В статье анализируется тема информационной безопасности в системе государственного и муниципального управления в Российской Федерации, а также влияние на систему «Умный город» SmartCity.
Ключевые слова : информационные технологии, кибербезопасность, информационная безопасность, государственное и муниципальное управление, защита данных, государственная тайна, система информационной безопасности органов государственной власти, умный город, смарт сити.
Всестороннее внедрение цифровых технологий, интернета, а также доступность различного рода гаджетов, всё это позволило выйти на новый уровень организации управления, а также даёт возможность реализовывать различные проекты, которые было невозможно осуществить без применения информационных технологий. Всё это огромный шаг, для реализации концепции управления городом «Умный город» SmartCity, а также это шаг по привлечению обычных людей к соучастию в управлении городской инфраструктурой, не выходя из дома.
Государственные служащие из-за процессов информатизации тесно связаны с информационным правоотношением, из-за чего невозможно представить их юрисдикцию, контрольно-надзорную и другие виды деятельности без использования необходимой информации. Поэтому на сегодняшний день появляется необходимость в разработке и внедрении новых моделей и концепций информационных правоотношений и административно-правового регулирования в системе государственного и муниципального управления, которые учитывают и включают в себя понимание проблем мировой информатизации и современного общества [9].
В настоящее время информационное обеспечение государственной гражданской службы нуждается в совершенствовании, особенно это касается вопросов информационного обмена в системе государственной и муниципальной службы, а также это важно и бизнесу, с которым контактирует государство по системе государственно-частного партнёрства, и если бизнес занимается обработкой персональных данных граждан. Кроме того, нуждается в совершенствовании административно-правовой механизм информационного обмена между различными видами государственной службы, а также между государственной гражданской службой и муниципальной службой [9].
Информационная безопасность (ИБ) — это сохранение и защита информации, а также ее важнейших элементов, в том числе системы и оборудование, предназначенные для использования, сбережения и передачи этой информации [3].
Главная задача информационной безопасности — защита различных видов информации, от их корректировки и потери [3].
В современном обществе все сферы жизни связанны с информационными технологиями и данными, которые они используют для достижения поставленных перед ними целями. Информация, проникая во все сферы деятельности государства, приобретает конкретные политическое, материальное и стоимостное выражения, определяемые различными аспектами, в том числе и размерами наносимого ущерба, в связи с низким её качеством.
Кибербезопаность — важнейший элемент при реализации системы умный город и развития информационного общества. Она отвечает за комплекс, стратегий и тактик, которые принимаются для обеспечения защиты соединённых сетей: аппаратных, программных средств, способных хранить, обрабатывать, передавать информацию, от различного рода угроз [14].
Безопасность информации является одним из основных показателей качества такой информации. Именно поэтому информационная безопасность и способы ее обеспечения в последние годы приобретают особую актуальность в процессе государственного управления. Одной из главных задач в обеспечении концепции национальной безопасности, является организация информационной безопасности органов власти [14].
Рост качества и доступности государственных и муниципальных услуг населению, привело к возрастанию эффективности управленческого аппарата и принимаемых в нём решений, а так же привело к эффективному расходованию бюджетных средств. Система государственной и муниципальной службы занимается обработкой информации разной ценности и разного характера [9].
Информационные ресурсы, связанные с органами власти являются общедоступными и открытыми для граждан. Кроме ресурсов, обладающих информацией, с ограниченным доступом (согласно законодательству). Обеспечение безопасности такой информации уделяется большое значение. За последние 30 лет система государственного управления в России постоянно менялась.
— в 1990-е «Электронное правительство»;
— в 2000-е «Открытое правительство»;
— в 2010-х по настоящее время «Умное правительство» [5, с. 11].
При анализе проблематики, связанной с информационной безопасностью в государственном и муниципальном управлении, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий в государственном и муниципальном управлении — области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения развития и усовершенствования (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений государственными и муниципальными органами, позволяющие жить в темпе технического прогресса [4].
При выполнении своих обязанностей государственные учреждения обязаны выполнять нормативные требования регуляторов, касающиеся информационной безопасности:
— Федеральные законы: 149-ФЗ («Об информации, информационных технологиях и о защите информации») (главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. 187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации»). К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность), 152-ФЗ «О персональных данных», 182-ФЗ «О безопасности КИИ», 98-ФЗ «О коммерческой тайне», 63-ФЗ «Об электронной подписи», N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (от 10.07.2002, ред. от 28.11.2018) [2];
— Законы: N 5485–1 «О государственной тайне» от 21.07.1993 [2];
— Указы Президента РФ: N 400 «О Стратегии национальной безопасности Российской Федерации» (от 02.07.2021), N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы» (от 09.05.2017), N 490 «О развитии искусственного интеллекта в Российской Федерации» (вместе с «Национальной стратегией развития искусственного интеллекта на период до 2030 года») (от 10.10.2019), № 213 «Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности» (от 12.04.2021), N 188 «Об утверждении перечня сведений конфиденциального характера» (от 6 марта 1997 г.), N 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» (от 5 декабря 2016 г.), «Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года» (утв. Президентом РФ 24.07.2013 N Пр-1753) [2];
— Постановление Правительства РФ: № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн», N 418 «О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации» (от 02.06.2008, ред. от 17.12.2021, с изм. и доп., вступ. в силу с 01.01.2022), N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций») (от от 16.03.2009, ред. от 29.12.2021) [2];
— Приказы ведомств: № 21 ФСТЭК России, № 76 ФСТЭК России (от 02.06.2020), N 378 ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (от 10 июля 2014 г.) [2];
— ISO 27001 (ISO27001) — это международный стандарт кибербезопасности, который предоставляет модель для создания, применения, функционирования, мониторинга, анализа, сохранения и улучшения системы управления информационной безопасностью [12].
— и другие нормативно правовые акты и документы.
Также стоит отметить, что информационная безопасность предполагает профессиональную деятельность соответствующих государственных управлений и ведомств, в России она осуществляется Советом безопасности, Федеральной службой безопасности, Службой внешней разведки, Министерством обороны, Роскомнадзором и другими органами. Кроме того, разрабатываются и обновляются нормативно-правовые акты, связанные с обеспечением и организацией национальной безопасности.
Кибербезопасность включает в себя технологии, процедуры, а так же определённые умения людей, предназначенные для защиты информационно-технологической инфраструктуры, от несанкционированного доступа, различного рода уязвимостей, атак, которыми могут воспользоваться киберпреступники.
Политика в области кибербезопасности — это развивающаяся миссия, которая охватывает все области пользователей и поставщиков информационно-коммуникационных технологий (ИКТ). Он служит структурой полномочий, которая определяет и направляет действия, связанные с безопасностью киберпространства. Это позволяет всем секторам и организациям разрабатывать подходящие политики кибербезопасности для удовлетворения их требований. Политика обеспечивает схему эффективной защиты информации, информационных систем и сетей. Это дает представление о правительственном подходе и стратегии безопасности киберпространства в стране. В нем также приведены некоторые указатели, позволяющие совместную работу в государственном и частном секторе, защищать информацию и информационные системы. Таким образом, целью этой политики является создание структуры кибербезопасности, которая ведет к детальным действиям и программам для повышения безопасности киберпространства [1].
Включает в себя:
— домашних пользователей;
— малые, средние и крупные предприятия;
— государственные и неправительственные организации [1].
Основными киберугрозами для государственных и муниципальных учреждений являются:
— DDoS-атаки;
— инсайдеры (Внедрённые люди);
— вирусы-шифровальщики;
— утечка конфиденциальных данных;
— вредоносное ПО (Программное обеспечение);
— фишинг;
— слабое представление о кибербезопасности среди госслужащих;
— слабо защищенный обмен информацией между госорганами;
— высокий риск для множества критически важных инфраструктур;
— неэффективное обнаружение угроз;
— отсутствие налаженного взаимодействия между группами CERT в разных странах;
— также злоумышленниками могут выступать не только киберпреступники, нацеленные на извлечение финансовой выгоды, но это так же могут быть и специальные службы различных государств, атакующие «цели» из-за политических мотивов или с целью узнать важную для них информацию, а так же спецслужбы, бизнес-структуры, криминальные группы, шпионы, активисты, спамеры, хакеры, террористы и т. д. [6].
Кибербезопасность государственных учреждений должна включать:
— регулярные аудиты информационной безопасности;
— системы контроля и управления доступом;
— системы предотвращения утечек;
— средства защиты от вредоносного ПО;
— защита от DDoS-атак;
— системы обнаружения и предотвращения вторжений;
— системы анализа событий информационной безопасности и т. д.;
— — система защиты от несанкционированного копирования;
— антивирусные программы;
— системы защиты данных пользователей;
— свои аппаратные мощности (комплектующие только от российских производителей), защищённые от возможностей:
1) отключения;
2) прекращения поддержки;
3) выведения из строя оборудования «создателем» данного оборудования, т. к. изготовитель или владелец лицензии находится в другой стране.
— создание своих закрытых языков программирования, для работы с данными, для минимизации внешнего фактора взлома и т. д.;
— развитие систем шифрования и криптографии данных;
— наличие юристов с образованием в сфере информационных технологий и информационной безопасности (или специалистов изучивших тему «Цифровое право») [7].
Проблематика информационной безопасности (ИБ) для государственной и муниципальной службы, это актуальная тема, которая должна постоянно находиться в центре внимания, ведь с каждым днём появляются новые методы по взлому, сетевым атакам, цель которых весьма разнообразна. А в век становления информационных технологий, нужно внимательно относиться к выбранным мерам безопасности, ведь в случае допущения каких-то критических ошибок и вовремя их не найдя, данная ошибка может как по наследству переходить на другие ведомства, учреждения и т. д., ведь та система в которой заложена незаметная «ошибка». Она может случайно стать моделью, на которую стоит ровняться (брать пример), и если вовремя не провести анализ и не найти её, она может стать критической угрозой. Особенно это важно, если используется стороннее ПО третьего лица, который отказывает в предоставлении кода, для понимая с какими проблемами из-за этого ПО может столкнуться специалисты, обеспечивающие информационную безопасность. По этому, весьма важно следить за изменениями на рынке, внедрять новые технологии в сфере обеспечения информационной безопасности, а так же обращать внимание на события связанные с киберугрозами для выработки и применения тактик по их обнаружению и предотвращения угроз связанных с ними.
Стоит выделить наиболее подходящие методы обеспечения информационной безопасности в системе государственного и муниципального управления:
— создание отечественного программного обеспечения и технического оборудования способного составить конкуренцию передовым странам в области информационных технологий и информационной безопасности;
— подготовка квалифицированных кадров и создания программ повышения квалификации и переподготовки государственных служащих в области информационной безопасности;
— привлечение частных инвесторов, готовых вкладывать средства в развитие информационной безопасности органов государственной власти;
— постоянный мониторинг рынка информационных технологий, с целью обнаружения возможных и потенциальных угроз информационной безопасности и их ликвидации в краткосрочной перспективе;
— для ускорения цифровизации отмечается важность разработки учебных программ по информационной безопасности для обучения населения, сотрудников госучреждений и государственных служащих;
— создание специального отдела или подразделения в государственных и муниципальных учреждениях, для исключения взломов и изменения данных злоумышленниками. В компетенцию специалистов подразделения входят все вопросы, которые касаются систем и средств информационной защиты, организации безопасного хранения и распространения данных, работы с пользователями систем, разграничение прав доступа и установка паролей.
На сегодняшний день киберугрозы по-прежнему оказывают ощутимое влияние на деятельность государственных учреждений. Ведь взлом или утечка информации в государственном секторе может поставить под угрозу не только выполнение критически важных задач, конфиденциальность данных граждан, но и безопасность страны в целом [7].
Сегодняшнее состояние систем информационной безопасности федерального уровня, работает согласно стандартам и нормам, что говорит о её эффективной инфраструктуре и позволяет быстро развиваться. А состояние инфраструктур органов местных властей, часто не отвечает предъявленным к ним требованиям (по разному роду причин). Но это весьма важный элемент, игнорирование которого, может привести к фатальным последствиям. Но исправить данную проблему, можно добиться благодаря совместному взаимодействию органов местной власти. Также в решении данной проблемы могут помочь меры со стороны программно-технического обеспечения, законов и нормативно-правовых актов, а так же организационных подходов. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в современной системе власти приобретает всё более важное и критическое значение [13].
Основными задачами по развитию и усовершенствованию информационной безопасности в системе государственной и муниципальной службы, состоит из нескольких задач:
1) конфиденциальность документа оборота;
2) методы сбора, обработки и хранения получаемой информации;
3) неискаженное информирование населения;
4) разработка схем и методов по обеспечению информационной, информационно-технологической, а так же информационно-психологической безопасности;
5) обучение персонала.
Процесс обеспечения информационной безопасности напрямую связан с оценкой и управлением рисками, позволяющими выявить и классифицировать угрозы, разработать защитные мероприятия, направленные на минимизацию их воздействия и последствий. Для госучреждений информационная безопасность — это не только вызов, но и препятствие на пути долгожданного цифрового преобразования.
Информационная безопасность, это весьма важный и критический аспект при реализации системы «Умный Город» SmartCity. Ведь при реализации системы «Умный город» требуется обеспечивать и обрабатывать огромный поток данных разной степени конфиденциальности, которые затрагивают разные сферы жизни граждан и тесно связаны между собой. А так же необходимо проводить обучение и тренинги с государственными и муниципальными служащими, чтобы они были в курсе изменений в сфере информационной безопасности в IT.
Литература:
- Cyber Law — Quick Guide [электронный ресурс] / Tutorials Point (сайт) https://www.tutorialspoint.com/information_security_cyber_law/quick_guide.htm
- Законодательство [электронный ресурс] / Отдел информационной безопасности Правительства Воронежской области (Сайт) URL: https://ib.govvrn.ru/?page_id=504
- Информационная безопасность [электронный ресурс] / Уфимский колледж радиоэлектроники, телекоммуникаций и безопасности (Сайт) URL: https://ukrtb.ru/student/informatsionnaya-bezopasnost.php
- Информационная безопасность госучреждений: Как и для чего проводится анализ рисков с помощью DLP-системы [электронный ресурс] / Компания «СёрчИнформ» (Сайт) URL: https://searchinform.ru/resheniya/otraslevye-resheniya/informatsionnaya-bezopasnost-gosuchrezhdenij/
- Камолов С. Г. Информационные технологии для государственных служащих: учебное пособие / С. Г. Камолов, П. В. Артемова // Москва — 2017–215с.
- Кибербезопасность государственных организаций [электронный ресурс] / АО «Лаборатория Касперского» (Сайт) URL: https://www.kaspersky.ru/enterprise-security/national-cybersecurity
- Кибербезопасность государственных органов [электронный ресурс] / Научно-технический центр ЕВРААС (сайт) URL: https://www.evraas.ru/industries/government/
- Косовец А. А. Информационные технологии и информационная безопасность в системе государственного управления / А. А. Косовец // Прикладная информатика. 2011. № 3 (33). — C.43–50
- Куракин А. В. Государственная служба и информационная безопасность / А. В. Куракин, М. В. Костенников // Вопросы безопасности. — 2014. — № 6. — С.18–67.
- Павлов А. А. Применение информационных технологий в муниципальном управлении / А. А. Павлов // Вестник Воронежского института экономики и социального управления. — 2018. — № 2. — С.91–94.
- Панин Д. Н. Цифровая безопасность умных городов / Д. Н. Панин, П. В. Железнова, О. С. Лапаева и др. // Международный научно-исследовательский журнал. — 2019. — № 11 (89) Часть 1. — С.31–33.
- Прищеп С. Как избежать двойных стандартов в информационной безопасности/ С. Прищеп // «ИКС» («ИнформКурьер-Связь») — № 1–2019 — С.84–88.
- Ребрий А. Ю. Методы обеспечения информационной безопасности / А. Ю. Ребрий // Международный журнал прикладных наук и технологий «Integral». 2020. № 3. — С.369–379.
- Фалеев М. И. Вопросы кибербезопасности в современной государственной политике в области национальной безопасности / М. И. Фалеев, C. Ю. Сардановский // Технологии гражданской безопасности. 2016. № 2 (48). — C.60–64.
