ПРАВОВОЕ ОБЕСПЕЧЕНИЕ РАЗВИТИЯ БЕЗОПАСНОГО ИНФОРМАЦИОННОГО ПРОСТРАНСТВА В РФ

АННОТАЦИЯ

В статье представлен всесторонний анализ действующих в России правовых и организационных основ информационной безопасности на фоне значительных утечек данных в 2022 году и развивающихся глобальных киберугроз. В ней рассматривается эффективность существующих законов в области защиты критически важной инфраструктуры и персональных данных. В исследовании подчеркивается роль Национального координационного центра по компьютерным инцидентам и тщательно анализируются недавние инициативы правительства по укреплению технологического суверенитета. Посредством детального изучения заметных утечек данных работа оценивает текущее состояние информационной безопасности и определяет области, требующие улучшения. Статья предлагает целевые рекомендации по укреплению правовых и организационных структур России, предполагающими переход к более адаптивным и глобально обоснованным стратегиям кибербезопасности. Это исследование имеет решающее значение для понимания сложностей ситуации с информационной безопасностью в России и необходимости постоянных правовых и системных улучшений в этой области.

Ключевые слова: информационная безопасность, программное обеспечение, утечка данных, Российская Федерация, критическая инфраструктура.

«Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности» [10, с.32]. В этой статье мы исследуем меняющийся ландшафт информационной безопасности в России, оценивая эффективность существующих правовых инфраструктур в защите цифровой сферы. Наше внимание сосредоточено на тщательном анализе законодательной базы, изучении ключевых случаев утечки данных в 2022 году и оценке роли Национального координационного центра по компьютерным инцидентам. Цель этого исследования - дать всестороннее представление об усилиях России по поддержанию безопасного информационного пространства в эпоху растущих киберугроз.

Что касается нормативно-правовой базы, стоит отметить, что информационная безопасность России обеспечивается надежными законодательные актами, такими как Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации» [1] и Федеральный закон № 152-ФЗ «О персональных данных» [2]. Эти законы вместе с Указом Президента «Об утверждении Доктрины информационной безопасности Российской Федерации» [3] и «Стратегией развития информационного общества в Российской Федерации на 2017-2030 гг.» [4] создают всеобъемлющую правовую структуру кибербезопасности нашей страны. Стоит сказать, что Национальный координационный центр по компьютерным инцидентам (НКЦКИ) играет ключевую роль в этой системе. Как отметил А.В. Симаев, «новое подразделение занимается не только мониторингом и предотвращением компьютерных атак, но также взяло на себя роль координирующего субъекта при киберагрессии на точки критической инфраструктуры…» [9, с.145]. Это включает в себя широкий спектр секторов – от здравоохранения до обороны, обеспечивая согласованное реагирование на угрозы в различных жизненно важных областях. Таким образом, правовая и организационная структура направлена на решение современных проблем кибербезопасности с акцентом на упреждающее предотвращение и механизмы скоординированного реагирования.

Однако, сложившаяся картина В 2022 году, когда Россия стала жертвой серии серьезных утечек данных, показывает, что растущие проблемы кибербезопасности требуют усиления мер защиты данных. Так, «за 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования InfoWatch «Россия: утечки информации ограниченного доступа в 2022»» [6].

Если разбирать детальнее, то:

1. В марте 2022 года произошла крупная утечка из «Яндекс. Еда», ведущего сервиса доставки еды, когда в социальных сетях появился веб-сайт, на котором была показана карта с личными данными пользователей. Это нарушение раскрыло конфиденциальную информацию, включая адреса доставки, контактные данные, адреса электронной почты и историю заказов, затронув примерно 49 миллионов строк данных. Роман Маресов, глава «Яндекс.Еда», признал факт нарушения в блоге компании, подчеркнув беспрецедентный характер инцидента и их приверженность предотвращению утечек данных в будущем.
2. В мае «Delivery Club», еще одна популярная служба доставки еды, также сообщила о утечке данных. Хотя точное число затронутых пользователей не разглашалось, было подтверждено, что произошла утечка информации о заказе, за исключением банковских реквизитов. В отчетах указывалось, что скомпрометированная база данных содержала около 250 миллионов строк персональных данных, таких как имена, адреса и особенности заказа.
3. Служба доставки «CDEK» также столкнулась с многочисленными утечками данных в 2022 году. В ранних отчетах за февраль была выявлена утечка информации о доставке клиентам: один файл содержал 466 миллионов строк идентификаторов и телефонных номеров, а другой - 822 миллиона строк, включая идентификаторы, полные имена и адреса электронной почты. «CDEK» подтвердила факт взлома, но заверила, что никакие важные персональные данные, такие как платежная информация, не были скомпрометированы.
4. В ноябре сервис электрических скутеров «Whoosh» также пострадал, в результате чего база данных, содержащая около 7,3 миллиона записей, была выставлена на продажу. Эта база данных включала имена пользователей, номера телефонов, адреса электронной почты и частичные данные банковских карт. «Whoosh» подтвердил инцидент, объяснив его хакерской атакой, последовавшей за нарушением сотрудником протоколов компании.

В ответ на растущие вызовы кибербезопасности в 2022 году в российской правовой базе произошли значительные изменения, особенно в области повышения безопасности критически важной инфраструктуры.

Так, в августе 2022 года Правительство России утвердило новые правила, касающиеся программного обеспечения, используемого на объектах критической инфраструктуры, как указано в «Постановлении об утверждении требований к программному обеспечению…» [5]. Это законодательство предписывает, что только программное обеспечение, внесенное в реестр российского или евразийского программного обеспечения, может использоваться в крупных организациях, касающихся КИ. Кроме того, некоторые виды программных продуктов теперь должны иметь сертификат, подтверждающий соответствие стандартам, установленным Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК).

Ранее, в апреле 2022 года, указом Президента была создана межведомственная комиссия Совета Безопасности России по обеспечению технологического суверенитета государства в развитии КИ. Этой комиссии поручено разработать меры по обеспечению информационной безопасности.

Стоит отметить, что к субъектам, отнесенным к категории КИ, относятся федеральные и региональные органы исполнительной власти, государственные фонды, государственные корпорации и компании, стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики. Они охватывают отрасли, жизненно важные для национальной безопасности и экономики, такие как оборона, атомная энергетика, транспорт и финансовый сектор [8].

Этот упреждающий правовой ответ означает существенный сдвиг в направлении повышения устойчивости критически важной цифровой инфраструктуры России. Уделяя особое внимание технологическому суверенитету и строгим требованиям к программному обеспечению, российское правительство стремится снизить уязвимости и повысить общую информационную безопасность. Этот шаг отражает более широкую глобальную тенденцию стран укреплять свои цифровые инфраструктуры на фоне растущих киберугроз и сложной геополитической динамики.

Однако, несмотря на снижение подобных инцидентов, благодаря усилиям правительства, мы считаем, что необходимо продолжать работу. В связи с этим, мы разработали и предлагаем следующие рекомендации по совершенствованию этих рамок:

1. Сохраняя акцент на технологическом суверенитете, Россия могла бы извлечь выгоду из интеграции лучших мировых практик в области кибербезопасности и информационной безопасности. Это включает в себя принятие международных стандартов и сотрудничество с глобальными организациями по кибербезопасности для обмена знаниями и опытом. Такой подход мог бы помочь устранить пробелы в существующей системе, особенно в таких областях, как разведка киберугроз и реагирование на инциденты.
2. Существует необходимость в укреплении сотрудничества между государственными структурами и организациями частного сектора, особенно теми, которые работают в важнейших секторах инфраструктуры. Такие партнерские отношения могли бы привести к разработке более надежных стратегий кибербезопасности, обмену информацией о критических угрозах и совместному созданию инновационных решений в области безопасности. Это также предполагало бы регулярный диалог и совместные учения для эффективной подготовки к киберинцидентам и реагирования на них.
3. Пересмотр и усиление правовых мер по защите данных все также актуален. Это может включать обновление существующих законов для устранения возникающих угроз и включение строгих правил конфиденциальности данных. Усовершенствованная правовая база должна быть направлена как на предотвращение нарушений, так и на принятие жестких мер в случае нарушений, гарантируя, что организации несут ответственность за нарушения в области безопасности данных.
4. Учитывая выявленные в секторе пробелы в навыках, необходимы значительные инвестиции в образование и профессиональную подготовку по кибербезопасности. Это должно включать специализированные программы в учебных заведениях, постоянное повышение квалификации действующих IT-специалистов и кампании по информированию общественности о киберугрозах и безопасных цифровых практиках. Подготовка квалифицированной рабочей силы является ключом к обеспечению устойчивого и безопасного информационного пространства.

Эти рекомендации направлены на развитие существующих стратегий, устранение выявленных недостатков и приведение их в соответствие с мировыми стандартами и практикой.

Заключение

Таким образом, «очевидно, что в условиях масштабной цифровизации, национальная безопасность государства находится в прямой зависимости от уровня надежности и безопасности функционирования системы информационной безопасности» [7, с.282]. Это исследование показывает, что, хотя действующая в России правовая база и организационные меры обеспечивают фундаментальную основу информационной безопасности, они требуют постоянного совершенствования для эффективной борьбы с возникающими киберугрозами. Будущие исследования должны быть сосредоточены на разработке адаптивных правовых стратегий и надежных организационных мер реагирования, адаптированных к динамичному характеру киберугроз. Усиление этих аспектов жизненно важно для поддержания устойчивого и безопасного информационного пространства в России. Это стремление имеет решающее значение в условиях быстро развивающегося технологического ландшафта и меняющихся проблем кибербезопасности.

Список литературы:

1. Российская Федерация. Законы. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями). Доступ из справ.-правовой системы «КонсультантПлюс» [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_61798/. – Дата доступа: 01.11.2023.
2. Российская Федерация. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями). Доступ из справ.-правовой системы «КонсультантПлюс» [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_61801/. – Дата доступа: 01.11.2023.
3. Российская Федерация. Указы Президента. Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации». Режим доступа: http://publication.pravo.gov.ru/Document/View/ 0001201612060002. – Дата доступа: 01.11.2023.
4. Российская Федерация. Указы Президента. Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017—2030 годы». Режим доступа: http://publication.pravo.gov.ru/Document/ View/0001201705100002. – Дата доступа: 01.11.2023.
5. Постановление Правительства РФ от 22.08.2022 N 1478 (ред. от 17.10.2023) «Об утверждении требований к программному обеспечению...». – [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_425279/. – Дата доступа: 11.11.2023.
6. В России за год утекло более 660 млн записей с персональными данными. // РБК. – 2023. – 17 апреля. – [Электронный ресурс]. – Режим доступа: https://www.rbc.ru/technology_and_media/17/04/2023/643936229a7947134f0ce21c. – Дата доступа: 11.11.2023.
7. Жуков А. З., Ингушев Ч. Х., Битов А. А. Информационная безопасность как элемент национальной безопасности Российской Федерации //Проблемы экономики и юридической практики. – 2021. – Т. 17. – №. 1. – С. 278-283.
8. Путин предложил Совбезу обсудить меры информационной безопасности. // РИА Новости. – 2023. – 10 ноября. – [Электронный ресурс]. – Режим доступа: https://ria.ru/20231110/bezopasnost-1908655145.html. – Дата доступа: 11.11.2023.
9. Симаев А. В., Стенькин Д. С. Национальный координационный центр по компьютерным инцидентам //Научная дискуссия современной молодежи: актуальные вопросы юридических наук. – 2018. – С. 144-149.
10. Эдиев А. М. Информационная безопасность //Чеченского государственного педагогического университета. – 2018. – С. 32.