в области разработки, производства и распространения в СНГ информационных ресурсов, информационных и телекоммуникационных технологий, а также информационных и телекоммуникационных услуг;
информационная инфраструктура СНГ;
принадлежащие государствам-участникам СНГ на правах совместной собственности, совместного владения и совместного (общего) пользования информационные ресурсы и их хранилища (архивы, библиотеки, банки и базы данных и т.п.), телекоммуникационные и информационные технологии;
межгосударственные информационные системы (сети и системы электросвязи, системы правительственной связи, оборонных ведомств, пограничных и таможенных служб, правоохранительных и налоговых органов, автоматизированные системы управления войсками и оружием, технологическими процессами и транспортом, радио- и телевизионные вещательные комплексы, системы спасения и экологического мониторинга, навигационные, метеорологические, геоинформационные, банковские, биржевые и информационно-маркетинговые системы, системы электронной торговли, дистанционного образования, медицинской диагностики и т.п.);
программные, технические, лингвистические, правовые, организационные и иные средства, используемые и создаваемые при проектировании и эксплуатации межгосударственных информационных систем (компьютерные программы, средства вычислительной техники и связи, словари, тезаурусы и классификаторы, эксплуатационная документация систем, положения, уставы, должностные инструкции и т.п.);
помещения, предназначенные для ведения межгосударственных конфиденциальных переговоров, а также помещения с оборудованием, задействованным в межгосударственных обменах информацией ограниченного доступа.
5.2. В информационной сфере СНГ защите подлежат следующие виды информации:
информация ограниченного доступа;
общедоступная информация.
Защищаемыми свойствами информации ограниченного доступа являются ее целостность и конфиденциальность.
Защищаемыми свойствами общедоступной информации являются ее целостность и доступность.
Режим защиты информации устанавливается:
в отношении информации ограниченного доступа - уполномоченными органами на основании межгосударственных договоров, а также положениями и нормами законодательств государств-участников СНГ;
в отношении общедоступной информации - обладателем, пользователем (потребителем) данной информации, а также собственником (владельцем) информационных ресурсов, систем, технологий и средств их обеспечения на основе законодательств государств-участников СНГ (если иное не оговорено межгосударственными договорами).
6. Методы и основные направления сотрудничества
6.1. Методы обеспечения информационной безопасности разделяются на правовые, организационно-технические и организационно-экономические.
6.2. Правовые методы включают:
согласованную разработку международных договоров, модельных законодательных актов, национальных нормативных правовых актов и нормативно-методических документов, регламентирующих отношения и действия субъектов в информационной сфере;
законодательное стимулирование развития производства в государствах-участниках СНГ средств информатизации и, в первую очередь, средств защиты информации.
6.3. Организационно-технические методы заключаются в непрерывном совершенствовании технологии защиты информационных систем от потенциальных и реальных угроз. К таким методам, в частности, относятся:
создание гармонизированных систем лицензирования деятельности в области защиты информации, а также технического регулирования в информационной сфере;
координация деятельности компетентных правоохранительных органов государств-участников СНГ по предупреждению и пресечению правонарушений в информационной сфере;
совершенствование деятельности государств-участников СНГ в области выявления и нейтрализации в информационных системах устройств и программ, представляющих опасность для нормального функционирования таких систем;
реализация государствами-участниками СНГ согласованных мероприятий, направленных на недопущение несанкционированного доступа к информации информационных систем и ее утечки по техническим каналам;
осуществление в процессе эксплуатации информационных систем эффективного контроля за действиями пользователей и обслуживающего персонала;
скоординированное обеспечение государствами-участниками СНГ защиты информации ограниченного доступа и информационных технологий при взаимодействии информационных систем различных классов защищенности, в том числе при взаимодействии этих систем с сетью Интернет и другими глобальными сетями;
согласованная модернизация государствами-участниками СНГ принадлежащих им сегментов межгосударственных информационных систем и их программного обеспечения;
совместное создание и стандартизация в рамках СНГ перспективных информационных систем и технологий;
развитие сотрудничества государств-участников СНГ в подготовке кадров в области обеспечения информационной безопасности.
6.4. Организационно-экономические методы включают в себя разработку, финансирование и выполнение межгосударственных целевых программ обеспечения информационной безопасности.
6.5. В каждой из сфер межгосударственного сотрудничества в рамках СНГ имеются свои особенности, связанные со спецификой защищаемых объектов и степенью их уязвимости в отношении угроз информационной безопасности. В целях обеспечения информационной безопасности в этих областях могут разрабатываться и реализовываться специальные концепции и соответствующие программы.
7. Механизм реализации Концепции
7.1. Создание в СНГ эффективной системы обеспечения информационной безопасности осуществляется на основе положений настоящей Концепции путем систематизации и координации соответствующей деятельности уполномоченных органов государств-участников СНГ и заинтересованных органов СНГ.
7.2. Общее руководство и контроль за реализацией Концепции осуществляет Совет глав правительств СНГ.
По его поручению соответствующие органы СНГ, как правило, не реже чем раз в три года разрабатывают, согласовывают и вносят в установленном порядке на утверждение комплексные планы реализации Концепции и отчеты о выполнении этих планов.
7.3. Методическое обеспечение и координация работ по тематическим направлениям обеспечения информационной безопасности возлагается на следующие компетентные в соответствующих вопросах органы СНГ:
Координационный совет государств-участников СНГ по информатизации при Региональном содружестве в области связи;
Координационный совет по обеспечению безопасности шифровальных средств и их эксплуатации в системах правительственной и закрытой ведомственной связи государств-участников СНГ;
Совет руководителей органов безопасности и специальных служб государств-участников СНГ;
Совет министров внутренних дел государств-участников СНГ;
Координационный совет генеральных прокуроров государств-участников СНГ;
Межпарламентская Ассамблея государств-участников СНГ;
Межгосударственный совет по стандартизации, метрологии и сертификации;
Межгосударственный совет по вопросам охраны промышленной собственности;
Совет руководителей государственных информационных агентств СНГ;
Межгосударственный Координационный Совет МТРК "Мир";
Межгосударственный совет по сотрудничеству в области периодической печати, книгоиздания, книгораспространения и полиграфии.
7.4. Практические мероприятия по реализации настоящей Концепции осуществляются путем сотрудничества заинтересованных государств-участников СНГ в форме взаимных консультаций, координации проводимых работ, кооперации в научных исследованиях, разработке и производстве средств защиты информации, а также путем выполнения государствами самостоятельных работ согласно принятым на себя обязательствам.
7.5. Финансирование совместных работ по реализации Концепции осуществляется государствами-участниками СНГ по договоренности.
Утвержденный Решением Совета глав правительств СНГ от 16 апреля 2004 года Порядок разработки, реализации и финансирования межгосударственных целевых программ Содружества Независимых Государств определяет принципы формирования таких программ и для сферы обеспечения информационной безопасности.
Утвержден
Решением
Совета глав государств
Содружества Независимых
Государств о Концепции
сотрудничества
государств-участников
Содружества Независимых
Государств в сфере
обеспечения информационной
безопасности и о Комплексном
плане мероприятий
по реализации Концепции
сотрудничества
государств-участников
Содружества Независимых
Государств в сфере
обеспечения информационной
безопасности на период
с 2008 по 2010 год
от 10 октября 2008 года
КОМПЛЕКСНЫЙ ПЛАН
МЕРОПРИЯТИЙ ПО РЕАЛИЗАЦИИ КОНЦЕПЦИИ СОТРУДНИЧЕСТВА ГОСУДАРСТВ-УЧАСТНИКОВ СОДРУЖЕСТВА НЕЗАВИСИМЫХ ГОСУДАРСТВ В СФЕРЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПЕРИОД С 2008 ПО 2010 ГОД
Настоящий План включает первоочередные мероприятия по реализации Концепции сотрудничества государств-участников Содружества Независимых Государств в сфере обеспечения информационной безопасности, имеющие целью формирование исходной нормативно-правовой базы межгосударственного сотрудничества в этой сфере, активизацию информационной поддержки реализуемой в рамках Содружества политики государств-участников СНГ и подготовку предпосылок для последующего создания в Содружестве эффективной системы защиты его информационной сферы.
Финансирование совместных мероприятий Комплексного плана осуществляется заинтересованными государствами-участниками СНГ по договоренности в рамках финансовых средств, ежегодно предусматриваемых в национальных бюджетах компетентным министерствам и ведомствам на выполнение их функций.
