CC BY
52DOI 10.47643/1815-1329_2022_9_143
НЕКОТОРЫЕ ВОПРОСЫ СОВЕРШЕНСТВОВАНИЯ ПРАВОВОГО РЕГУЛИРОВАНИЯ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Some issues of improving legal regulation in the field of information security
РЕДКОУС Владимир Михайлович,
доктор юридических наук,
ведущий научный сотрудник сектора административного права и административного процесса,
Институт государства и права Российской академии наук (ИГП РАН ).
119019, Россия, г. Москва, ул. Знаменка, 10.
E-mail: rwmmos@rambler.ru;
ORCID: 0000-0002-2585-6388;
Redkous Vladimir M.,
D.Sc. in law, Professor,
Leading researcher of the Sector of Administrative Law and Administrative Process, Institute of the State and Law of the Russian Academy of Science, Moscow, Russia. 10 Znamenka str., Moscow, 119019. E-mail: rwmmos@rambler.ru; ORCID: 0000-0002-2585-6388
Краткая аннотация. В статье рассмотрены актуальные вопросы совершенствования обеспечения информационной безопасности в связи с принятием Постановления Правительства РФ от 15 июля 2022 г. № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».
Abstract. The article deals with topical issues of improving information security in connection with the adoption of the Decree of the Government of the Russian Federation dated July 15, 2022 No. 1272 «On approval of the model regulations on the deputy head of the body (organization) responsible for ensuring information security in the body (organization), and the model regulations on the structural unit in the body (organization) providing information security of the authority (organization)».
Ключевые слова: государственное управление; национальная безопасность; государственная безопасность; информационная безопасность; государственная тайна; компьютерные атаки; компьютерные инциденты; координация и взаимодействие.
Keywords: public administration; national security; state security; information security; state secrets; computer attacks; computer incidents; coordination and interaction.
Для цитирования: Редкоус В.М. Некоторые вопросы совершенствования правового регулирования в области обеспечения информационной безопасности // Аграрное и земельное право. 2022. № 9(213). С. 143-146. http://doi.org/10.47643/1815-1329_2022_9_143.
For citation: Redkous V.M. Some issues of improving legal regulation in the field of information security // Agrarian and Land Law. 2022. No. 9(213). pp. 143-146. http://doi.org/10.47643/1815-1329_2022_9_143.
Статья поступила в редакцию: 20.08.2022
Современное совершенствование государственного управления [1; 2], осуществляемое в Российской Федерации, во многом обусловлено фактором проведения специальной военной операции, что актуализировало все вопросы, связанные с обеспечение национальной безопасности, выявлением, предупреждением и пресечением угроз безопасности Российской Федерации. Обращение Президента Российской Федерации 24 февраля 2022 года целиком посвящено вопросам обеспечения безопасности Российской Федерации, тем мерам, которые для этого должны быть предприняты, и свидетелями применения которых мы с вами являемся [3]. В Обращении говорится, что речь идет уже не просто об угрозах безопасности России, а о «фундаментальных угрозах, которые из года в год шаг за шагом грубо и бесцеремонно создаются безответственными политиками на Западе в отношении нашей страны», которыми являются «расширение блока НАТО на восток, приближение его военной инфраструктуры к российским границам»,. Во многом эти угрозы обусловлены тем, что «США их союзники решают задачу уже не просто ослабления влияния России в мире, ограничения ее суверенитета и размывания идентичности, но и ликвидации той социальной общин ности, которая веками формировалась на территории Российской империи и СССР, превращения её в конгломерат отдельных, зависимых от Запада, социально-территориальных образований» [4, с. 9].
Все это требует совершенствования правового регулирования в области обеспечения национальной безопасности и ее отдельных видов [5], в том числе и в области обеспечения информационной безопасности. Ряд работ автора также посвящен разработке данной проблемы [6; 7], однако потребности совершенствования правового регулирования в данной области требуют продолжения начатых исследований.
Одним из направлений правового регулирования в области обеспечения информационной безопасности является установление четкого правового положения уполномоченных должностных лиц органов (организаций), ответственных за обеспечение информационной безопасности в органе (организации), а также структурного подразделения в органе (организации), обеспечивающем информационную безопасность органа (организации). В этих целях и в соответствии с подпунктом «а» пункта 3 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» Правительство Российской Федерации было принято Постановление Правительства РФ от 15 июля 2022 г. № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)», в котором были утверждены названные типовые положения [8].
В Типовом положении о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации) определены полномочия, права и обязанности заместителя руководителя федерального органа исполнительной власти, высшего исполнительного органа субъекта РФ, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры РФ, ответственного за обеспечение информационной безопасности в органе (организации), в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Ответственное лицо определяется руководителем органа (организации), входит в состав коллегиальных органов органа (организации), его указания и поручения в части обеспечения информационной безопасности являются обязательными для исполнения всеми государственными служащими, муниципальными служащими и работниками органа (организации).
Ответственное лицо принимает участие в формировании политики органа (организации), отвечает за согласование стратегии развития органа (организации) в части вопросов обеспечения информационной безопасности.
В рассматриваемом Типовом положении определяются квалификационные требования к ответственному лицу, его права, обязанности и ответственность. В частности, ответственное лицо имеет право: а) давать указания и поручения работникам органа (организации) в части обеспечения информационной безопасности; б) запрашивать от работников органа (организации) информацию и материалы, необходимые для реализации возложенных на ответственное лицо прав и обязанностей; в) участвовать в заседаниях (совещаниях) коллегиальных органов органа (организации), принятии решений по вопросам деятельности органа (организации), а также по внесению предложений по совершенствованию деятельности органа (организации); г) участвовать в разработке политики, выносить политику на обсуждение, утверждение коллегиальному органу органа (организации); д) представлять результаты реализации политики коллегиальному органу (органа) организации; е) принимать решения по вопросам обеспечения информационной безопасности органа (организации); ж) взаимодействовать с ФСБ России, Федеральной службой по техническому и экспортному контролю и иными федеральными органами исполнительной власти по вопросам обеспечения информационной безопасности, в том числе по вопросам совершенствования законодательства РФ в области обеспечения информационной безопасности; з) вносить предложения о привлечении организаций, имеющих соответствующие лицензии на деятельность в области защиты информации, в соответствии с законодательством РФ к проведению работ по обеспечению информационной безопасности; и) инициировать проверки уровня (состояния) обеспечения информационной безопасности в органе (организации), ее подведомственных и дочерних организациях; к) организовывать на объектах органа (организации) мероприятия по информационной безопасности, разработку и представление руководителю органа (организации) предложений по внесению изменений в процессы функционирования, принятию других мер, направленных на недопущение реализации негативных последствий; л) получать доступ в установленном порядке к сведениям, составляющим государственную тайну, если исполнение обязанностей ответственного лица связано с использованием таких сведений и наличием необходимых прав и полномочий; м) получать доступ в установленном порядке в связи с исполнением своих обязанностей в государственные органы, органы местного самоуправления, общественные объединения и другие организации; н) обеспечивать надлежащие организационно-технические условия, необходимые для исполнения обязанностей ответственного лица.
Типовое положение о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации) определяет цели, задачи и функции структурного подразделения федерального органа исполнительной власти, высшего исполнительного органа субъекта РФ, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры РФ, обеспечивающего информационную безопасность органа (организации).
Деятельность названного подразделения направлена: а) на исключение или существенное снижение негативных последствий (ущерба) в отношении органа (организации) вследствие нарушения функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления в результате реализации угроз безопасности информации; б) на обеспечение конфиденциальности информации, доступ к которой ограничен в соответствии с законодательством РФ; в) на повышение защищенности органа (организации) от возможного нанесения ему (ей) материального, репутационного или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем органа (организации) или несанкционированного доступа к циркулирующей в них информации и ее несанкционированного использования; г) на обеспечение надежности и эффективности функционирования и безопасности информационных систем, производственных процессов и информационно-технологической инфраструктуры органа (организации); д) на обеспечение выполнения требований по информационной безопасности при создании и функционировании информационных систем и информационно-телекоммуникационной инфраструктуры органа (организации).
С учетом этого определены основные задачи деятельности подразделения, каковыми являются: а) планирование, организация и координация работ по обеспечению информационной безопасности и контроль за ее состоянием в органе (организации); б) выявление угроз безопасности информации и уязвимостей информационных систем, программного обеспечения и программно-аппаратных средств; в) предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней; г) поддержание стабильной деятельности органа
(организации) и его (ее) производственных процессов в случае проведения компьютерных атак; д) взаимодействие с Национальным координационным центром по компьютерным инцидентам; е) обеспечение нормативно-правового обеспечения использования информационных ресурсов.
Функции подразделения - это основные направления его деятельности, направленные на решение поставленных задач. В рассматриваемом Типовом положении закреплено, что подразделение выполняет следующие функции: а) разработка, координация, управление и контроль за реализацией плана (программы) работ по обеспечению информационной безопасности в органе (организации) и подведомственных органах (организациях); б) разработка предложений по совершенствованию организационно-распорядительных документов по обеспечению информационной безопасности в органе (организации) и представление их руководителю органа (организации); в) выявление и проведение анализа угроз безопасности информации в отношении органа (организации), уязвимостей информационных систем, программного обеспечения программно-аппаратных средств и принятие мер по их устранению; г) обеспечение в соответствии с требованиями по информационной безопасности, в том числе с целью исключения (невозможности реализации) негативных последствий, разработки и реализации организационных мер и применения средств обеспечения информационной безопасности; д) обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты; е) представление в Национальный координационный центр по компьютерным инцидентам информации о выявленных компьютерных инцидентах; ж) исполнение указаний, данных ФСБ России и ее территориальными органами, Федеральной службой по техническому и экспортному контролю по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организацией), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет»; з) проведение анализа и контроля за состоянием защищенности систем и сетей и разработка предложений по модернизации (трансформации) основных процессов органа (организации) в целях обеспечения информационной безопасности в органе (организации); и) подготовка отчетов о состоянии работ по обеспечению информационной безопасности в органе (организации); к) организация развития навыков безопасного поведения в органе (организации), в том числе проведение занятий с руководящим составом и специалистами органа (организации) по вопросам обеспечения информационной безопасности; л) выполнение иных функций, исходя из поставленных руководством органа (организации) целей и задач в рамках обеспечения информационной безопасности в органе (организации), подведомственных органах (организациях).
С целью реализации функций подразделение имеет право: а) запрашивать и получать в установленном порядке доступ к работам и документам структурных подразделений органа (организации), необходимым для принятия решений по всем вопросам, отнесенным к компетенции подразделения; б) готовить предложения о привлечении к проведению работ по обеспечению информационной безопасности организаций, имеющих лицензии на соответствующий вид деятельности; в) контролировать деятельность любого структурного подразделения органа (организации) по выполнению требований к обеспечению информационной безопасности; г) постоянно повышать профессиональные компетенции, знания и навыки работников в области обеспечения информационной безопасности; д) участвовать в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, в работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций; е) участвовать в работе комиссий органа (организации) при рассмотрении вопросов обеспечения информационной безопасности; ж) вносить предложения руководству органа (организации) о приостановлении работ в случае обнаружения факта нарушения информационной безопасности; з) вносить представления руководству органа (организации) в отношении государственных служащих, муниципальных служащих и работников органа (организации) при обнаружении фактов нарушения работниками установленных требований безопасности информации в органе (организации), в том числе ходатайствовать о привлечении указанных работников к административной или уголовной ответственности; и) вносить на рассмотрение руководству органа (организации) предложения по вопросам деятельности подразделения.
Подразделение осуществляет свои полномочия во взаимодействии со структурными подразделениями органа (организации) и подведомственными ему органами (организациями), а также в пределах своей компетенции с иными органами (организациями) и гражданами в установленном порядке. По указанию руководства осуществляет взаимодействие с ФСБ России, Федеральной службой по техническому и экспортному контролю и Министерством цифрового развития, связи и массовых коммуникаций РФ по вопросам информационной безопасности.
Как всегда, встает проблема соотношения прав и обязанностей подразделения, тем более что в рассматриваемом Типовом положении конкретно об обязанностях речь не идет, в нем закреплены только функции подразделения и его права. Несмотря на то, что это методологически не совсем корректно, можно заметить, что фактически функции подразделения выступают как его обязанности. Также к разряду обязанностей можно отнести и ряд «прав» подразделения, как, например «участвовать в работе комиссий органа (организации) при рассмотрении вопросов обеспечения информационной безопасности». Однако этот вопрос, судя по практике правотворчества, не является принципиальным, поэтому будем ожидать четкой реализации закрепленных в Постановлении Правительства РФ положений в целях эффективного обеспечения информационной безопасности России.
Также в этой области целесообразно расширять сравнительно-правовые исследования для выявления новых правовых средств [9; 10], применение которых будут способствовать обеспечению информационной безопасности нашей страны.
Библиография:
1. Административно-правовое регулирование в сфере экономики (современные формы и методы) / Е.В. Виноградова, И.В. Глазунова, А.А. Гришковец, М.Н. Кобзарь-Фролова, В.М. Редкоус [и др.]. Воронеж : «Научная книга», 2021. 256 с. ISBN 978-5-4446-1620-8.
2. Виноградова Е.В., Кобзарь-Фролова М.Н. Академической науке административного права и административного процесса 85 лет // Труды Института государства и права Российской академии наук. 2021. Т. 16. № 6. С. 198-210.
3. Обращении Президента Российской Федерации 24 февраля 2022 года // Текст обращения размещен на сайте Президента России (http://www.kremlin.ru) 24 февраля 2022 г.
4. Прогнозируемые вызовы и угрозы национальной безопасности Российской Федерации и направления их нейтрализации / под об. ред. А.С. Коржевского; редкол.: В.В. Толстых, И.А. Копылов. М.: РГГУ, 2021.
5. Редкоус В.М. Современные направления правого обеспечения государственной безопасности в Российской Федерации // Пенитенциарная система и общество: опыт взаимодействия : сборник материалов VIII Международной научно-практической конференции, Пермь, 06-08 апреля 2021 года. Пермь: Пермский институт Федеральной службы исполнения наказаний, 2021. С. 67-69.
6. Редкоус В.М. Об опыте законодательного обеспечения кибербезопасности на правовом пространстве СНГ // Закон и право. 2022. № 6. С. 30-34.
7. Редкоус В.М. Административно-правовые аспекты законодательного обеспечения кибербезопасности в государствах - участниках СНГ // Бачиловские чтения : Материалы четвертой международной научно-практической конференции, Москва, 05-06 февраля 2022 года / отв. ред. Т.А. Полякова, А.В. Минбалеев, В.Б. Наумов / Институт государства и права РАН. Саратов: Общество с ограниченной ответственностью "Амирит", 2022. С. 303-311.
8. Постановление Правительства РФ от 15 июля 2022 г. № 1272«Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)» // URL: https://www.garant.ru/hotlaw/federal/1555614/ (дата обращения: 12.08.2022).
9. Правовая политика в сфере публичного права: проблемы и пути решения / З.С. Байниязова, В.В. Трофимов, С.С. Купреев [и др.]. Тамбов : Тамбовский государственный университет им. Г.Р. Державина, 2010. 610 с. ISBN 978-5-89016-615-9.
10. Редкоус В.М. Теоретические основы использования сравнительно-правового метода в исследовании административно-правового обеспечения национальной безопасности в государствах СНГ // Глобализация - безопасность государства - национальные интересы: доктрина права и правовая жизнь : монография / под общ. ред. Р.В. Пузикова, В. Фэхлера. Тамбов : Общество с ограниченной ответственностью «Принт -Сервис», 2020. С. 27-56.
References:
1. Administrative and legal regulation in the sphere of economy (modern forms and methods) / E.V. Vinogradova, I.V. Glazunova, A.A. Grishko-vets, M.N. Kobzar-Frolova, V.M. Redkous [i dr.]. Voronezh: "Scientific book", 2021.
2. Vinogradova E.V., Kobzar-Frolova M.N. Academic science of administrative law and administrative process is 85 years old // Proceedings of the Institute of State and Law of the Russian Academy of Sciences. 2021. V. 16. No. 6.
3. Address of the President of the Russian Federation on February 24, 2022 // The text of the address is posted on the website of the President of Russia (http://www.kremlin.ru ) February 24, 2022
4. Predicted challenges and threats to the national security of the Russian Federation and the directions of their neutralization / ed. by A.S. Kor-zhevsky; editors: V.V. Tolstykh, I.A. Kopylov. M.: RSUH, 2021.
5. Redkous V.M. Modern directions of legal provision of state security in the Russian Federation // Penitentiary system and society: experience of interaction : Collection of materials of the VIII International Scientific and Practical Conference, Perm, 06-08 April 2021. Perm: Perm Institute of the Federal Penitentiary Service, 2021. pp. 67-69.
6. Redkous V.M. On the experience of legislative provision of cybersecurity in the legal space of the CIS // Law and Law. 2022. No. 6. pp. 3034.
7. Redkous V.M. Administrative and legal aspects of legislative provision of cybersecurity in the CIS member States // Bachilov Readings : Materials of the Fourth International Scientific and Practical Conference, Moscow, 05-06 February 2022 / ed. by T.A. Polyakova, A.V. Minbaleev, V.B. Naumov / Institute of State and Law of the Russian Academy of Sciences. Saratov: Limited Liability Company "Amirit", 2022. pp. 303-311.
8. Resolution of the Government of the Russian Federation No. 1272 of July 15, 2022 «On approval of the model regulations on the deputy head of the body (organization) responsible for ensuring information security in the body (organization), and the model regulations on the structural unit in the body (organization) ensuring information security of the body (organization)» // URL: https://www.garant.ru/hotlaw/federal/1555614 / (accessed 12.08.2022).
9. Legal policy in the field of public law: problems and solutions / Z. S. Bayniyazova, V. V. Trofimov, S. S. Kupreev [et al.]. Tambov: Tambov State University named after G.R. Derzhavin, 2010. 610 p. - ISBN 978-5-89016-615-9.
10. Redkous V.M. Theoretical foundations of the use of the comparative legal method in the study of administrative and legal provision of national security in the CIS states // Globalization - State security - national interests: the doctrine of law and legal life : a monograph / under the general editorship of R.V. Puzikov, V. Fahler. - Tambov : Limited Liability Company "Print-Service", 2020. - pp. 27-56.
