В условиях, когда основной объем информации во всех сферах деятельности государства обрабатывается и передается с использованием информационных технологий, значительно возрастает угроза утечки информации по техническим каналам в результате несанкционированного доступа к информационным системам разведок и спецслужб иностранных государств, недобросовестных предпринимателей и злоумышленников.
Утечка информации, а также специальные воздействия на информацию в целях её уничтожения, искажения или блокирования могут привести к снижению эффективности деятельности государственных органов власти и их подведомственных учреждений в различных сферах деятельности, значительным материальным потерям, созданию социальной нестабильности, ущемлению прав и свобод граждан и другим негативным последствиям.
Следует отметить, что с развитием информационных технологий, развитием информационного общества, формированием механизмов «электронного правительства» все большее количество управленческих решений принимается на основании автоматизированной обработки информации, содержащейся в информационных системах органов власти и подведомственных органам исполнительной власти учреждений и, следовательно, все большее значение приобретает обеспечение защиты данной информации от несанкционированного доступа и иных вредоносных воздействий. Это обуславливает необходимость принятия адекватных мер по защите информации.
Защита информации является неотъемлемой составной частью основной деятельности органов власти, направленной на повышение эффективности их деятельности, обеспечение прав и свобод граждан, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, на получение достоверной информации о деятельности органов власти. С этой целью необходимо обеспечить выполнение всех требований действующего законодательства в сфере защиты информации.
В течение последних лет основой в процессе организации защиты информации с ограниченным доступом в органах исполнительной власти Курской области служила Концепция защиты информации в Курской области, утвержденная постановлением Губернатора Курской области от 05.07.2005 г. № 489 (далее – Концепция). Данная Концепция была создана на основе следующих основных документов, регламентировавших деятельность по обеспечению безопасности информации, с ограниченным доступом:
Федеральный закон от 20 февраля 1995 года № 24-ФЗ "Об информации, информатизации и защите информации" (в настоящее время утратил силу);
Федеральный закон от 21 июля 1993 года № 5485-1 «О государственной тайне»;
Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»;
Концепция защиты информации в Центральном федеральном округе, утвержденная полномочным представителем Президента Российской Федерации в Центральном федеральном округе 7 июня 2004 года.
Таким образом, на момент утверждения Концепции защиты информации в Курской области, и фактически до 2007 года отсутствовали законодательные документы, регулирующие процесс обращения с конфиденциальной информацией, за исключением информации, составляющей коммерческую тайну, и практически отсутствующей в государственных органах власти. Порядок защиты конфиденциальной информации определялся только руководящими документами Гостехкомиссии России (в настоящее время ФСТЭК России), которые, хотя и имеют статус документов, обязательных к исполнению в органах государственной власти, но не определяют как четких сроков приведения в соответствие со своими требованиями процесса обработки конфиденциальной информации, так и последствий, которые могут наступить при невыполнении указанных требований.
В связи с указанными обстоятельствами, а также учитывая значительные сложности выделения финансовых средств на проведение мероприятий по обеспечению безопасности информации с ограниченным доступом, в органах исполнительной власти Курской области системно и на относительно достаточном уровне финансировались только мероприятия по технической защите объектов информатизации, обрабатывающих сведения, составляющие государственную тайну.
В связи с небольшим количеством указанных объектов информатизации, простотой структуры (как правило, это автономные рабочие места), для проведения мероприятий по технической защите требовались небольшие объемы финансовых средств и небольшое количество специалистов, необходимых для организации защиты информации в соответствии с действующим законодательством.
Однако, рассматривая систему защиты сведений, составляющих государственную тайну, следует отметить следующее:
хотя на проведение мероприятий по технической защите объектов информатизации, обрабатывающих сведения, составляющие государственную тайну, выделялись необходимые финансовые средства, обучение и повышение квалификации специалистов по вопросам защиты информации за счет средств органов исполнительной власти Курской области фактически не осуществлялось;
в настоящее время в некоторых органах исполнительной власти Курской области, несмотря на необходимость использования в своей работе сведений, составляющих государственную тайну, не предусмотрено финансирование проведения мероприятий по созданию собственных автоматизированных рабочих мест, соответствующих требованиям действующего законодательства в сфере защиты информации;
построение единой системы защиты информации федерального округа и региона, как составной части государственной системы защиты информации является одной из основных задач Концепции защиты информации в Центральном федеральном округе и Курской области, решение которой невозможно без централизации проводимых мероприятий.
Таким образом, можно сделать вывод о наличии проблем в системе финансирования мероприятий по защите сведений, составляющих государственную тайну. Еще более значительные проблемы существуют в ресурсном обеспечении работ по созданию системы защиты конфиденциальной информации в целом и персональных данных в частности.
В настоящее время произошло существенное изменение законодательной базы по вопросам обеспечения безопасности информации. Федеральный закон от 20 февраля 1995 года № 24-ФЗ "Об информации, информатизации и защите информации" утратил силу. Приняты следующие федеральные законы:
от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
Согласно части 4 статьи 6 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», обладатель информации обязан принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
В настоящее время одним из основных федеральных законов, обязывающих ограничить доступ к информации, для органов власти Курской области является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон). В соответствии со статьей 7 Федерального закона операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
В соответствии с существующими требованиями необходимо периодическое проведение повторных организационных и технических мероприятий по анализу и поддержанию в актуальном состоянии системы защиты информации с ограниченным доступом в информационных системах Курской области.