Актуальные вопросы обеспечения безопасности информационных систем федеральных органов государственной власти

Т.Т. АЛИЕВ,
доктор юридических наук, профессор
Ю.В. ГРЕБЕННИКОВ,
аспирант кафедры публичного права ГОУ ВПО «СГСЭУ»
 
Информационная безопасность России — состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства (см. Доктрину информационной безопасности Российской Федерации от 09.09.2000 № ПР-1895). Одна из составляющих национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых на территории России, так и создаваемых. 
 
В качестве способа достижения этих целей Доктрина информационной безопасности Российской Федерации называет необходимость повышения безопасности информационных систем федеральных органов государственной власти.
Недавние события, связанные с хищением и тиражированием закрытых баз данных, продемонстрировали недостаточность предпринятых для защиты информации мер. В средствах массовой информации широко освещались случаи открытой продажи на российских рынках баз данных ГАИ—ГИБДД, таможенных органов, ОВИР, телефонных баз, баз данных регистрации граждан и др. Зарубежная пресса редко, но упоминает о случаях незаконного доступа к персональным данным граждан, в частности о пропаже по вине сотрудников Управления по делам бывших военнослужащих диска с данными на 48 тыс. ветеранов и утечке данных из Агентства социального обеспечения штата Вермонт, в результате которой пострадали свыше 69 тыс. жителей штата. Однако следует признать, что реакция на такие инциденты на Западе гораздо жестче (вплоть до дисквалификации ответственных сотрудников) и интенсивнее (проведение досконального аудита информационной системы и внесения необходимых доработок), чем в нашей стране.
Так называемая пиратская информация появляется на рынке в основном в результате нелегального копирования баз данных государственных правоохранительных и контролирующих органов. Потребителями информационной услуги становятся не только злоумышленники, но и представители служб безопасности коммерческих структур, частных охранных и детективных агентств, юридических и риелторских фирм, посредников, сотрудников правоохранительных органов, которым иногда проще получить интересующую их информацию таким способом. В целях обеспечения информационной безопасности на государственном уровне И.Н. Соловьев предлагает организовать платное получение открытой информации из баз-источников, а не с нелегальных копий. По его мнению, достоверность информации гарантировалась бы государством, которое могло бы контролировать объем предоставляемых сведений и на законных основаниях получало  за это денежные средства[1].
В отношении информации, предоставленной органам государственной власти гражданами, которая по объективным причинам не должна стать достоянием гласности, государственные органы должны занять однозначную позицию защиты этой информации, тем более что правовое основание для осуществления мероприятий по обеспечению защиты существует. Конституция РФ гарантирует гражданам неприкосновенность частной жизни, личной и семейной тайны (ст. 23). Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» персональными данными признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3). Конфиденциальность персональных данных должна обеспечиваться операторами и третьими лицами, получающими доступ к персональным данным, которые могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством ответственности (ст. 24).
Предусмотрена ответственность за разглашение коммерческой (ст. 14 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне») и государственной (ст. 26 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне») тайны. Однако ни коммерческой, ни государственной тайны эти базы обычно не содержат. Привлечь продавца служебной и секретной информации к уголовной ответственности (ст. 137 УК РФ) за нарушение неприкосновенности частной жизни сложно, в результате он привлекается к ответственности за нарушение правил торговли[2]. А ведь подобные инциденты не только нарушают конституционные права граждан, но и влекут за собой негативные последствия для государства. Так, незаконное распространение баз данных о налогоплательщиках и бездействие ФНС России в отношении информационной безопасности противоречат провозглашаемому налоговыми органами принципу, призывающему налогоплательщиков «выйти из тени», поскольку легальное ведение бизнеса информирует о доходах не только компетентные органы, но и всех желающих.
Пока нет закона о служебной тайне, на должностных лиц государственных органов, непосредственно контактирующих с информацией, полученной ими при исполнении профессиональных обязанностей, следует распространить действие нормы ч. 5 ст. 9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая предоставляет защиту информации, составляющей профессиональную тайну.
Кроме того, следовало бы на законодательном уровне закрепить обязанность органов, работающих с персональными данными, своевременно сообщать об утечке информации и предоставлять гражданам возможность редактировать сведения о себе. Эта идея сформулирована американскими сенаторами П. Лихи и Б. Сандерсом, выступившими в 2007 году авторами законопроекта о защите конфиденциальных данных. Сандерс отмечает, что компании, занимающиеся сбором конфиденциальных сведений, должны осознавать, что несут огромную ответственность перед своими клиентами, а соответствующий закон даст гражданам уверенность в безопасности персональной информации. Законопроект предусматривает суровое наказание за кражу конфиденциальной информации. Авторы законопроекта уверены, что нести ответственность в случае пропажи информации должны не только преступник, но и компания, по вине которой произошла утечка данных. Если закон будет принят, власти должны выработать новые нормы по работе с конфиденциальными данными для коммерческих структур и организаций, выполняющих государственный заказ. Аналогичные требования желательно распространить и на государственные органы, аккумулирующие персональные данные, но допускающие распространение конфиденциальной информации.
Некоторые федеральные органы государственной власти начали внедрять специализированные системы защиты от утечки конфиденциальной информации. Так, ФТС России в 2006 году совместно с InfoWatch разрабатывала комплексное решение контроля над конфиденциальными данными, включающее в себя как организационно-нормативные меры (создание или модификация политики ИТ-безопасности; внедрение положения о работе с конфиденциальными документами, других внутриведомственных нормативных актов; обучение сотрудников), так и соответствующие технические средства контроля. Во-первых, для защиты конфиденциальной информации необходим контроль над всеми возможными каналами утечки (электронной почты, веб-трафика, печатающих устройств и мобильных накопителей). Во-вторых, внедрение технических средств должно сопровождаться их адаптацией под существующую ИТ-инфраструктуру с учетом специфики организации (например, фильтрация электронной почты должна сопровождаться созданием специализированной базы данных, отражающей используемую терминологию). В-третьих, нужно создать эффективную систему централизованного управления защитой конфиденциальных данных[3].
Внедрение системы защиты конфиденциальной информации должно проводиться если не единовременно, то по крайней мере централизованно и для всех ветвей власти, как по горизонтали, так и по вертикали, иначе установить источник утечки информации будет невозможно.
Примером такого подхода может служить Концепция информационной безопасности Федеральной налоговой службы России, утвержденная приказом ФНС России от 29.08.2006 № САЭ-3-27/559 в целях обеспечения информационной безопасности, конфиденциальности и защиты информации, соблюдения режима налоговой тайны в системе ФНС России. Концепция определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности в ФНС России, распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками ФНС России, требования по информационной безопасности к информационным средствам, применяемым в ФНС России. Главной целью обеспечения безопасности информации является реализация положений законодательных актов и нормативных требований о защите информации ограниченного доступа и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы информационно-телекоммуникационной системы ФНС России.
Подобный подход органов государственной власти к обеспечению безопасности своих информационных систем позволит предотвратить случаи утечки и тиражирования конфиденциальной информации, которые дискредитируют власть в глазах населения, а всю Россию — в глазах мирового сообщества. Комплексное и повсеместное решение проблемы позволит повысить уровень доверия к государству и обеспечить эффективное государственное управление.
 
Библиография
1 См.: Соловьев И.Н. Информационная и правовая составляющие безопасности предпринимательской деятельности // Налоговый вестник. 2002. № 10, 11.
2 См.: Соловьев И.Н. Указ. ст.
3 См.: Зенкин Д. На кону проблема, которая требует безотлагательного решения. Режим доступа: http://www.cnews.ru/ reviews/free/gov2006/int/infowatch/ 15.03.07.