Обеспечение информационной безопасности учреждений и органов уголовно-исполнительной системы Российской Федерации

Одним из основных принципов Стратегии развития информационного общества Российской Федерации на 2017–2030 годы, утвержденной указом Президента РФ от 9 мая 2017 г. № 203, является обеспечение государственной защиты интересов российских граждан в информационной сфере1. Говоря иначе, речь идет об информационной безопасности граждан, общества и государства. Это касается в полной мере сотрудников и работников уголовно-исполнительной системы (УИС) [1, с. 155].

Документом, официально закрепляющим понятие информационной безопасности в России, является Доктрина информационной безопасности Российской Федерации, утвержденная указом Президента РФ от 5 декабря 2016 г. № 646. Она определяет информационную безопасность как состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства2.

Кроме того, в ст. 16 федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ «Об информации…») раскрывается понятие защиты информации, которая представляет собой осуществление различных мер против неправомерного доступа, использования, изменения, блокирования, уничтожения информации, а также против ее несанкционированного разгла-шения3.

В учреждениях и органах уголовно-исполнительной системы обеспечение информационной безопасности регулируется федеральным законодательством: уже упомянутым ФЗ «Об информации...», устанавливающим общие принципы защиты информации, федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который закрепляет правовые основы борьбы с преступлениями против безопасности важнейших для российского общества и государства информационных и автоматизированных систем, информационно-телекоммуникационных сетей, с преступлениями, совершаемыми с использованием компьютерной техники, сети Интернет, включая ответственность за незаконные действия в сфере информационных технологий, защиту от кибератак и др.4

Обеспечения информационной безопасности в УИС РФ касаются такие нормативные правовые акты, как указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и пр. [2, с. 34].

Наряду с этим вопросы обеспечения безопасности уголовно-исполнительной системы РФ, ее цифровой трансформации рассматривает Концепция развития уголовно-исполнительной системы Российской Федерации на период до 2030 года, утвержденная распоряжением Правительства РФ от 29 апреля 2021 г. № 1138-р [3, с. 57–58].

Обеспечение информационной безопасности учреждений и органов уголовно-исполнительной системы осуществляется с помощью широкого спектра мер и механизмов.

Во исполнение нормативных актов территориальных подразделений, подчиненных ФСИН России, учреждения территориальных подразделений обеспечивают учет всех технических средств и устройств хранения информации (например, жестких дисков, внешних жестких дисков, флэш-накопителей и т. д.) на основании принятых локальных нормативных актов [4].

В учреждениях территориальных подразделений, подчиненных ФСИН России, проводится обучение и осведомление сотрудников и работников о возможных угрозах и рисках информационной безопасности, а также о политике и процедурах, связанных с безопасностью.

Кроме того, обеспечивается защита от внешних угроз: учреждения и органы УИС должны использовать современные технологии и программы для защиты от вредоносных программ, хакерских атак и других внешних негативных факторов. Сюда относятся использование антивирусного программного обеспечения, брандмауэров, систем обнаружения вторжений и других средств защиты, а также другие способы, обеспечивающие информационную безопасность учреждений и органов УИС.

При анализе деятельности учреждений и органов уголовно-исполнительной системы выявлены следующие проблемы обеспечения информационной безопасности:

• 1.    Многие сотрудники учреждений и органов УИС не обладают достаточными знаниями и навыками по обеспечению информационной безопасности. Это может привести к неправильному использованию информационных ресурсов и, как следствие, уязвимости системы.

• 2.    В некоторых случаях учреждения и органы УИС могут столкнуться с ограничением бюджетных средств, что затруднит реализацию мер по обеспечению информационной безопасности. Из-за недостаточного финансирования не будут производиться обновления и модернизация системы безопасности.

• 3.    Угрозы информационной безопасности эволюционируют с развитием технологий. В связи с этим учреждения и органы УИС должны постоянно обновлять свои системы и разрабатывать новые стратегии защиты, чтобы противостоять современным угрозам.

• 4.    Службы, отделы по информационной безопасности не всегда эффективно взаимодействуют с другими подразделениями учреждения или органа УИС, что может стать причиной возникновения уязвимостей в системе информационной безопасности и повысить риск нарушений в ней.

• 5.    Учреждения и органы УИС могут столкнуться с проблемами в управлении уязвимостями в своих системах и сетях. Недостаточное обнаружение и несвоевременное устранение уязвимостей, в свою очередь, может привести к потере данных и нарушению безопасности информации.

• 6.    Угрозы информационной безопасности могут не ограничиваться только кибератаками и хакерскими атаками. Сотрудники учреждений и органов УИС могут столкнуться также с угрозами со стороны физических лиц, которые попытаются получить доступ к конфиденциальной информации путем манипулирования и обмана.

Для решения вышеуказанных проблем предложены следующие рекомендации по улучшению безопасности информационных систем учреждений и органов уголовно-исполнительной системы:

• 1.    Обучение всех сотрудников, имеющих доступ к информационной системе, базовым правилам безопасности, таким как сложность паролей, необходимость обновления программного обеспечения, опасности фишинга и пр.

• 2.    Ходатайство перед вышестоящим подразделением ФСИН России о дополнительном финансировании бюджетными средствами для обновления и модернизации системы безопасности.

• 3.    Обязательное использование сотрудниками и работниками учреждений и органов УИС сильных, сложных паролей при входе в персональный компьютер для повышения безопасности доступа к системе.

• 4.    Тесное сотрудничество различных отделов учреждения или органа УИС, в том числе служб информационной безопасности, для повышения эффективности обеспечения безопасности внутри учреждения или органа УИС.

• 5.    Регулярное проведение ответственными лицами анализа уязвимостей с целью идентификации слабых мест в системе и принятия мер по их устранению.

• 6.    Мониторинг системы ответственными лицами на наличие аномальной активности и обновление программного обеспечения.