Обеспечение информационной безопасности в государственном и муниципальном управлении: общая оценка законодательства

Как известно, информационная безопасность представляет собой «практику» по предотвращению несанкционированного доступа к информации, несанкционированного ее модифицирования или уничтожения, записи (клонирования), использования и т.п. Поддержание информационной безопасности важно как для отдельных граждан, которые могут столкнуться с кражей своих личных данных, денег, или всей «цифровой личности» на одном или нескольких ресурсах, так и для организаций. Коммерческие организации и организации государственного и муниципального управления (ГИМУ) могут неожиданно получить существенные потери в том случае, если будут пренебрегать требованиями информационной безопасности. Отметим, что для организаций, в частности, организаций ГИМУ, требования информационной безопасности несколько модифицируются по сравнению с требованиями граждан – информационная безопасность должна обеспечивать доступность данных для работы с ними при одновременном соблюдении целостности данных и обеспечении их конфиденциальности. Фактически в рамках информационной безопасности необходимо оценить риски, связанные с информацией и возможным к ней доступом, риски, связанные уничтожением информации и модификацией информации и т.п., а затем на практике организовать управление этими рисками, включая превентивное управление.

Поскольку сама по себе информационная безопасность является исключительно важным моментом, для ее организации в масштабах государства необходимы иерархически выдержанная система законодательных актов и механизмы, обеспечивающие функционирование информационной безопаности. В данной статье мы попытаемся оценить совокупность нормативных актов Российской Федерации по информационной безопасности и указать на ряд механизмов по ее реализации.

Говоря об информационной безопасности, в первую очередь, необходимо отметить, что в Российской Федерации существует целостная система нормативных документов, посвященная информационной безопасности, со своей иерархией. На «вершине» находится Доктрина информационной безопасности Российской Федерации»,1 в которой определены основные цели, которые необходимо достигнуть для обеспечения национальной безопасности в информационной сфере, причем представлена совокупность иерархически зависимых друг от друга целей. Одними из ключевых целей являются разработка и использование отечественного программного обеспечения (ПО)2 и подготовка квалифицированных специалистов в области IT-сферы3. Так, Н. Никифоров, министр цифрового развития, связи и массовых коммуникаций в период 2012-2018 гг. в рамках доклада на Гайдаровском форуме еще в 2016 году отмечал, что государство является важным инфраструктурным инвестором современной экономики.4 Это, в принципе, соответствует основным положениям Доктрины, «под которую», если так можно выразиться, разработана совокупность нормативных документов.

Как и любая другая сфера деятельности, обеспечение информационной безопасности должно быть четко регламентировано нормативно-правовыми актами – и в этом ракурсе Российская Федерация следует общемировым тенденциям – определены среди приоритетных направлений в принимаемых на национальном уровне концептуальных документах развитие российских информационных и коммуникационных технологий, в том числе искусственного интеллекта, робототехники, биотехнологий, сетей связи нового поколения, обработки больших данных, Интернета вещей, индустриального Интернета и иные важные направления.

Можно говорить также о существовании ряда видов обеспечения информационной безопасности. Весьма важным является организационноправовое обеспечение информационной безопасности, которое представляет собой совокупность управленческих решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах5.

В процессе анализа можно прийти к выводу, что нормативноправовое регулирование информационной безопасности в Российской Федерации в целом в настоящее время находится на достаточно высоком уровне. Основными, если так можно выразиться, «регуляторами» в сфере информационной безопасности в настоящее время являются следующие структуры высшего уровня управления: Федеральная служба безопасности Российской Федерации (ФСБ России), Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифра), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральная служба по техническому и экспортному контролю (ФСТЭК России)6 и др. Можно подтвердить, что они поддерживают издаваемые ими нормативноправовые акты в актуальном состоянии, откликаясь на изменения, производимые в федеральном законодательстве.

Отметим ряд важнейших в плане нормативно-правого регулирования информационной безопасности нормативных документов: Указ Президента РФ от 16.08.2004 N 1085 (ред. от 31.08.2020) "Вопросы Федеральной службы по техническому и экспортному контролю" (Выписка)7; Приказ ФСТЭК России от 12.05.2005 N 167 (ред. от 26.04.2018) "Об утверждении Регламента Федеральной службы по техническому и экспортному контролю" (Зарегистрировано в Минюсте

России 06.06.2005 N 6682)8; Федеральный закон "О федеральной службе безопасности" от 03.04.1995 N 40-ФЗ9; Указ Президента РФ от 11.08.2003 N 960 (ред. от 03.07.2018) "Вопросы Федеральной службы безопасности Российской Федерации"10; Постановление Правительства РФ от 02.06.2008 N 418 (ред. от 30.01.2021) "О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации"11; Постановление Правительства РФ от 16.03.2009 N 228 (ред. от 28.12.2020) "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций"12; есть и ряд других важных нормативных документов. Предполагается, что издаваемые в настоящее время нормативные акты должны находиться в русле реализации Государственной программы Российской Федерации «Информационное общество»13.

Однако, отдельные важные аспекты защиты информации, обозначенные в нормативно-правовых документах федерального уровня, не всегда находят свое отражение в документах на уровне федеральных организаций и субъектов РФ, что, безусловно, ведет к некоторой противоречивости в решении вопросов защиты информации. Эти вопросы достаточно длительное время беспокоят как теоретиков, так и практиков14.

Кроме вышеописанного организационно-правового обеспечения информационной безопасности можно также выделять программнотехническое обеспечение информационной безопасности (иногда принято выделять здесь два разных самостоятельных аспекта – программное и техническое обеспечение). В последнее время основные регуляторы в сфере информационной безопасности все чаще обращают внимание на, если можно так выразиться, «практическую защищенность» информационных систем государственных и муниципальных органов власти от потенциальных угроз и вредоносных воздействий. Информация, содержащаяся в информационных системах, защищается в соответствии с действующим законодательством Российской Федерации об информации и информационных технологиях. Программно-технические средства информационной системы должны иметь действующие сертификаты, выданные ФСБ и (или) ФСТЭК в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации.

В том случае, если в рамках информационных систем не содержатся сведения, составляющие государственную тайну, внедрение, эксплуатация и развитие системы защиты информации производится в соответствии с Приказом ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019) "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608) (с изм. и доп., вступ. в силу с 01.01.2021)15.

Предполагается, что для обеспечения защиты информации необходимо сформировать требования к защите информации, содержащейся в государственных информационных системах, применять сертифицированные средства защиты информации при ее передаче по информационно-телекоммуникационным сетям. Орган исполнительной власти, являющийся оператором информационной системы, должен обеспечить предотвращение несанкционированного доступа к информации, проводить мониторинг на предмет обнаружения фактов несанкционированного доступа к информации, предотвращать несанкционированное воздействие на входящие в состав информационных систем технические средства обработки информации, в результате которого нарушается их функционирование, осуществлять непрерывный контроль за уровнем защищенности информации, содержащейся в информсистемах.

Весьма важным вопросом, связанным с защитой информационных систем в ГИМУ, является вопрос по безопасности взаимодействия пользователей систем при их идентификации (аутентификации), что предполагает корректную настройку протоколов и взаимодействий, а также прав доступа. Могут использоваться электронные подписи16.

Таким образом, можно говорить о достаточно стройной системе законодательства по обеспечению информационной безопасности в Российской Федерации и достаточно четком распределении обязанностей по ее обеспечению между федеральными структурами. Стоит отметить, что поддержание информационной безопасности в ГИМУ на высоком уровне влечет за собой большие материальные затраты. Однако защита информации, в том числе персональных данных, является одной из первостепенных задач и должна быть обеспечена в соответствии с действующим законодательством Российской Федерации.