Министерство уделяет большое внимание вопросам обеспечения информационной безопасности, а также безопасности персональных данных граждан Российской Федерации.
Так, касательно вопроса 1 считаем возможным отметить, что в целях повышения информационной безопасности Президентом Российской Федерации были подписаны Указ № 166 от 30.04.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» и Указ № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В рамках данных указов проводится импортозамещение программного обеспечения (ПО) на объектах критической информационной инфраструктуры Российской Федерации, а также с 01.01.2025 для федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов Российской Федерации, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании федеральных законов, стратегических предприятий, стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации, вводится запрет на использование иностранных средств защиты информации.
Одновременно стоит отметить, что планируемая в рамках данных указов реализация замены иностранного ПО российскими аналогами сталкивается с различными вызовами, в частности с импортозамещением отдельных ПО, как, например, перспективные межсетевые экраны нового поколения (NGFW), обеспечивающее безопасность системы от сетевых угроз, так как российские аналоги не в полной мере удовлетворяют потребности заказчиков.
Вместе с тем при поддержке Министерства в составе рабочей группы планируется проведение работ по реализации импортозамещения NGFW, в частности по разработке стандартов и сертификации ПО, а также по проведению мероприятий, необходимых для обеспечения безопасности при использовании NGFW до момента перехода на отечественные аналоги.
Касательно вопросов обеспечения безопасности персональных данных граждан, следует отметить, что обработка персональных данных, а также обеспечение их защищенности должны осуществляться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон) и других определяющих случаи и особенности обработки персональных данных федеральных законов и принятых подзаконных нормативных актов.
Согласно части 2 статьи 19 Закона обеспечение безопасности персональных данных достигается, в частности, применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
Во исполнение пункта 1 части 3 статьи 19 Закона Правительством Российской Федерации утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных (постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119).
В то же время с целью обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных ФСТЭК России и ФСБ России приняты следующие приказы:
- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Указанные требования являются едиными для всех случаев обработки персональных данных.
В то же время считаем, что к вопросам повышения безопасности персональных данных граждан необходимо подходить комплексно. В этой связи Министерством особое внимание уделяется повышению грамотности граждан по вопросам информационной безопасности. Так, в рамках программы кибергигиены, реализуемой в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации», проводится информационная кампания по повышению осведомленности граждан по вопросам информационной безопасности. Указанная программа включает в себя различные мероприятия, направленные на привлечение внимания граждан Российской Федерации к вопросам личной информационной безопасности и формирование у них навыков безопасного поведения в сети «Интернет». Программа кибергигиены реализуется в формате информационной кампании, в рамках которой в целях наиболее эффективного донесения информации проведена сегментация граждан Российской Федерации на возрастные группы, учитывая при этом особенности поведения каждой из таких групп в сети «Интернет», а также тип потребляемого цифрового контента. Основными тематиками личной информационной безопасности, которые затрагиваются в рамках указанной программы, являются создание надежных паролей, защита персональных данных, противодействие телефонному мошенничеству, эффективное распознавание фишинговых рассылок и сайтов, безопасное совершение покупок в сети «Интернет». С подробными советами по основным вопросам личной информационной безопасности можно ознакомиться на информационных ресурсах программы кибергигиены в сети «Интернет»: www.gosuslugi.ru/cybersecurity, www.киберзож.рф.
Мероприятия, планируемые к реализации в рамках программы кибергигиены в 2024 г., а также в рамках реализации Концепции формирования и развития культуры информационной безопасности граждан Российской Федерации, утвержденной распоряжением Правительства Российской Федерации от 22.12.2022 № 4088-р, будут способствовать повышению грамотности наших граждан по вопросам информационной безопасности. При этом стоит отметить, что программу кибергигиены и иные подобные мероприятия необходимо регулярно актуализировать, чтобы соответствовать новым способам кибератак, текущему уровню грамотности населения по вопросам личной информационной безопасности и определять наиболее эффективные форматы донесения информации. Таким образом, считаем, что указанные меры являются достаточными, однако с учетом возникновения новых угроз и рисков, Минцифры России совместно с другими органами государственной власти продолжают работу над совершенствованием мер обеспечения информационной безопасности Российской Федерации и их эффективной реализацией.