Афоризм Натана Ротшильда «Кто владеет информацией — тот владеет миром» как никогда актуален в условиях тотальной цифровизации всех сфер общественных отношений в России и в мире. Однако в нашей стране ситуация в этой области неоднозначная.
О том, как на государственном уровне регулируется сфера информационной безопасности, что нужно знать, чтобы поддерживать ее высокий уровень и какие здесь существуют проблемы, читайте ниже.
Кто и как в России регламентирует сферу информационной безопасности?
В РФ основным законом, регулирующим вопросы информационной безопасности, является ФЗ N-149 “Об информации, информационных технологиях и о защите информации”. Кроме того, эта сфера регламентируется рядом ГОСТов и нормативных актов.
Согласно тексту закона, защита информации представляет собой процесс принятия правовых, организационных и технических мер с целью предотвращения неправомерного доступа, блокирования, копирования, распространения и уничтожения данных. Также эти меры позволяют обеспечить конфиденциальность информации, представляющей собой коммерческую или государственную тайну.
При этом на уровне государства вопросы информационной безопасности регламентируется достаточно слабо. Существуют законы и иные правовые акты, которые устанавливают требования в данной сфере, а также предполагают введение ответственности за их нарушение. Но большинство из НПА не носят обязательный характер, что существенно снижает уровень информационной безопасности в стране повсеместно.
Так, ФЗ N-149 Закон предусматривает случаи, при которых на обладателя информации или оператора информационной системы возлагаются определённые обязательства, такие как необходимость защиты информации от несанкционированного доступа и предотвращения иных рисков, связанных с сохранностью информации.
Особое внимание в России уделяется безопасности данных, содержащихся в государственных информационных системах (ГИС), коих у нас в стране насчитывается около 900. Соответствующие стандарты определяются на основе требований компетентного органа — ФСТЭК России (Федеральная служба по техническому и экспортному контролю).
Регламентированием этой сферы также занимается ФСБ России. Например, с 24 октября 2023 года в силу вступает Приказ № 524 “Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств”. В нём приводится перечень мер, применяемых в госучреждениях и организациях для защиты данных.
Ещё одним источником НПА в области информационной безопасности являются министерства и ведомства, которые принимаются для исполнения требований законодательства. Обеспечение сохранности информации в кредитных учреждениях дополнительно регламентируется стандартами, разработанными Центробанком страны. Для частных организаций стандарты установлены в законе и нормативных актах Роскомнадзора.
Таким образом, основные требования к информационной безопасности в стране установлены в ГОСТах и ФЗ “Об информации, информационных технологиях и о защите информации”. В них прописаны методы, цели и задачи информационной безопасности. Кроме того, существуют нормативные акты министерств и ведомств направленные на обеспечение исполнения требований законодательства с учётом потребностей конкретных госструктур.
В 2023 году также стоит обратить внимание на следующие акты по инфобезопасности:
- Рекомендации Роскомнадзора от 8 августа 2023 года;
- Требования по безопасности информации (приказ ФСТЭК России от 14 апреля 2023 г. N 64);
- ФЗ «О персональных данных»;
- ФЗ от 31 июля 2023 года № 408-ФЗ «О внесении изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 10.07.2023 № 312-ФЗ
“О внесении изменения в статью 2 Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации” - Изменения в Указ Президента РФ № 166 и постановление Правительства РФ № 1478;
- проект положения «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля»;
- информационное сообщение ФСТЭК «Об утверждении требований по безопасности информации к многофункциональным межсетевым экранам уровня сети».
Состояние информационной безопасности в России
Несмотря на всё вышесказанное, количество информационных инцидентов в стране за последние годы увеличилось. В первую очередь это говорит о недостаточности мер, принимаемых государством в данном направлении. Проблема заключается в слабом правовом регулировании сферы и, как следствие, — в отсутствии адекватной ответственности за несоблюдением законодательства.
Так, принимаемые Роскомнадзором рекомендации не являются обязательными к исполнению. Похожая ситуация наблюдается и в банковской сфере: Центробанк разработал стандарты по защите персональных данных для кредитных учреждений, которые также необязательны, поэтому зачастую банками не соблюдаются.
Внесённые в Государственную думу законопроекты, направленные на усиление информационной безопасности и ужесточение ответственности за нарушение стандартов, до сих пор не приняты и находятся длительное время на согласованиях в министерствах и ведомствах. Во многом это происходит из-за нежелания крупного бизнеса тратить значительные средства на усовершенствование механизмов в этой сфере.
В результате низкого уровня общей защиты данных в России происходит рост информационных инцидентов, наносящих ущерб не только гражданам, но и государству. Кроме того, вся эта ситуация негативно влияет на экономику и сферу информационных технологий, тормозя их развитие. И главная причина в том, что сегодня практически все меры, принятые государством в области инфобезопасности, носят декларативный и преимущественно рекомендательный характер, что не отвечают новым вызовам и угрозам, в том числе росту киберпреступности.
Автор: Баранов Игорь Павлович, адвокат, преподаватель АИС, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности.
