Рекомендации по совершенствованию нормативной базы документационного и информационного обеспечения деятельности Администрации Муниципального района Благовещенский район РБ

В последние годы государство неуклонно и последовательно увеличивает свою регулирующую активность в части информационного и документационного обеспечения деятельности муниципальных органов управления. Наличие в стране «Доктрины информационной безопасности», последовательное принятие федеральных законов «Об информации, информационных технологиях и о защите информации», «О коммерческой тайне», «О персональных данных», «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», четвертой части Гражданского кодекса, большого количества указов Президента РФ и Постановлений Правительства, конкретизирующих требования к обеспечения информационного обеспечения, однозначно говорит о самом пристальном внимании к вопросам информации.

Кроме определения обязательных для исполнения норм, законы устанавливают и сроки проведения работ по информационной работе для организаций, предприятий разных форм собственности и даже для физических лиц. Так, например, произошло при принятии ФЗ «О персональных данных», который определил срок до 1 января 2010 года для приведения всех информационных систем, где есть персональные данные граждан, в соответствие с новым законодательством, и в первую очередь - их подсистем информационной безопасности, так как именно к ним выдвигаются конкретные требования.

В 2008 году подписан новый Указ Президента РФ от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена», в области информатизации органов государственной власти были приняты такие документы, как «Концепция формирования в РФ электронного правительства до 2010 года». «Стратегия развития информационного общества», также затрагивающие проблемы обеспечения функционирования автоматизированных систем госорганов.

Справедливости ради следует отметить, что требования законодательства не всегда последовательны и непротиворечивы, а по целому ряду отраслей российской экономики, например, таким, как промышленность и транспорт, пока не приняты какие-либо нормативы, регламентирующие сферу информационной безопасности. Например, в прошедшем году в Государственной Думе РФ был снят с дальнейшего рассмотрения проект федерального закона «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры». В перечень таких объектов входили почта, крупные промышленные предприятия, компании водо- и энергоснабжения, бизнес по добыче и транспортировке нефти и газа и т.п. Из-за недостатка подзаконных актов «буксует» исполнение Федерального закона от 9 февраля 2007г. 16-ФЗ «О транспортной безопасности».

Существенным сдерживающим фактором обеспечения информационной работы в госсекторе является отсутствие закона о служебной тайне, без которого реализация упоминавшегося выше ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» будет практически невозможной. Законом определена норма, в соответствии с которой доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается только в тех случаях, когда информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну. В настоящее время, после утраты силы ст.139 Гражданского кодекса РФ, понятия служебной тайны в российском законодательстве вообще отсутствует, а рассматриваемый закон четко устанавливает, что перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом. Закон существует же лишь в виде непринятого проекта.

Само по себе государственное регулирование и выдвижение требований, обязательных для выполнения в различных организациях и предприятий уже значительно стимулирует рынок. Наличие у регуляторов и органов государственного контроля и надзора возможностей наложения санкций на владельцев информационных систем, за невыполнение установленных в части информационной деятельности требований так или иначе заставляет последних принимать меры к реализации предусмотренных регуляторами мер.

Кроме того, увеличение объема работ, связанных с информатизацией федеральных и региональных органов власти и автоматизацией деятельности компаний с государственным участием, очевидно, влияет на рост сегмента по информационной безопасности, в котором при выполнении практических работ по защите информации сочетаются меры четырех уровней: законодательного, административного, процедурного и программно-технического.

Принятые нормативные акты в области информационной безопасности, в первую очередь, связанные с обязательным прохождением процедуры оценки соответствия (сертификацией, аттестацией, подтверждением корректности встраивания криптографических средств), причем во многих случаях - с подтверждением отсутствия недекларированных возможностей, требующих предоставления исходного кода, позволяют сделать вывод о том, что государство заинтересовано в импортозамещении, особенно в сегодняшней ситуации. С одной стороны - это возможность, с другой - проблема. Возможность состоит в том, что если быстро ликвидировать технологический отрыв от ведущих иностранных компаний, поставляющих современные решения на российский рынок, можно существенно их на рынке потеснить. Проблема же заключается в том, что в более благополучное время этого сделать не удавалось, поэтому есть обоснованное сомнение в том, что удастся и на этот раз.

Раскрывать исходные коды западные и восточные вендоры не спешат, обоснованно опасаясь несанкционированного использования их секретов российскими разработчиками. Ситуация близка к тупиковой: заменить операционные системы и прикладной софт в виде ERP, CRM, OSS/BSS и т.п. зарубежных решений на российские нельзя, поскольку последних соответствующего уровня и качества просто нет, а использовать недоверенные приложения для обработки секретов госорганов и госкомпаний нельзя. Выход из тупика - проблема, скорее политическая, чем техническая. Необходимо будет преодолеть многие стереотипы мышления, как у нас, так и за рубежом, переходя от терминологий противостояния и соперничества к поискам путей построения доверия, языку партнерства и единых стандартов требований к безопасности.

Кроме оценки соответствия и создаваемой проблемы импортозамещения, существует еще целый пул проблем, вызванные мировым экономическим кризисом, каждая со своим следствием и возможным решением. Выделим четыре главные, на наш взгляд.

Первая - это снижения объема заказов системным интеграторам и отечественным производителям программных и программно-аппаратных средств из-за сокращения финансирования всех видов работ и перехода к политике тотального сокращения затрат. Следствием этого является сокращение штатов, в некоторых случаях - даже банкротство отечественных интеграторов и производителей, в том числе - и в области информационной безопасности, тесно связанных с ИТ-сектором, прекращение инновационных исследований и повышения квалификации персонала, общее сокращение рабочих мест, значительное снижение конкурентоспособности российских компаний. Решением проблемы могло бы стать размещение государственного заказа на выполнение работ по построению информационных систем и обеспечению безопасности у российских компаний. Это предусматривало бы ориентирование на отечественное программное обеспечение и средства защиты информации для нужд органов государственной власти и органов местного управления, государственных предприятий, проведение работ по аттестации и сертификации информационных систем госорганов по требованиям безопасности. Однако, выдвигая обязательные требования к безопасности, скажем, информационных систем персональных данных, и, назначая сроки завершения работ, государство не спешит выделять на такие работы соответствующие бюджеты и требовать от госорганов и органов местного самоуправления доклада о выполнении законодательных требований.

Вторая проблема - это низкое качество поддержки информационных систем в государственных органах из-за недостатка специалистов, особенностей штатного расписания госорганов, неконкурентоспособной заработной платы для ИТ- и ИБ-специалистов. Следствием является неэффективность процессов автоматизации в госорганах, слабое использование функционала информационных систем, снижение уровня информационной безопасности. Выполнение госслужащими несвойственных им функций, высокая текучесть кадров специалистов, обслуживающих критичные информационные системы приводит к общему снижению уровня защищенности. Решением могла бы стать передача вопросов обслуживания ИТ и обеспечения информационной безопасности органов государственной власти на аутсорсинг специализированным отечественным компаниям с целью освобождения госорганов от непрофильной деятельности, сокращения их штатной численности и фонда заработной платы, повышения уровня безопасности за счет выполнения работ высококвалифицированными специалистами и создания дополнительных рабочих мест в российских компаниях. Но и здесь государство молчит.

Третья проблема связана в неравными условиями налогообложения для производителей программного обеспечения, работающих и не работающих на экспорт. Как следствие - высокая налоговая нагрузка на производителей ПО для внутреннего потребления, снижение их конкурентоспособности, сокращение рабочих мест и социальных программ, банкротство. Выход видится в уравнивании в налогообложении компаний, разрабатывающих ПО, в том числе и средства защиты информации, на экспорт и внутри РФ с целью уменьшения налоговой нагрузки на ФОТ.

И, наконец, четвертая проблема. Низкая конкурентоспособность отечественных программных и программно-аппаратных продуктов, в том числе - систем безопасности, противодействие ведущих стран и вендоров увеличению их экспорта из России. С неизбежным следствием из этого в виде технологического отставания от ведущих производителей, сокращения дальнейших перспектив вывода продуктов на мировой рынок и, как результат - проигрышем в конкурентной борьбе с западными производителями.

В этих условиях реализация требований законодательства, построение эффективной системы информации в муниципалитетах, имеющей подтверждение соответствия требованиям (сертификат или аттестат), для многих органов власти, государственных и муниципальных предприятий и особенного органов местного самоуправления является задачей сложной как с точки зрения финансирования, так и с точки зрения технической реализации.

Облегчить их участь может в какой-то степени аутсорсинг технической защиты конфиденциальной информации, в том числе - путем передачи управления средствами защиты во внешние центры информационной безопасности (SOC) и размещения информационных систем, обрабатывающих конфиденциальные сведения, в специальных, защищенных и аттестованных центрах обработки данных в Администрациях муниципальных районов.