К вопросам проблемы реализации требований регуляторов в области защиты информации органами исполнительной власти и местного самоуправления субъектов РФ



В статье автор исследует аспекты выполнения требований и мер по информационной безопасности в органах исполнительной власти и органах местного самоуправления РФ.

Ключевые слова: законодательство, регуляторы, органы власти, информационная безопасность.

Каждому человеку уже давно знакомы фразы «информационная безопасность», «защита информации», «киберЗОЖ», так как они стали реалиями нашего времени. С ежедневными изменениями в сфере информационных технологий, без которых невозможно представить жизнедеятельность современного человека, тенденция обеспечения безопасности информации все больше и больше набирает обороты, связано это также с возрастанием количества киберпреступности — преступлений в области компьютерных технологий.

Законодательство Российской Федерации в области информационной безопасности устанавливает требования к конфиденциальности данных, за несоблюдение и нарушение которых предусматриваются соответствующие наказания. Органы исполнительной власти и органы местного самоуправления в свою очередь в соответствии с законодательством обязаны создать условия и принять правовые, организационные и технические меры, обеспечивающие охрану конфиденциальности данных [1].

К сожалению, при реализации мер по обеспечению информационной безопасности органы исполнительной власти и органы местного самоуправления субъектов Российской Федерации не редко сталкиваются с проблемами, которые можно условно разделить на два уровня: организационные и технические.

Как известно, в России существуют несколько основных регуляторов исполнения требований законодательства по защите информации:

1. Федеральная служба по техническому и экспортному контролю, контролирует некриптографическую сферу защиты информации.
2. Федеральная служба безопасности, контролирует криптографическую сферу защиты информации.
3. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), деятельность в части защиты персональных данных [2].

Выполнение требований регуляторов можно обеспечить только с привлечением квалифицированных специалистов либо организаций, которые оказывают услуги по защите информации.

Первым барьером может стать проблема недостатка ресурсов. Реализация требований регуляторов может потребовать значительных финансовых, временных и человеческих ресурсов. Органы власти чаще всего сталкиваются именно с этой проблемой: ограниченный бюджет и нехватка квалифицированных специалистов для выполнения требований.

Финансирование в большинстве случаев, осуществляется по остаточному принципу и если выделенного бюджета не хватает на построение комплексной системы защиты информации, то органы власти склоняются к построению защиты только отдельных сегментов, например, самое распространенное — это защита информационных систем персональных данных.

В случае если проблемы с финансированием нет и проект по построению системы защиты готов к внедрению, органы власти могут столкнуться с нехваткой квалифицированных специалистов, которые могли бы без труда справиться с поддержкой информационной инфраструктуры после внедрения системы защиты. Большинство государственных служащих имеют гуманитарно-управленческое образование. Нехватка специалистов в области информационной безопасности в органах власти приводит к тому, что функции по вопросам защиты информации зачастую возлагаются на системного администратора, а также на рядовых сотрудников, в случае отсутствия IT-специалиста. Поэтому сотрудники могут столкнуться с трудностями при понимании и применении требований регуляторов.

Вторым барьером становится постоянное изменение и обновление требований регуляторов в области защиты информации. Готовность к постоянному обновлению своих систем и процессов для соответствия новым требованиям для органов власти, что может быть сложной и затратной задачей. Снова возвращаемся к первому барьеру. Сотрудники зачастую остаются в стороне от принятых изменений в законодательстве и в требованиях контролирующих органов. Например, при составлении важного документа, который должен быть в любой организации, модели угроз и нарушителя безопасности информации, сотрудники руководствуются устаревшим документом ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (2008 г.), который уже с 5 февраля 2021 г. сменился методическим документом ФСТЭК России «Методика оценки угроз безопасности информации» [3].

Третьим барьером может стать технический аспект защиты информации. Одной из самых распространенных проблем является проблема совместимости программного обеспечения, которую необходимо учитывать при выборе и внедрении системы защиты данных. Например, при внедрении новых систем защиты данных может возникнуть проблема совместимости с уже используемыми программами и оборудованием, что может привести к неполадкам и уязвимостям в системе безопасности.

Конечно, в настоящее время все больше и больше субъектов РФ эффективно справляются с деятельностью по решению задач цифровой трансформации, но есть ещё малые субъекты и их муниципальные образований, для которых вышеперечисленные проблемы остаются актуальными.

Для минимизации возникновения данных проблем при построении многоуровневой системы защиты целесообразно выстроить иерархию взаимодействия между всеми вовлекаемыми органами власти и организациями, обеспечить пополнение кадров в области защиты информации в ряды государственных служащих, при необходимости, привлекать организации для проведения тренингов и мастер-классов по повышению осведомленности всех государственных служащих в области информационной безопасности, учитывать финансовые возможности субъекта, осуществлять политику осуществления взаимной поддержки субъектов РФ в данной области.

Литература:

1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция).
2. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция).
3. Методический документ ФСТЭК России от 05.04.2021 г. «Методика оценки угроз безопасности информации».