搜索
俄罗斯联邦委员会(议会上院)于2014年1月10在其官方网站上公布了《俄罗斯联邦网络安全战略构想》(讨论稿)明确了制定《俄罗斯联邦网络安全战略》的相关问题。俄罗斯联邦网络安全战略构想(草案)本《构想》主要阐述制定《俄罗斯联邦网络安全战略》(以下简称《战略》)的必要性和适时性,明确《战略》的原则和方向,以及《战略》在国家法规体系中的地位。一、制定《战略》的迫切性信息和通信技术正在迅猛发展,使得个人、组织和国家在俄罗斯联邦所有关键领域的影响力得到增强。因特网和其他网络空间的构成要素已经成为俄罗斯经济发展和现代化进程的主要因素。将信息和通信技术应用于国家行政管理全过程是建设21世纪高效的、有社会责任感的民主国家的基础。为此需要制定有针对性的、系统的国家政策,促进信息应用领域国家部门的发展。同时,随着信息技术向生活各个领域渗透能力大幅增强,对个人、社会和国家安全造成了一系列新的威胁,原有的某些威胁也进一步增大。网络空间涉及领域众多,对复杂信息技术高度依赖,俄罗斯各类公民群体大量使用网络空间的网站和服务可能导致新的威胁,如:个人、组织和国家机关的权利、利益和日常活动受到损害;网络犯罪分子和网络恐怖分子对受保护的信息资源实施网络攻击;在特种作战行动和网络战中,进行传统作战行动的同时使用网络武器。目前,在俄罗斯联邦实行了一系列旨在保障各方面国家信息安全的法规文件,包括《俄罗斯联邦信息安全学说》、《俄罗斯联邦信息社会发展战略》等,然而,现有的法规调控在很大程度上没有涵盖作为信息空间一部分的网络空间中出现的关系体系。为了实现网络空间功能应用方面的潜力,加强对出现的风险进行监控,必须制定这一领域专门的法规文件。考虑到这一问题的范围、复杂性、未来发展趋势,同时借鉴国际经验,应当将这种法规文件的形式定位为战略。二、网络安全在信息安全构成中的作用制定战略性法规文件的目的是在长期发展过程中取得既定成效,要求清楚地界定明确战略方向过程中遇到的大量问题。因此明确“网络安全”的定义具有特殊意义。《战略》中网络空间应定义为“信息空间的一个固定的、具有清晰界限的组成部分”,这一定义符合国际上规定信息安全领域术语和确定术语间关系的标准和规则。这样,“网络安全”的概念从含义上讲就比“信息安全”的概念要小。《战略》应建立在下列概念的基础之上:1)“信息空间”,指与形成、创建、转换、传递、使用、保存信息活动相关的、能够对个人和社会认知、信息基础设施和信息本身产生影响的领域;2)“信息安全”,指个人、组织和国家及其利益针对信息领域破坏和负面作用威胁的防护情况;3)“网络空间”,指信息空间中基于因特网和其他电子通信网络沟通渠道、保障其运行的技术基础设施以及直接使用这些渠道和设施的任何形式人类活动(个人、组织、国家)的领域。4)“网络安全”,所有网络空间组成部分处在避免潜在威胁及其后果影响的各种条件的总和。分析表明,在俄罗斯信息安全领域正式的法规文件中,“网络安全”这一术语没有从“信息安全”的概念中分离出来单独使用。而在大多数国家这一术语是独立的概念。必须认识到,由于网络空间的跨界性,对其监管,尤其是国家层面的监管是很困难的。因此,有必要在俄罗斯关于信息安全的法规文件中明确“网络安全”的术语,这样才能在俄罗斯和外国的规范文件之间建立对应关系,才有可能参与到网络安全领域的国际立法工作中去。三、《战略》在现行法律体系中的地位《战略》有自己的监管对象,与现行的规范文件互不冲突,不会造成过度监管。《战略》旨在:1)消除保障俄罗斯联邦网络安全监管中存在的问题;2)作为一种积极因素联合国家机关、公民社会组织和商业机构为推进俄罗斯联邦网络安全进程奠定基础;3)使所有利益相关方为提升俄罗斯联邦网络安全水平而开展的活动系统化;4)建立俄罗斯联邦网络安全威胁模型并明确应对威胁的方向和措施。在将《战略》融入俄罗斯联邦现行的规范文件体系时应注意下列问题:1、《战略》基于俄罗斯联邦《信息、信息技术和信息防护法》(2006年07月27日第149-ФЗ号)的关键原则,包括在建立和使用信息系统时确保俄罗斯的安全、个人隐私不得侵犯、未经允许不得收集、保存、使用和扩散个人隐私信息等。2、《战略》与《俄罗斯联邦信息安全学说》(以下简称《学说》)相符并完善了其中部分条款。《学说》指出,信息安全领域的一项中心任务是制定评估信息安全系统和设备有效性的准则和方法。《战略》规定了保障国家信息资源安全的行为,如对国家信息安全资源和系统的安全性进行定期评估。《战略》的任务是根据《学说》中关于必须发展现代信息技术和国家信息产业的条款为国家软件开发人员提供支持。《学说》认为,保障信息安全的组织技术方法包括在最为重要的社会和国家生产生活领域建立俄罗斯联邦信息安全系数和特点跟踪系统。《战略》将《学说》的条款具体化,规定建立网络威胁监控和应对机制,开设与网络安全问题相关的公共互联网门户网站,此类网站将发布包括分析和统计数据在内的网络安全信息。《学说》规定,建立统一的信息安全和信息技术领域骨干培训系统。相应的,《战略》要求采取必要措施和行动提高网络安全问题各领域专业人员的的职业技能。特别值得关注的是,《战略》和《学说》都强调要扩展国际合作。在国际合作中起主导作用的首先是制定共同措施规范信息武器的推广和运用。3、《战略》与《俄罗斯联邦信息社会发展战略》(以下简称《信息社会发展战略》的条款相符。《信息社会发展战略》的任务之一是保持俄罗斯多民族人民的文化,在公众认知中巩固道德和爱国准则,发展文化和人文教育体系。《战略》规定存进形成信息安全文化,提高俄罗斯公民的信息化水平。《信息社会发展战略》指出,社会发展的基础原则包括:国家、经贸公司和公民社会、自由度相协调;平等分享信息和知识;对国内产品生产商的支持,信息和通信技术领域的服务;促进信息和通信技术领域国际合作的发展;保障信息领域的国家安全。而制定《战略》的原则也建立在参与网络空间活动各方(公民社会、经贸公司和国家)关系体系协调的基础上。4、《战略》提出了许多与《俄罗斯联邦保障重要基础设施项目生产和技术流程自动化控制系统安全领域国家政策的主要方向》相适应的方法。5、《战略》旨在通过制定新的和完善现有的教育计划、组织教育宣传活动提高俄罗斯联邦公民网络安全方面的素质水平,这一点符合《构建信息安全文化领域国家政策的主要方向》。6、《战略》支持并发展了《俄罗斯联邦2020年前国际信息安全领域国家政策原则》的条款,在国家机构和各类组织协作层面上《战略》规定俄罗斯联邦参与国际上制定和实施网络安全措施的活动,包括扩展俄罗斯经贸公司和企业情况中心与外国和国际情况中心的合作,旨在交换网络威胁、防护技术和方法应用以及保障网络安全方面信息。四、《战略》的目的《战略》的目的是通过确定国内外政策方面的重点、原则和措施保障俄罗斯联邦公民、组织和国家的网络安全。五、《战略》的原则《网络安全战略》依据的基本原则包括:1)在获取和使用信息过程中保障公民宪法权利和人身自由的原则;2)在使用网络空间信息资源、信息系统和信息通信网的过程中最大限度保护个人、组织和国家机关的原则,包括保障重要信息基础设施运行的原则;3)所有信息社会主体——个人、组织和国家——在保障网络安全领域开展建设性合作的原则。相关各方责任范围:国家:对网络安全领域进行法律监管,协调利益相关方的力量;经贸公司:确保其私人拥有的重要信息基础设施的网络安全,执行网络安全标准;社会:提高信息化水平,确保对国家和经贸公司的努力做出回应。4)在追究违反网络安全要求行为责任与实行过渡限制之间保持平衡的原则;5)根据出现网络威胁的可能性和网络安全事故案件负面后果的程度确定网络安全风险优先次序的原则;6)系统更新网络安全方式方法以应对网络威胁变化的原则。六、《战略》保障网络安全的优先事项《战略》规定优先实施下列措施:1)发展国家网络攻击防护和网络威胁预警系统,对该领域个人建立和发展防护系统的活动予以奖励;2)根据时代要求发展和改革相关机制,提升重要信息基础设施的可靠性;3)改进网络空间内国家信息资源的安全保障措施;4)制定国家、经贸公司和公民社会在网络安全领域的合作机制;5)提高公民的信息化水平,发展网络空间安全行为文化;6)扩大国际合作,旨在制定和完善相关协议和机制,提高全球网络安全水平。七、《战略》中应明确和规定的网络安全行动方向应在下列方向上确保俄罗斯联邦的网络安全。1、采取全面系统的措施保障网络安全。包括:对国家行政信息网和信息通信网、易受攻击的信息基础设施针对网络威胁的防护情况进行定期评估和分析;推行网络安全标准,明确执行标准情况的检查机制;是俄罗斯联邦关于信息安全的国家标准与国际标准协调一致,保障将外国现行的和正在制定中的标准翻译成俄文并提供给信息安全领域专业人员以便在制定标准文件工作中参考;完善针对俄罗斯联邦信息资源实施计算机攻击的监测、预警和后果清除国家系统,包括建立和完善国家、企业的情况中心,成立网络安全事故案件反应中心等;拟定、批准并准备落实危机应对计划,消除国家范围内将要或已经出现的网络威胁,必要时与国外相关组织和个人开展合作。2、完善保障网络安全的标准法规文件和法律措施。包括:由国家和各类组织参与,重点针对国家行政信息网、信息通信网、易受攻击的信息基础设施进行检查,建立网络安全要求和建议更新机制;系统完善俄罗斯联邦网络安全领域的立法工作,包括合法前提下借鉴外国的立法经验,根据已签订的国际协议开展俄罗斯联邦网络安全领域的立法工作,扩大吸引专家群体、科研机构和非营利组织参与网络安全领域重要法规文件草案起草工作的实践范围;严肃追究网络空间犯罪分子的行政和刑事责任,实行传统违法犯罪活动中使用信息和通信技术手段应负行政和刑事责任的标准;简化护法机关与外国权力机关开展网络安全事故案件侦查协同行动的程序;制定标准法规文件用于改进和应用云计算技术以及设置和使用“云服务器”。3、开展网络安全领域的科学研究工作。包括:根据俄罗斯联邦安全会议批准的《俄罗斯联邦保障信息安全领域科研工作的主要方向》落实科学技术规划并开展研究;明确网络安全领域前沿科学技术研究重点并在开展应用和理论研究以及试验设计工作中提供国家支持。4、为研发、生产和使用网络安全设备提供条件。包括:向国内网络安全设备生产商提供国家支持,如减免税费、支持产品推向国际市场等;推进国家规划的网络安全技术设备研发,包括放宽软件的推广;制定系统措施推广使用国产软硬件,包括网络安全保障设备,更换国家行政信息网、信息通信网、至关重要的基础设施项目信息网及保障他们相互协调的信息通信网中的外国产品。5、完善网络安全骨干培养工作和组织措施。包括:制订、协调和实行网络安全领域专业人员培养和进修的教育标准;制定在各级教育机构教学过程中开设信息安全课程的方针,信息安全课程要设置网络安全模型或在现有课程中增设网络安全模型;根据包括网络安全在内的现代化发展趋势,修订信息技术和信息安全领域国家公务人员职业技能要求标准,强化此类人员履职情况定期考核机制,重点考核其职业技能标准达标情况;开设急需的、定期更新的教学课程,提高教师队伍和参与保障国家、组织和公民网络安全过程的国家公务人员网络安全领域的职业技能;采取措施推进国家和个人在网络安全补充职业教育方面的合作;推动建立新的和完善现有的国内网络安全问题管理中心;拟定建议保障俄罗斯公民在参与国家秘密、保密信息相关活动或各类组织和国家机关从事网络安全活动时使用外国软硬件产品和服务的安全性。6、组织国内外相关各方在网络安全方面开展协同行动。包括:扩展国家和国家情况中心与经贸公司和非赢利组织、社会团体以及国际情况中心的合作,合作内容包括网络威胁信息、技术应用信息互换,采取各种方式方法保障网络安全,推广普及网络空间安全行为实践等;改进国家机关、组织和公民发起网络犯罪调查的机制,完善消除网络犯罪后果的援助机制;与保险和审查机构共同制定措施为网络威胁风险提供保险,为网络安全提供法律支持,在网络安全方向上对国家机关和组织进行审查;保障俄罗斯联邦参与国际上制定和落实网络安全措施的活动;建立重要基础设施项目网络安全