Статья опубликована в рамках: Научного журнала «Студенческий» № 39(251)
Рубрика журнала: Юриспруденция
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4, скачать журнал часть 5, скачать журнал часть 6, скачать журнал часть 7, скачать журнал часть 8
ПРАВОВОЕ ОБЕСПЕЧЕНИЕ РАЗВИТИЯ БЕЗОПАСНОГО ИНФОРМАЦИОННОГО ПРОСТРАНСТВА В РФ
АННОТАЦИЯ
В статье представлен всесторонний анализ действующих в России правовых и организационных основ информационной безопасности на фоне значительных утечек данных в 2022 году и развивающихся глобальных киберугроз. В ней рассматривается эффективность существующих законов в области защиты критически важной инфраструктуры и персональных данных. В исследовании подчеркивается роль Национального координационного центра по компьютерным инцидентам и тщательно анализируются недавние инициативы правительства по укреплению технологического суверенитета. Посредством детального изучения заметных утечек данных работа оценивает текущее состояние информационной безопасности и определяет области, требующие улучшения. Статья предлагает целевые рекомендации по укреплению правовых и организационных структур России, предполагающими переход к более адаптивным и глобально обоснованным стратегиям кибербезопасности. Это исследование имеет решающее значение для понимания сложностей ситуации с информационной безопасностью в России и необходимости постоянных правовых и системных улучшений в этой области.
Ключевые слова: информационная безопасность, программное обеспечение, утечка данных, Российская Федерация, критическая инфраструктура.
«Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности» [10, с.32]. В этой статье мы исследуем меняющийся ландшафт информационной безопасности в России, оценивая эффективность существующих правовых инфраструктур в защите цифровой сферы. Наше внимание сосредоточено на тщательном анализе законодательной базы, изучении ключевых случаев утечки данных в 2022 году и оценке роли Национального координационного центра по компьютерным инцидентам. Цель этого исследования - дать всестороннее представление об усилиях России по поддержанию безопасного информационного пространства в эпоху растущих киберугроз.
Что касается нормативно-правовой базы, стоит отметить, что информационная безопасность России обеспечивается надежными законодательные актами, такими как Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации» [1] и Федеральный закон № 152-ФЗ «О персональных данных» [2]. Эти законы вместе с Указом Президента «Об утверждении Доктрины информационной безопасности Российской Федерации» [3] и «Стратегией развития информационного общества в Российской Федерации на 2017-2030 гг.» [4] создают всеобъемлющую правовую структуру кибербезопасности нашей страны. Стоит сказать, что Национальный координационный центр по компьютерным инцидентам (НКЦКИ) играет ключевую роль в этой системе. Как отметил А.В. Симаев, «новое подразделение занимается не только мониторингом и предотвращением компьютерных атак, но также взяло на себя роль координирующего субъекта при киберагрессии на точки критической инфраструктуры…» [9, с.145]. Это включает в себя широкий спектр секторов – от здравоохранения до обороны, обеспечивая согласованное реагирование на угрозы в различных жизненно важных областях. Таким образом, правовая и организационная структура направлена на решение современных проблем кибербезопасности с акцентом на упреждающее предотвращение и механизмы скоординированного реагирования.
Однако, сложившаяся картина В 2022 году, когда Россия стала жертвой серии серьезных утечек данных, показывает, что растущие проблемы кибербезопасности требуют усиления мер защиты данных. Так, «за 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования InfoWatch «Россия: утечки информации ограниченного доступа в 2022»» [6].
Если разбирать детальнее, то:
- В марте 2022 года произошла крупная утечка из «Яндекс. Еда», ведущего сервиса доставки еды, когда в социальных сетях появился веб-сайт, на котором была показана карта с личными данными пользователей. Это нарушение раскрыло конфиденциальную информацию, включая адреса доставки, контактные данные, адреса электронной почты и историю заказов, затронув примерно 49 миллионов строк данных. Роман Маресов, глава «Яндекс.Еда», признал факт нарушения в блоге компании, подчеркнув беспрецедентный характер инцидента и их приверженность предотвращению утечек данных в будущем.
- В мае «Delivery Club», еще одна популярная служба доставки еды, также сообщила о утечке данных. Хотя точное число затронутых пользователей не разглашалось, было подтверждено, что произошла утечка информации о заказе, за исключением банковских реквизитов. В отчетах указывалось, что скомпрометированная база данных содержала около 250 миллионов строк персональных данных, таких как имена, адреса и особенности заказа.
- Служба доставки «CDEK» также столкнулась с многочисленными утечками данных в 2022 году. В ранних отчетах за февраль была выявлена утечка информации о доставке клиентам: один файл содержал 466 миллионов строк идентификаторов и телефонных номеров, а другой - 822 миллиона строк, включая идентификаторы, полные имена и адреса электронной почты. «CDEK» подтвердила факт взлома, но заверила, что никакие важные персональные данные, такие как платежная информация, не были скомпрометированы.
- В ноябре сервис электрических скутеров «Whoosh» также пострадал, в результате чего база данных, содержащая около 7,3 миллиона записей, была выставлена на продажу. Эта база данных включала имена пользователей, номера телефонов, адреса электронной почты и частичные данные банковских карт. «Whoosh» подтвердил инцидент, объяснив его хакерской атакой, последовавшей за нарушением сотрудником протоколов компании.
В ответ на растущие вызовы кибербезопасности в 2022 году в российской правовой базе произошли значительные изменения, особенно в области повышения безопасности критически важной инфраструктуры.
Так, в августе 2022 года Правительство России утвердило новые правила, касающиеся программного обеспечения, используемого на объектах критической инфраструктуры, как указано в «Постановлении об утверждении требований к программному обеспечению…» [5]. Это законодательство предписывает, что только программное обеспечение, внесенное в реестр российского или евразийского программного обеспечения, может использоваться в крупных организациях, касающихся КИ. Кроме того, некоторые виды программных продуктов теперь должны иметь сертификат, подтверждающий соответствие стандартам, установленным Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК).
Ранее, в апреле 2022 года, указом Президента была создана межведомственная комиссия Совета Безопасности России по обеспечению технологического суверенитета государства в развитии КИ. Этой комиссии поручено разработать меры по обеспечению информационной безопасности.
Стоит отметить, что к субъектам, отнесенным к категории КИ, относятся федеральные и региональные органы исполнительной власти, государственные фонды, государственные корпорации и компании, стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики. Они охватывают отрасли, жизненно важные для национальной безопасности и экономики, такие как оборона, атомная энергетика, транспорт и финансовый сектор [8].
Этот упреждающий правовой ответ означает существенный сдвиг в направлении повышения устойчивости критически важной цифровой инфраструктуры России. Уделяя особое внимание технологическому суверенитету и строгим требованиям к программному обеспечению, российское правительство стремится снизить уязвимости и повысить общую информационную безопасность. Этот шаг отражает более широкую глобальную тенденцию стран укреплять свои цифровые инфраструктуры на фоне растущих киберугроз и сложной геополитической динамики.
Однако, несмотря на снижение подобных инцидентов, благодаря усилиям правительства, мы считаем, что необходимо продолжать работу. В связи с этим, мы разработали и предлагаем следующие рекомендации по совершенствованию этих рамок:
- Сохраняя акцент на технологическом суверенитете, Россия могла бы извлечь выгоду из интеграции лучших мировых практик в области кибербезопасности и информационной безопасности. Это включает в себя принятие международных стандартов и сотрудничество с глобальными организациями по кибербезопасности для обмена знаниями и опытом. Такой подход мог бы помочь устранить пробелы в существующей системе, особенно в таких областях, как разведка киберугроз и реагирование на инциденты.
- Существует необходимость в укреплении сотрудничества между государственными структурами и организациями частного сектора, особенно теми, которые работают в важнейших секторах инфраструктуры. Такие партнерские отношения могли бы привести к разработке более надежных стратегий кибербезопасности, обмену информацией о критических угрозах и совместному созданию инновационных решений в области безопасности. Это также предполагало бы регулярный диалог и совместные учения для эффективной подготовки к киберинцидентам и реагирования на них.
- Пересмотр и усиление правовых мер по защите данных все также актуален. Это может включать обновление существующих законов для устранения возникающих угроз и включение строгих правил конфиденциальности данных. Усовершенствованная правовая база должна быть направлена как на предотвращение нарушений, так и на принятие жестких мер в случае нарушений, гарантируя, что организации несут ответственность за нарушения в области безопасности данных.
- Учитывая выявленные в секторе пробелы в навыках, необходимы значительные инвестиции в образование и профессиональную подготовку по кибербезопасности. Это должно включать специализированные программы в учебных заведениях, постоянное повышение квалификации действующих IT-специалистов и кампании по информированию общественности о киберугрозах и безопасных цифровых практиках. Подготовка квалифицированной рабочей силы является ключом к обеспечению устойчивого и безопасного информационного пространства.
Эти рекомендации направлены на развитие существующих стратегий, устранение выявленных недостатков и приведение их в соответствие с мировыми стандартами и практикой.
Заключение
Таким образом, «очевидно, что в условиях масштабной цифровизации, национальная безопасность государства находится в прямой зависимости от уровня надежности и безопасности функционирования системы информационной безопасности» [7, с.282]. Это исследование показывает, что, хотя действующая в России правовая база и организационные меры обеспечивают фундаментальную основу информационной безопасности, они требуют постоянного совершенствования для эффективной борьбы с возникающими киберугрозами. Будущие исследования должны быть сосредоточены на разработке адаптивных правовых стратегий и надежных организационных мер реагирования, адаптированных к динамичному характеру киберугроз. Усиление этих аспектов жизненно важно для поддержания устойчивого и безопасного информационного пространства в России. Это стремление имеет решающее значение в условиях быстро развивающегося технологического ландшафта и меняющихся проблем кибербезопасности.
Список литературы:
- Российская Федерация. Законы. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями). Доступ из справ.-правовой системы «КонсультантПлюс» [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_61798/. – Дата доступа: 01.11.2023.
- Российская Федерация. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями). Доступ из справ.-правовой системы «КонсультантПлюс» [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_61801/. – Дата доступа: 01.11.2023.
- Российская Федерация. Указы Президента. Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации». Режим доступа: http://publication.pravo.gov.ru/Document/View/ 0001201612060002. – Дата доступа: 01.11.2023.
- Российская Федерация. Указы Президента. Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017—2030 годы». Режим доступа: http://publication.pravo.gov.ru/Document/ View/0001201705100002. – Дата доступа: 01.11.2023.
- Постановление Правительства РФ от 22.08.2022 N 1478 (ред. от 17.10.2023) «Об утверждении требований к программному обеспечению...». – [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_425279/. – Дата доступа: 11.11.2023.
- В России за год утекло более 660 млн записей с персональными данными. // РБК. – 2023. – 17 апреля. – [Электронный ресурс]. – Режим доступа: https://www.rbc.ru/technology_and_media/17/04/2023/643936229a7947134f0ce21c. – Дата доступа: 11.11.2023.
- Жуков А. З., Ингушев Ч. Х., Битов А. А. Информационная безопасность как элемент национальной безопасности Российской Федерации //Проблемы экономики и юридической практики. – 2021. – Т. 17. – №. 1. – С. 278-283.
- Путин предложил Совбезу обсудить меры информационной безопасности. // РИА Новости. – 2023. – 10 ноября. – [Электронный ресурс]. – Режим доступа: https://ria.ru/20231110/bezopasnost-1908655145.html. – Дата доступа: 11.11.2023.
- Симаев А. В., Стенькин Д. С. Национальный координационный центр по компьютерным инцидентам //Научная дискуссия современной молодежи: актуальные вопросы юридических наук. – 2018. – С. 144-149.
- Эдиев А. М. Информационная безопасность //Чеченского государственного педагогического университета. – 2018. – С. 32.
Оставить комментарий