ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СУБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ КАК СОСТАВНАЯ ЧАСТЬ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИИ
Е.А. Проценко
Научный руководитель - доктор технических наук, профессор Л.Г. Осовецкий
В статье предпринята попытка описать состояние информационной безопасности субъектов Российской Федерации.
Так как в России основным субъектом обеспечения безопасности является государство, которое формирует механизмы реализации государственной политики в сфере информации, информатизации и защиты информации через органы законодательной, исполнительной и судебной власти, то задача правового обеспечения информационной безопасности (ИБ) в форме методов правового, организационно-технического и социально-экономического регулирования, а также политической деятельности государства, является приоритетной. Юридической базой для проведения работ в области обеспечения безопасности информации, в том числе и безопасности информации субъектов Российской Федерации, являются нижеследующие документы.
1. Концепция национальной безопасности [1] (далее - Концепция) определяет необходимость сохранности информационных ресурсов, а также отмечает процесс нарастания угроз национальной безопасности РФ в информационной сфере путем получения несанкционированного доступа (далее - НСД) к информационным ресурсам и нарушения нормального функционирования информационных и телекоммуникационных систем (далее - ИТКС). Решение проблемы сохранности информационных ресурсов, а также снижение процесса нарастания угроз национальной безопасности РФ в информационной сфере при развитии многоуровневой системы обеспечения национальной безопасности РФ (далее - СОНБ РФ) в соответствии с законодательством, с привлечением уполномоченных в этой области органов, позволит повысить информационную безопасность РФ (далее - ИБРФ).
2. Доктрина информационной безопасности [2] (далее - Доктрина), развивая Концепцию применительно к информационной сфере путем формирования официальных взглядов на государственную политику в области обеспечения ИБ РФ, в число приоритетных ставит задачу обеспечения ИБ РФ путем:
• совершенствования системы обеспечения ИБ РФ в определенных сферах общественной жизни на федеральном, межрегиональном, региональном и объектовом уровнях;
• информационного обеспечения государственной политики РФ;
• обеспечения безопасности ИТКС и систем, как уже развернутых, так и создаваемых на территории России;
• законодательного разграничения полномочий в области обеспечения ИБ РФ между федеральными органами государственной власти (далее - ОГВ) и органами государственной власти субъектов РФ (далее - ОГВ субъектов РФ);
• совершенствования нормативной правовой базы обеспечения ИБ РФ;
• координации деятельности федеральных ОГВ, ОГВ субъектов РФ, предприятий, учреждений и организаций в области обеспечения ИБ РФ независимо от их формы собственности;
• развития и совершенствования государственной системы защиты информации и системы защиты государственной тайны, в рамках правовых методов обеспечения ИБ РФ;
• внесения изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения ИБ, в целях создания и совершенствования многоуровневой системы обеспечения ИБ РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий между федеральными законодательными актами и законодательными актами субъектов РФ;
• создания правовой базы для формирования в РФ региональных структур обеспечения ИБ в рамках организационно-технических методов обеспечения ИБ РФ;
• усиления правоприменительной деятельности федеральных органов исполнительной власти (далее - ФО ИВ РФ), органов исполнительной власти субъектов РФ (далее - ОИВ субъектов РФ);
• разработки критериев и методов оценки эффективности (достаточности) систем и средств обеспечения ИБ РФ;
• координации деятельности федеральных ОГВ, ОГВ субъектов РФ по формированию и реализации единой государственной политики в области обеспечения ИБ РФ;
• разработки нормативной правовой базы, регулирующей отношения в информационной сфере.
3. Приоритетные проблемы научных исследований в области ИБ РФ [3] и Основы государственной политики в области обеспечения ИБ субъектов РФ [4], базируясь на Концепции и Доктрине, отмечают следующее.
3.1. Интересы общества, реализуемые в информационной сфере субъекта РФ, заключаются в следующем:
• государственная политика в области обеспечения ИБ субъектов РФ является частью государственной политики в области обеспечения ИБ РФ. Она разрабатывается и выполняется, прежде всего, ОГВ субъектов РФ во взаимодействии и в координации с деятельностью ФО ИВ РФ в области обеспечения ИБ страны;
• выполнение ОГВ субъекта РФ возложенных на них функций в области обеспечения ИБ;
• обеспечение безопасности информационных ресурсов ограниченного доступа, использование и распоряжение которыми делегировано федеральными ОГВ субъекту РФ, а также созданных этим субъектом.
3.2. Основным направлением государственной политики в области обеспечения ИБ субъектов РФ является совершенствование законодательства РФ, регулирующего отношения в области взаимодействия ФО ИВ РФ и ОИВ субъектов РФ в целях обеспечения их ИБ, а также в области формирования и использования федеральных информационных ресурсов, информационных систем, информационных ресурсов и информационных систем, находящихся в совместном ведении, и информационных ресурсов субъектов РФ путем уточнения правовых норм, регулирующих отношения:
• по согласованию деятельности органов исполнительной власти субъектов РФ и ФО ИВ РФ по созданию, обеспечению устойчивости функционирования и безопасности ИТКС, сетей связи и информации, включая информационные ресурсы;
• по использованию федеральных информационных систем и ресурсов, информационных систем и ресурсов совместного ведения ОГВ субъектов РФ, а также информационных систем и ресурсов субъектов РФ федеральными ОГВ.
3.3. Первоочередными мероприятиями по реализации государственной политики в области обеспечения ИБ субъектов РФ являются:
• разработка проектов нормативных правовых актов, закрепляющих механизмы правового регулирования отношений в области взаимодействия и координации деятельности ФО ИВ и органов исполнительной власти субъектов РФ по обеспечению
ИБ субъектов РФ и ИБ РФ в целом, а также в области формирования и использования федеральных информационных ресурсов и информационных систем, информационных ресурсов и информационных систем, находящихся в совместном ведении, информационных ресурсов и информационных систем субъектов РФ; • создание методического обеспечения оценки ИБ субъектов РФ, и ее влияния на информационную безопасность РФ в целом.
На основе положений рассмотренных выше документов функции координации и контроля в области защиты информации на уровне Северо-Западного федерального округа (далее - СЗФО) возложены на субъектов, которые представлены на рис. 1.
Рис. 1. Структура координации и контроля на федеральном уровне
Создание в 2001 г. Координационного совета при полномочном представителе Президента РФ в СЗФО, правопреемником которого стал Межведомственный совет по защите информации при полномочном представителе Президента РФ в СЗФО (далее -Совет), послужило основой формирования многоуровневой системы защиты информации в Северо-Западном регионе на базе одобренного этим же Советом ряда рамочных документов в области ЗИ, совокупность которых позволяет обеспечить требуемый уровень безопасности в информационной сфере и адекватно реагировать на внутренние и внешние угрозы информации. На общесистемном уровне - это:
• Закон субъекта РФ «Об информационных ресурсах» или «О защите информации»;
• концепция ЗИ в субъекте РФ;
• Положение о системе ЗИ в субъекте РФ;
• Положение о порядке организации и проведения работ по ЗИ конфиденциальной информации;
• Положение о Комиссии по ЗИ в субъекте РФ;
• План работы Комиссии по ЗИ;
• Перечень сведений конфиденциального характера;
• Положение о порядке обращения со служебной информацией в органах исполнительной власти субъекта РФ;
• Положение по контролю состояния ЗИ в субъекте РФ.
На региональном уровне - это:
• документы по ЗИ муниципальных образований в субъектах РФ;
• документы по ЗИ предприятий (учреждений, организаций), входящих в состав РСЗИ;
• документы по ЗИ на конкретных объектах защиты, входящих в состав предприятий (учреждений, организаций).
Отсутствие данных документов не позволит своевременно определить политику создания, развития и эффективного функционирования системы ЗИ субъекта РФ.
Основными факторами создания Совета послужили:
1. недостаточность и в большинстве случаев - отсутствие нормативной правовой базы по формированию многоуровневой системы ЗИ в субъектах РФ;
2. возрастание зависимости результатов деятельности ОГВ и местного самоуправления (далее - ОМСУ), предприятий, учреждений и организаций от достоверности используемой ими информации, своевременности ее получения, надежности принятых мер по сохранению в тайне информации ограниченного доступа;
3. необходимость учета и защиты информационных ресурсов от НСД при их создании, приобретении, накапливании субъектами РФ, предприятиями, организациями, учреждениями и гражданами;
4. разнородность классификации одной и той же информации при ее обработке в различных государственных и негосударственных учреждениях;
5. использование органами власти и управления региональных и глобальных информационных систем, в которых накапливаются, обрабатываются и передаются огромные массивы информации, подлежащей защите, что создает предпосылки для НСД к ней;
6. использование третьими лицами средств НСД к информации; постоянный рост числа преступлений в сфере компьютерной информации и в связи с этим - рост расходов на обеспечение безопасности информации, а также невозможность своевременно и достоверно прогнозировать и выявлять эти угрозы, оценивать их опасность, принимать адекватные меры по устранению;
7. отсутствие качественно подготовленных специалистов, а также нормативной методической литературы и постоянно возрастающей стоимости средств и услуг по ЗИ, что делает невозможным обеспечения эффективной ЗИ в большинстве предприятий, организаций и учреждений;
8. невозможность достоверно предсказать отрицательные экономические, социальные и экологические последствия в случае возникновения критических ситуаций, связанных с нарушениями безопасности информации в кредитно-финансовых учреждениях, системах управления, связи и транспорта, а также на экологически опасных производствах и в сфере энергетики.
Совет стал высшим органом в СЗФО по вопросам защиты информации, в структуру которого входят уже упомянутые выше органы обеспечения, координации и контроля в области ЗИ. Основной задачей Совета является реализация конституционной обязанности государства по обеспечению национальной безопасности РФ, а также создание благоприятных условий для выработки и реализации комплекса мер по формированию и развитию эффективной системы защиты информации как составляющей системы информационной безопасности, охватывающей все уровни и ветви органов государственной власти СЗФО.
В 2003 г. Президент РФ определил, что 2004 г. должен стать годом приоритетов в формировании законодательной базы субъектов РФ, соответствующей федеральному законодательству. Данная позиция Президента небезосновательна, так как необходимость принятия субъектами РФ, в пределах своей компетенции, нормативных правовых актов, регулирующих отношения в области ЗИ обусловлена положениями:
• Конституции РФ;
• Закона РФ «О государственной тайне»;
• Федеральных законов «Об информации, информатизации и защите информации», «Об общих принципах организации местного самоуправления в Российской Федерации» и др.
На начало 2006 г. в СЗФО можно отметить положительную динамику в разработке и принятии исполнительными органами власти субъектов РФ нормативных
правовых актов по вопросам регулирования в области ЗИ: действуют 58 нормативных правовых актов (в Республики Карелия - 6, в Республики Коми - 4, в Архангельской области - 12, в Вологодской области - 2, в Калининградской области - 4, в Ленинградской области - 1, в Мурманской области - 3, в Новгородской области - 3, в Псковской области - 17, в Санкт-Петербурге - 6), но следует отметить, что органы власти по-прежнему являются слабым звеном в системе защиты информации СЗФО. Основной причиной такого положения дел является формальное отношение руководства субъектов РФ к особой важности проблемы обеспечения ИБ.
Решение проблемы формирования нормативной правовой базы субъекта РФ в области ЗИ позволит определить:
• правовой статус работ по ЗИ с учетом требований федерального законодательства;
• порядок управления и распоряжения информационными ресурсами как собственностью субъекта РФ;
• организационно-правовые, организационно-технические и экономические основы, регулирующие взаимоотношения субъектов права в области ЗИ субъекта РФ;
• порядок финансирования работ по формированию, использованию и защите информационных ресурсов;
• ответственность должностных лиц и порядок их взаимодействия при совершенствовании многоуровневой системы ЗИ, в том числе в процессе реформирования органов местного самоуправления.
Кроме того, это позволит повысить эффективность защиты информации, создать систему, соответствующую задачам обеспечения национальной безопасности, безопасности и устойчивого развития регионов, адекватно реагирующую на угрозы безопасности информации в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности субъектов РФ, находящихся в пределах СЗФО.
Использование органами власти (в том числе и субъектов РФ) в своей повседневной деятельности различных средств информатизации приводит к наращиванию массивов информации, а также оказывает существенное влияние на технологические процессы обработки и защиты данной информации. Применение этих средств значительно опережает процессы совершенствования и развития соответствующей нормативной и методической базы, поэтому задача модифицирования федерального законодательства и создание четко выстроенной и согласованной правовой базы субъектов РФ в области ЗИ с учетом складывающегося уровня информатизации является более чем актуальной.
Литература
1. Концепция национальной безопасности Российской Федерации (утв. Указом Президента РФ от 17 декабря 1997 г. № 1300) (в ред. Указа Президента РФ от 10 января 2000 г. № 24).
2. Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № ПР-1895.
3. Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации от 07.01.2003. Одобрено секцией по информационной безопасности научного совета при Совете Безопасности Российской Федерации (протокол от 28 марта 2001 г. № 1).
4. Основы государственной политики в области обеспечения информационной безопасности субъектов Российской Федерации. Одобрено на заседании Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности, протокол от 27 марта 2003 г. № 1.3.