Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Информационная безопасность органов исполнительной власти на современном этапе.

Обновлено 12.01.2023 06:41

 

Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности. В статье рассматривается понятие информационной безопасности, содержание режима информационной безопасности органов исполнительной власти, проводится анализ его элементов, определяются направления обеспечения информационной безопасности в связи с изменяющейся ситуацией, новыми вызовами и угрозами. Сделан вывод о том, что информационная безопасность органов исполнительной власти включает в себя обеспечение их информационных потребностей в рамках их компетенции и в объемах, необходимых для выполнения возложенных на них задач; безопасность информации и информационных ресурсов; безопасность телекоммуникаций и информационного обмена.

Современные информационные технологии не только открывают безграничные возможности, но и порождают новые проблемы развития российского общества, несут новые опасности, вызовы и угрозы его безопасности, одной из важнейших составляющих которой является информационная безопасность. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе развития технического прогресса, быстрыми темпами растущего использования современных информационных технологий эта зависимость неизбежно возрастает. Значимость информационной безопасности для Российской Федерации обусловлена тем, что информационная сфера обеспечивает функционирование всех остальных сфер жизни общества и государства.

До недавнего времени национальная безопасность рассматривалась как сохранение суверенитета и территориальной целостности государства, его устойчивость перед угрозой применения вооруженной силы со стороны других государств. Однако в настоящее время национальная безопасность видится как комплексная системная проблема, учитывающая наличие многообразных факторов и угроз, в том числе информационных.

Информационная безопасность не является проблемой, специфичной только для Российской Федерации. Практически все страны с развитой экономикой на уровне государственных органов, предпринимательских структур разрабатывают и применяют комплексные меры, направленные на обеспечение информационной безопасности.

Основным документом, определяющим политику нашей страны в сфере информационной безопасности, является Доктрина информационной безопасности Российской Федерации <1>. Доктрина впервые в совокупности определила цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, однако в связи с меняющейся международной обстановкой, изменением характера и направленности угроз представляется необходимым уточнить ее отдельные положения. Более того, такие базовые документы следовало бы регулярно, один раз в четыре-пять лет, корректировать, уточняя стратегические цели и приоритеты при реализации политики информационной безопасности России.

<1> Утв. Президентом РФ 9 сентября 2000 г. N Пр-1895 (Российская газета. 2000. 28 сент.).

Что же представляет собой информационная безопасность России, ее государственных органов? Термин "безопасность" в российском законодательстве используется в двух смыслах: 1) состояние защищенности определенных объектов или субъектов; 2) свойство чего-либо, позволяющее обеспечивать защиту объектов в процессе использования, хранения и т.п. С этой точки зрения законодательство в сфере информационной безопасности образует два блока, первый из которых включает нормы, устанавливающие правовой режим информации, права, обязанности, ответственность субъектов информационных отношений, меры по созданию и обеспечению состояния информационной защищенности тех или иных объектов, а второй - нормы, устанавливающие требования к техническим средствам, сетям связи, условия передачи информации и т.п., что формирует их свойство обеспечивать защищенность информации и в конечном счете защищенность самих объектов. На информационную безопасность органов исполнительной власти влияние оказывают оба указанных блока.

Понятия "безопасность" и "информационная безопасность". Для анализа информационной безопасности органов исполнительной власти необходимо определиться с терминологией. В Федеральном законе от 28 декабря 2010 г. N 390-ФЗ "О безопасности" <2> не содержится определение безопасности в отличие от ранее действовавшего Закона РФ от 5 марта 1992 г. N 2446-1 "О безопасности", в котором под данным термином понималось состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

<2> Парламентская газета. 2011. 14 - 20 янв.

В Соглашении правительств государств - членов Евразийского экономического сообщества о проведении согласованной политики в области технического регулирования, санитарных и фитосанитарных мер 2008 г. безопасность рассматривается как отсутствие недопустимого риска, связанного с возможностью причинения вреда и (или) нанесения ущерба. Существенное различие приведенных дефиниций связано, как представляется, с тем, что в первом случае речь идет о безопасности определенных субъектов или групп субъектов (личности, общества и государства), а во втором - о безопасности объектов (продукции), об их свойстве не причинять вред на всех стадиях жизненного цикла.

Стратегия национальной безопасности Российской Федерации до 2020 г. <3> дает определение национальной безопасности исходя из безопасности тех же субъектов, которые приводятся в Федеральном законе "О безопасности". Под данным термином в документе понимается состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства.

<3> Утв. Указом Президента РФ от 12 мая 2009 г. N 537 (Собрание законодательства Российской Федерации. 2009. N 20. Ст. 2444).

Безопасность, в том числе национальная, в зависимости от сферы включает в себя различные виды безопасности, к которым принято относить внешнюю, внутреннюю, международную, военную, экономическую, политическую, социальную, информационную, экологическую, общественную и др. <4>. Таким образом, безопасность как таковая характеризуется комплексностью, а информационная безопасность является ее составляющей.

<4> См., например: распоряжение Правительства Москвы от 16 апреля 2010 г. N 707-РП "Об утверждении Концепции комплексной безопасности города Москвы".

В указанной выше Доктрине информационная безопасность Российской Федерации понимается как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В ряде нормативных правовых актов информационная безопасность приравнивается к безопасности информации. Так, в Постановлении правления Пенсионного фонда РФ от 26 января 2001 г. N 15 "О введении в системе Пенсионного фонда Российской Федерации криптографической защиты информации и электронной цифровой подписи", которым утвержден Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации, дано следующее определение: "Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.".

Полагаем, что информационную безопасность нельзя сводить исключительно к безопасности информации: эти понятия соотносятся как часть и целое, т.е. информационная безопасность включает в себя в том числе безопасность информации. Что касается последней, то она представляет собой состояние защищенности информации от несанкционированного доступа к данной информации, а также от нарушения функционирования программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации или от вывода указанных средств из строя, обеспеченное совокупностью мер и средств защиты информации <5>.

<5> Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. ГОСТ Р 52448-2005 (утв. Приказом Ростехрегулирования от 29 декабря 2005 г. N 449-ст).

Информационная безопасность направлена прежде всего на безопасность субъектов (личности, общества, государства), при этом в зависимости от группы субъектов ее содержание может различаться. Не случайно в Доктрине информационной безопасности Российской Федерации речь идет о сбалансированных интересах личности, общества и государства в информационной сфере. И даже внутри указанных крупных блоков могут выделяться определенные группы субъектов, применительно к которым установлены особенности их информационной безопасности <6>. С этой точки зрения можно говорить об информационной безопасности органов исполнительной власти, представляющих собой одну из ветвей власти государства.

<6> См., например: Федеральный закон от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию", где информационная безопасность детей понимается как состояние защищенности детей, при котором отсутствует риск, связанный с причинением информацией вреда их здоровью и (или) физическому, психическому, духовному, нравственному развитию.

Обеспечение информационной безопасности предполагает прежде всего правильное определение угроз безопасности соответствующего субъекта, в том числе угроз государственным органам исполнительной власти в информационной сфере, а также адекватный выбор и применение адекватных средств защиты от этих угроз, что может быть достигнуто только комплексным использованием средств защиты по каждому виду угроз в рамках единой государственной политики, учитывающей, разумеется, федеральный и региональный уровни, которые должны быть взаимосвязаны.

Вместе с тем в Стратегии национальной безопасности Российской Федерации до 2020 г. информационная безопасность практически не обозначена: она не выделена в структуре национальной безопасности в отдельный раздел, не определены существующие угрозы информационной безопасности, задачи и пути их нейтрализации. Об информационной безопасности в Стратегии упоминается исключительно в связи с вопросами развития системы распределенных ситуационных центров, для чего, как предполагается, потребуется преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности, разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами.

Как следует из Стратегии, угрозы информационной безопасности предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.

В связи с этим встает вопрос: относятся ли государственные органы исполнительной власти к критически важным объектам инфраструктуры или объектам повышенной опасности? В действующем законодательстве мы можем найти определение только критической информационной инфраструктуры Российской Федерации. Под ней понимается совокупность автоматизированных систем управления критически важными объектами и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий <7>.

<7> См.: Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утв. Президентом РФ 3 февраля 2012 г. N 803).

Как видим, применительно к государственному управлению речь идет не об информационной безопасности органов исполнительной власти в комплексе, а об одной из составляющих - технической стороне информационной безопасности.

Вместе с тем представляется, что информационная безопасность органов исполнительной власти существенно шире и включает в себя:

обеспечение их информационных потребностей в рамках их компетенции и в объемах, необходимых для выполнения возложенных на них задач, полноту, своевременность и достоверность информации, необходимой для принятия решений;

безопасность информации и информационных ресурсов;

безопасность телекоммуникаций и информационного обмена.

Информационное обеспечение деятельности государственных органов исполнительной власти - непременное условие эффективности государственного управления, принятия обоснованных решений на основе полной, своевременной и достоверной информации. Уровень информационного обеспечения деятельности органов исполнительной власти оказывает существенное влияние на все процессы социально-экономического развития общества, является одним из стратегических направлений повышения эффективности деятельности на всех уровнях.

Необходимы оценка и обеспечение информационных потребностей в рамках каждой функции управления конкретного органа исполнительной власти; организация документооборота и обмена информацией; оптимизация потоков информации и процедур обмена и т.п. Объему компетенции каждого органа исполнительной власти должен соответствовать необходимый для ее реализации объем информационного обеспечения, при этом на информационную безопасность будет отрицательно влиять как недостаток информации, так и ее избыток. Представляется целесообразным определять объем информационного обеспечения конкретного органа исполнительной власти в положении об этом органе, иными словами, устанавливать его информационный статус на основе поставленных перед ним задач и объемов предоставленных полномочий.

На повышение информационной безопасности органов исполнительной власти оказывает влияние создание на федеральном и региональном уровнях на основе информационно-коммуникационных технологий электронного правительства, в результате чего обеспечивается современная информационная основа для принятия управленческих решений, повышается уровень информационного обеспечения, достоверность, скорость получения и полнота информации.

При этом нельзя сводить электронное правительство только к его технической составляющей; его задача - повышение эффективности деятельности государства в целом, формирование нового уровня отношений граждан со своим государством.

В Российской Федерации целями формирования электронного правительства в том числе являются <8> повышение качества административно-управленческих процессов, совершенствование системы информационно-аналитического обеспечения принимаемых решений на всех уровнях государственного управления.

<8> См.: распоряжение Правительства РФ от 6 мая 2008 г. N 632-р "О Концепции формирования в Российской Федерации электронного правительства до 2010 года".

Безопасность информации как составляющая информационной безопасности органов исполнительной власти включает в себя защиту информации и информационных ресурсов от несанкционированного доступа, искажения, уничтожения, установление режима информации в зависимости от ее содержания, обеспечение защиты сведений, составляющих государственную тайну, иной информации ограниченного доступа.

Безопасность информации, циркулирующей в органах исполнительной власти, обеспечивается различными мерами: организационными, техническими, правовыми. Согласно ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" указанные меры по защите информации направлены:

на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Перечисленные меры, по сути, представляют собой установление в отношении конкретных видов информации правового режима и обеспечение его соблюдения. Их исполнение возложено на обладателя информации, оператора информационной системы в случаях, установленных законодательством Российской Федерации. Применительно к информации, циркулирующей в сфере государственного управления, обладателями информации, операторами государственных информационных систем по общему правилу являются органы исполнительной власти. В целях обеспечения информационной безопасности органы исполнительной власти обязаны выполнять требования о защите информации, содержащейся в государственных информационных системах, которые устанавливаются уполномоченными федеральными органами исполнительной власти.

Наиболее полно урегулированы вопросы защиты информации, составляющей государственную тайну, а наиболее проблемными являются вопросы установления правового режима служебной тайны, в связи с чем представляется необходимым остановиться на этом вопросе подробнее.

Как отметил в Постановлении от 15 мая 2006 г. N 5-П Конституционный Суд РФ, "конституционная природа Российской Федерации как социального государства, политика которого направлена на создание условий, обеспечивающих достойную жизнь и свободное развитие человека, равенство прав и свобод человека и гражданина независимо от места жительства, предопределяет необходимость достижения баланса конституционно защищаемых ценностей". Именно обеспечение баланса конституционно защищаемых ценностей является тем критерием, который позволяет правильно решить вопрос о доступе к информации. В отношении одних категорий информации государство должно обеспечить защиту от неправомерного доступа и использования третьими лицами, а в отношении других, напротив, обеспечить доступность и препятствовать закреплению прав или установлению каких-либо ограничений.

Конституционные нормы определяют основные параметры (цели, границы, способы, условия) поведения социальных субъектов в информационной сфере. В них заложены основы подхода к установлению правового режима информации. В Постановлении от 18 февраля 2000 г. N 3-П Конституционный Суд РФ указал, что "в силу предписания статей 23, 24, 29 и 55 (часть 3) Конституции Российской Федерации не допускается ограничение прав и свобод в сфере получения информации, в частности права свободно, любым законным способом искать и получать информацию, а также права знакомиться с собираемыми органами государственной власти и их должностными лицами сведениями, документами и материалами, непосредственно затрагивающими права и свободы гражданина, если иное не предусмотрено федеральным законом в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства".

Ограничения в доступе к информации, находящейся у органов исполнительной власти, устанавливаются в том случае, когда иные меры регулирования не могут обеспечить должный правовой порядок, в первую очередь безопасность. Это достигается при помощи следующих средств:

установление дополнительных запретов и обязываний, ограничение определенных действий;

принятие специальных мер, направленных на установление и поддержание режимных правил;

разрешительный способ и тип реализации прав и свобод;

система контроля и надзора за выполнением режимных требований;

установление ответственности за нарушение специального правового режима.

Основная часть запретов и ограничений находит регламентацию в федеральных законах путем введения специальных правовых режимов определенных видов информации, и в первую очередь путем установления режима тайны.

Одним из длительно нерешаемых вопросов относительно информации, циркулирующей в системе органов исполнительной власти, является вопрос о служебной тайне. В отсутствие закона о служебной тайне действует Постановление Правительства РФ от 3 ноября 1994 г. N 1233, в соответствии с которым "к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью".

Нормы ст. 5 Федерального закона от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" устанавливают, что доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну. Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа согласно той же статье должны быть установлены федеральным законом.

Основания для ограничений доступа к информации могут устанавливаться законом только в качестве исключения из общего дозволения (ч. 2 ст. 24 Конституции РФ) и должны быть связаны именно с содержанием информации, поскольку иначе они не были бы адекватны конституционно признаваемым целям <9>.

<9> См.: Постановление КС РФ от 18 февраля 2000 г. N 3-П.

Из этого следует, что существование служебной тайны при отсутствии ее установления на законодательном уровне нелегитимно. В связи с этим представляется необходимым законодательно закрепить требования к режиму служебной тайны, приняв Федеральный закон "О служебной тайне", и внести соответствующие изменения в другие федеральные законы, УК и КоАП РФ, что позволит в том числе без ущерба для безопасности страны сократить объемы засекреченных сведений путем перевода их в режим служебной тайны. Кроме того, принятие федерального закона позволит обеспечить более высокий уровень информационной безопасности органов исполнительной власти, поскольку значительно снизится степень усмотрения чиновников в вопросе введения режима служебной тайны.

Безопасность телекоммуникаций и информационного обмена - одна из составляющих информационной безопасности органов исполнительной власти. Информационные технологии нашли широкое применение в управлении важнейшими объектами жизнеобеспечения, которые становятся более уязвимыми перед случайными и преднамеренными воздействиями. Повышение уязвимости связано с целым рядом факторов, основными из которых являются снижение уровня международной безопасности; развитие международного терроризма; увеличение количества потенциально опасных объектов, многие из которых расположены в крупных городах. Один из принципиальных факторов - существенная зависимость национальных инфраструктур России от зарубежных технологий, что обусловило возникновение новых угроз, которые связаны прежде всего с возможностью использования информационно-коммуникационных технологий в целях, несовместимых с национальными интересами. В связи с этим одним из направлений решения проблем безопасности является активное развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью, развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Однако указанная цель по разработке и внедрению в первую очередь в систему государственного управления национальных программных продуктов на основе систем с открытым кодом как альтернатива продукции "Майкрософта" в настоящее время не реализована. С учетом этого распоряжением Правительства РФ от 1 ноября 2013 г. N 2036-р была утверждена Стратегия развития отрасли информационных технологий в Российской Федерации на 2014 - 2020 гг. и на перспективу до 2025 г.

Мерами долгосрочного характера предусмотрены разработка и запуск специальной программы импортозамещения продукции сферы информационных технологий для решения задач отдельных государственных структур и организаций (в том числе оборонно-промышленного комплекса), включающей запуск разработки широкой номенклатуры продукции, обладающей высоким уровнем информационной безопасности; стимулирование циркуляции данных "облачных" сервисов внутри страны.

В целях обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, информационных сетей и сетей связи, включая международную компьютерную сеть Интернет, субъектам международного информационного обмена в Российской Федерации предписано не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, служебную тайну, в состав средств международного информационного обмена, в том числе в международную компьютерную сеть Интернет.

Поскольку такого рода информация находится, обрабатывается не только в государственных и муниципальных структурах, эти требования распространяются на всех, кто ее получает, обрабатывает или передает, независимо от подчиненности и формы собственности.

Владельцам открытых и общедоступных государственных информационных ресурсов предписано осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических средств для подтверждения достоверности информации. Обязанность использования только сертифицированных средств защиты информации в данном случае существенно повышает степень информационной безопасности.

Однако приведенные выше меры, безусловно, необходимые, но недостаточные. По мнению аналитиков, факторы уязвимости России в информационной сфере определяются наличием таких серьезных проблем, как ее технологическая зависимость от иностранных государств в сфере информатики, недостаточный уровень защищенности критически важных сегментов информационной инфраструктуры и низкая степень государственного контроля ее внутреннего информационного пространства.

15 января 2013 г. Президент РФ подписал Указ N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации".

В целях обеспечения информационной безопасности Российской Федерации предусмотрено создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом.

Основными задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации установлены:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

в) осуществление контроля степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;

г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

Одним из последних документов, посвященных информационной безопасности, является Указ Президента РФ от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации". Согласно ему сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ, находящийся в ведении Федеральной службы охраны РФ, должен быть преобразован в российский государственный сегмент информационно-телекоммуникационной сети Интернет. Отмечается, что подключение российских госорганов к Интернету должно происходить по защищенным каналам связи с использованием шифровальных средств.

Представляется, что рассматриваемые проблемы относятся к тем, которые требуют постоянного внимания государства и приоритетного решения, повышения степени государственного контроля за соблюдением требований безопасности в информационном пространстве. Существенный вклад в обеспечение информационной безопасности может внести формирование современного законодательства в данной сфере.