Институционализация цифрового суверенитета государства в сфере информационной безопасности

Введение

В процессе цифровой трансформации системы государственного и муниципального управления сложились определенные трудности, которые оказывают существенное влияние на процессы институционализации цифрового суверенитета государства вообще и информационной безопасности, в частности. К числу таких трудностей следует отнести: цифровой суверенитет государства востребовал необходимость создания национальной цифровой инфраструктуры способной автономно решать задачи в части информационной безопасности; для обеспечения цифрового суверенитета государства следует разработать пакет новых законов и нормативных актов их реализации в условиях цифровой трансформации; государство может столкнуться с проблемами, пытаясь сбалансировать свои национальные интересы с существующими стандартами и практиками, что может привести к определенным конфликтным ситуациям; защита данных (в том числе персональных данных) и обеспечение их конфиденциальности становятся сложными задачами, особенно в условиях киберугроз; ограниченные финансовые ресурсы могут препятствовать реализации проектов, связанных с цифровым суверенитетом; внедрение новых технологий в существующую инфраструктуру может быть затруднена из-за несовместимости или недостатка квалифицированных специалистов; требуется увеличить подготовку специалистов в области информационной и кибербезопасности.

Основная часть

Практическое значение по реализации процессов институционализации цифрового суверенитета государства в сфере информационной безопасности имеют положения, содержащиеся в Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы, утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. N 203. В Стратегии определены основные направления обеспечения национальных интересов в сфере информационного общества, такие как: формирование информационного пространства с учетом потребностей граждан и общества в получении качественных и достоверных сведений; развитие информационной и коммуникационной инфраструктуры Российской Федерации; создание и применение российских информационных и коммуникационных технологий, обеспечение их конкурентоспособности на международном уровне; формирование новой технологической основы для развития экономики и социальной сферы; обеспечение национальных интересов в области цифровой экономики. В этой связи следует отметить, что органами государственной власти достигнуты определенные результаты в части реализации стратегических целей в области развития информационного общества. Например, за период с 2019 по 2023 годы объем реализации продуктов собственной разработки IT отрасли должен составить 3,1 трлн рублей. Кроме того, к 2030 году следует достичь следующих целевых показателей: увеличение числа домохозяйств, оборудованных доступом в интернет - до 97 %; переход до 80% ключевых отраслей экономики на российское программное обеспечение; абсолютное большинство (99 %) социально значимых услуг для граждан должны предоставляться в цифровой форме; создание системы способной эффективно противостоять киберпреступлениям. [1]

В целях научного анализа и разработки модели институционализации цифрового суверенитета государства в сфере информационной безопасности важное значение имеют исследования в этой области. Например, в работе [1] выделяются следующие принципы цифрового суверенитета государства, такие как: независимость и контроль государства над своими информационным ресурсами, а также развитие собственной информационной инфраструктуры; обеспечение кибербезопасности на основе внедрения современных технологий защиты от кибератак и киберпреступлений; защищенность персональных данных и их конфиденциальность; государственная поддержка национальных инновационных проектов в сфере инновационных технологий; развитие национальных цифровых платформ для обмена информацией и предоставления государственных услуг; сотрудничество с другими государствами в борьбе с киберугрозами и киберпреступностью.

Традиционно категория «суверенитет» рассматривается как высшая власть в процессе принятия решений государством. По мнению Е. Зиновьевой и Б. Яцзе, эта же трактовка применима и к анализу цифрового суверенитета современных государств [2]. В то же время, следует отметить, что в научной среде не сложилось единого понимания понятия «цифровой суверенитет». Например, Мартиросян А. делает вывод о том, что «Цифровой суверенитет неизбежно становится центром повестки дня международного сообщества и национальных государств» [3]. В статье Антонова Д.Е. [4] предпринимается попытка концептуализации понятия «цифровой суверенитет». Автор предлагает «считать цифровым суверенитетом возможность осуществления власти на трех уровнях информационного пространства: hardware (оборудование), software (программное обеспечение), wetware (коммуникативные практики аудитории)». В диссертации «Информационно-правовой механизм обеспечения государственного суверенитета Российской Федерации» [5] который «представляет собой систему организационных, функциональных и инструментально-процедурных элементов, с помощью которых осуществляется регулирующее воздействие на общественные отношения». В научной статье [6] цифровой суверенитет рассматривается как «возможность государства контролировать свои цифровые данные, информацию, а также обеспечивать безопасность и защиту цифровых технологий и инфраструктуры». Основу подобной интерпретации должно составить законодательство о цифровом суверенитете, которое может включать в себя следующие аспекты: определение прав и обязанностей субъектов цифрового пространства, включая пользователей и государственные органы; правовое регулирование сбора, хранения, обработки и передачи персональных данных с учетом их конфиденциальности и безопасности; правовое обеспечение защиты киберпространства от кибератак и киберугроз, а также определение мер по предотвращению и пресечению киберпреступности; правовое обеспечение независимости государства от иностранных цифровых платформ и технологий; развитие и поддержка национальных цифровых инфраструктур, включая цифровые сервисы и цифровые платформы.

В статье [7] показано, что «Реализация государственного суверенитета в информационном пространстве осуществляется посредством государственной информационной политики». Кроме того, цифровой суверенитет государства тесным образом связан не только с информационной политикой, но и «цифровым технологическим суверенитетом государства» [8]. В работе «Подход к определению понятия «цифровой суверенитет государства» сделан вывод о том, что «существует четыре основных точки зрения на значение цифрового суверенитета: политическая, правовая, социальная и экономическая» [9.С.36]. В рамках вышеназванных точек зрения российские ученые рассматривают содержание и структурные компоненты цифрового суверенитета современного государства и выделяют нормативный, правовой, технологический, компетентностный, политический и управленческие элементы данного феномена [10]. В научной статье [11] сделан вывод о том, что «цифровой суверенитет государства имеет несколько важных измерений, включающих в себя общественно-политическое, социально-экономическое и управленческое измерения» Научные проблемы институционализации государственных информационных систем изложены в статье Иванова А.В. [12. С.105] в которой их институционализация рассматривается как «процесс формирования устойчивых практик и их нормативное закрепление. Данный процесс включает комплекс научных, организационно-правовых, проектных и практических институциональных образований».

Исходя из научного анализа проблем цифрового суверенитета государства в сфере информационной безопасности сделан вывод о том, что исследователи в основном рассматривают политико-правовые аспекты исследуемого феномена. На наш взгляд, такой подход не раскрывает в полном объеме саму природу процесса институционализации цифрового суверенитета государства. В этой связи предлагается следующая теоретическая интерпретация изучаемого понятия, в соответствие с которой институционализация цифрового суверенитета, представляет процесс внедрения норм, правил и институтов, направленных на защиту и управление инфраструктурой государства с целью обеспечения его независимости и безопасности в цифровом пространстве. Основу такого процесса включают следующие его этапы, такие как: хабитуализация - опривычивание определенных действий (практик); типизация – выделение типичных форм деятельности (практик); норматизация – превращение таких действий (практик) в определенную норму; легитимизация – закрепление этих норм (практик) и формирование определенных институциональных образований и институтов. В то же время институционализация цифрового суверенитета государства в сфере информационной безопасности нами понимается как процесс внедрения правовых, организационных и технических мер, направленных на обеспечение независимости государства в цифровой сфере.

Институционализация цифрового суверенитета государства включает приоритетные задачи, которые позволяют обеспечить контроль государства над цифровыми технологиями, данными и инфраструктурой. К числу таких задач можно отнести: разработку и внедрение законов и нормативных актов, регулирующих использование данных, защиту персональных данных и цифровые права граждан; определение стандартов для технологий, данных и кибербезопасности, которые будут соответствовать интересам государства; создание и модернизация национальной цифровой инфраструктуры; разработка стратегий по защите информационных систем и данных от киберугроз и кибератак; обучение и подготовка специалистов в области IT и кибербезопасности для обеспечения независимости в цифровой сфере; установление правовых механизмов контроля за сбором, хранением и обработкой данных, включая защиту персональных данных.

На наш взгляд, проектируемая модель институционализации цифрового суверенитета государства в сфере информационной безопасности включает следующие структурные элементы:

1. Законодательные и нормативные органы, разрабатывающие законы и регулирующие цифровое пространство в области информационной безопасности. Для принятия соответствующих законов и нормативных правовых актов важно определить наиболее устойчивые практики, сложившиеся в процессе институционализации цифрового суверенитета государства, их норматизации и легитимизации.

2. Специализированные органы, которые несут ответственность за разработку и реализацию политики цифрового суверенитета государства, а также научно-исследовательские и образовательные учреждения, проводящие исследования в области информационной и кибербезопасности, осуществляющие подготовку специалистов в этой отрасли.

3. Инфраструктура цифрового пространства, обеспечивающая создание и поддержание национальной цифровой инфраструктуры, а также надежность цифровых услуг для граждан и бизнеса. На наш взгляд, инфраструктура цифрового пространства — это комплексный набор информационных технологий, ресурсов и процессов, необходимых для обеспечения передачи, хранения, обработки и управления данными в цифровой форме. Основные ее структурные элементы включают [6]: сетевую инфраструктуру (Интернет, локальные сети, облачные вычисления, сервера и телекоммуникационное оборудование); компьютерное оборудование (компьютеры, ноутбуки, планшеты, мобильные устройства и другие устройства для обработки и хранения данных); программное обеспечение (операционные системы, прикладные программы, базы данных, аналитические инструменты и другие программы для обработки и управления данными); хранилища данных (цифровые хранилища, облачные хранилища, базы данных и другие механизмы для хранения информации); информационную безопасность (системы защиты данных, защита от кибератак, шифрование, аутентификация и другие меры, обеспечивающие конфиденциальность и сохранность данных); управление информационными ресурсами (процессы управления данными, мониторинг производительности информационных систем, планирование ресурсов цифровой инфраструктуры).

В целях анализа процессов в инфраструктуре цифрового пространства следует учитывать соответствующие их классификаторы [13]. «Классификаторы вирусов и вредоносных программ (тип вредоносной программы, метод распространения, способ маскировки, способ обхода защитных механизмов, системы антивирусного программного обеспечения). Классификаторы кибератак (тип кибератаки, (DDoS-атака, SQL-инъекция, фишинг, средства и методы обнаружения и предотвращения данного типа атак). Классификаторы вредоносных фишинговых сайтов (URL вредоносного сайта, методы привлечения жертв на вредоносный сайт). Классификаторы скам-сайтов (методы привлечения пользователей на скам-сайт, методы мошенничества и обмана, потенциальные последствия для посетителей скам-сайтов). Классификаторы кибершпионажа (субъекты, объекты, цели и методы обнаружения и противодействия кибершпионажу). Классификаторы деструктивных событий в области кибербезопасности (способы воздействия и распространения деструктивных событий, методы обнаружения деструктивных событий и реагирования на них, воздействие деструктивных событий на работоспособность и безопасность информационных систем). Классификаторы кибертерроризма (категории кибертеррористических действий, методы и техники кибертеррористических атак, основные угрозы и уязвимости в киберпространстве, системы защиты от кибертерроризма, механизмы реагирования на кибертеррористические угрозы».

4. Институты контроля и мониторинга, осуществляющие мониторинг за соблюдением законодательства в информационной безопасности и анализ рисков, связанных с цифровыми угрозами. Важное значение для контроля и мониторинга имеет применение процессного подхода по работе с данными, которая включает следующие события. События ввода данных – создание электронных форм документов для ввода данных, ввод данных в электронные документы по установленным процедурам. События обработки данных – сбор данных из различных источников, проверка данных на достоверность. События вывода данных – формирование отчетов и аналитических материалов на основе обработанных данных. События хранения данных – создание и поддержка защищенных хранилищ данных. События передачи данных – выбор соответствующих методов и средств передачи. События управления данными – регулярное обновление и архивирование данных. События анализа данных – применение методов анализа данных, визуализация данных, интерпретация результатов. События взаимодействия с пользователем – публичная доступность информации [14. С. 271].

5. Организационные мероприятия по поддержке отечественных IT-компаний и стартапов. Например, федеральный проект «Цифровые технологии» национальной программы «Цифровая экономика Российской Федерации» направлен на создание условий для ускоренного развития стартапов, разрабатывающих решения в сфере информационных технологий. Данная задача включает мероприятия грантового финансирования малых предприятий на разработку, применение, коммерциализацию российских ИТ-решений, акселерацию технологических компаний, а также поддержку проектов пилотного внедрения ИТ-продуктов. Фонд содействия инновациям предоставляет гранты от 3 до 20 млн рублей по нескольким программам: «Старт-ЦТ», «Развитие-ЦТ» и «Экспорт-ЦТ». Так, программа «Старт» направлена на создание новых и поддержку существующих малых инновационных предприятий, разрабатывающих отечественные ИТ-решения, программа «Развитие» ориентирована на поддержку более развитых предприятий, имеющих опыт продаж наукоемкой продукции на рынке, программа «Экспорт-ЦТ» проводится в целях финансовой поддержки проектов, направленных на начало или продолжение продаж российских цифровых решений на зарубежных рынках. [2]

6. Общественные институты, участвующие в реализации мероприятий по развитию цифрового суверенитета государства, которые включают различные организации и структуры, способствующие формированию политики по обеспечению безопасности и защите интересов граждан в цифровом пространстве (общественные советы при государственных органах; ассоциации специалистов в области информационных технологий и кибербезопасности; гражданские сообщества, которые выступают за соблюдение прав граждан в цифровом пространстве; средства массовой информации, которые играют важную роль в информировании общества и повышении осведомленности о проблемах цифрового суверенитета).

7. Институты развития, обеспечивающие технологическую независимость в части развития и использования отечественных технологий и программного обеспечения. К подобным институтам относятся: государственные корпорации и учреждения, которые занимаются развитием и внедрением технологий в различных отраслях экономики; учебные заведения и исследовательские центры, занимающиеся разработкой новых технологий и программного обеспечения; инновационные центры и технопарки; национальные и федеральные проекты.

8. Государственные институциональные образования в области кибербезопасности, формирующие систему защиты информации и инфраструктуры от кибератак. К числу подобных институциональных образований относятся: специализированные государственные органы (ассоциации) по кибербезопасности; подразделения или специальные группы, занимающиеся вопросами кибербезопасности; межведомственные комитеты (комиссии) в области кибербезопасности; национальные или региональные центры, которые занимаются мониторингом, анализом и реагированием на киберинциденты; государственные университеты и научные учреждения, которые занимаются подготовкой специалистов в области кибербезопасности.

Технологическую основу деятельности таких институциональных образований составляют следующие инструменты [14. С. 278]: IBM Security Guardium – платформа для обеспечения безопасности данных, мониторинга угроз и защиты от утечек. Symantec Data Loss Prevention – решение для предотвращения утечек конфиденциальных данных. McAfee Total Protection – комплексное программное обеспечение для защиты от вредоносных программ и угроз безопасности. Tenable.io – инструмент для сканирования уязвимостей и обеспечения безопасности информационных систем. Check Point – комплексное решение для защиты сетей, данных и конечных устройств. Palo Alto Networks – платформа для обеспечения безопасности сети и защиты от угроз. Fortinet – интегрированное решение для защиты от угроз, включая защиту от DDoS-атак, вредоносных программ и утечек данных. Trend Micro – решение для обеспечения безопасности данных и сетей, включая антивирусную защиту и защиту от угроз в реальном времени. Sophos – платформа для защиты данных на конечных устройствах, серверах и в облаке. FireEye – комплексное решение для обнаружения и предотвращения угроз безопасности данных». Эти структурные элементы проектируемой модели должны работать в комплексной взаимосвязи и обеспечить эффективную реализацию стратегии цифрового суверенитета и защиту интересов государства и его граждан в цифровой среде.

В общем виде модель институционализации цифрового суверенитета государства в сфере информационной безопасности представлена на рис. 1.

Рис. 1. Структурные элементы модели институционализации цифрового суверенитета государства в сфере информационной безопасности.

Источник: составлено авторами

Функционирование проектируемой модели институционализации цифрового суверенитета государства в сфере информационной безопасности должно основываться на следующих принципах:

- мониторинг и контроль данных, поскольку государство должно иметь возможность осуществлять контроль данных, связанных с национальной безопасностью»

- законодательное регулирование процессов институционализации цифрового суверенитета государства, обеспечивающее кибербезопасность, а также правовую основу для цифрового суверенитета;

- технологическая независимость, основанная на использовании отечественных технологий и программного обеспечения для обеспечения информационной безопасности;

- кибербезопасность, направленная на установление систем защиты информации и инфраструктуры от кибератак;

- информационная политика, обеспечивающая формирование стратегии по управлению информацией и коммуникациями;

- информационное образование, способствующее повышению уровня цифровой грамотности и информационной безопасности.

На наш взгляд, исследование процессов институционализации цифрового суверенитета государства в сфере информационной безопасности необходимо осуществить в следующем порядке. Первый этап: уточнение цифрового суверенитета в контексте полномочий и деятельности государственных органов контролировать свои цифровые данные, информацию и коммуникации, обеспечивая при этом безопасность и конфиденциальность. Второй этап: оценка и анализ текущего уровня цифрового суверенитета в органах государственной власти, включающей оценку уровня доступа к технологиям, контроля над данными, кибербезопасности и законодательных механизмов. Третий этап: исследование и изучение инновационных процессов, которые могут быть реализованы в цифровом пространстве органов власти на основе использования новых технологий, улучшения качества обслуживания граждан и многое другое. Четвертый этап: мониторинг и оценка влияния цифрового суверенитета на возможности реализации инновационных процессов, которые поможет определить, насколько эффективно государственные органы могут использовать свои цифровые ресурсы и данные для внедрения инноваций.

Заключение

Из проведенного исследования можно сделать следующие выводы:

- цифровой суверенитет играет значительную роль в развитии цифрового пространства в органах государственной власти. Он обеспечивает сохранность информации, защиту от киберугроз и обеспечивает независимость в области цифровых технологий;

- цифровой суверенитет способствует развитию цифровой экономики и повышению эффективности работы органов государственной власти за счет внедрения современных цифровых технологий;

- важно учитывать особенности цифрового суверенитета при разработке законодательства и стратегий по развитию цифрового пространства.

Некоторые рекомендации для реализации процессов институционализации цифрового суверенитета государства в сфере информационной безопасности:

- разработка и утверждение стратегии цифрового развития, которая бы включала в себя меры по институционализации цифрового суверенитета государства в сфере информационной безопасности;

- внедрение современных технологий защиты данных и информационной инфраструктуры для обеспечения цифрового суверенитета и кибербезопасности;

- обучение сотрудников органов государственной власти в области цифровых технологий, обеспечение доступа к обучающим программам и курсам по цифровой грамотности;

- проведение регулярных аудитов и проверок цифровой инфраструктуры органов государственной власти с целью выявления слабых мест и устранения уязвимостей;

- создание нормативной базы, регулирующей вопросы кибербезопасности, защиты данных и ответственности за киберпреступления;

- формирование существующих институтов, ответственных за кибербезопасность и защиту информационных ресурсов на национальном уровне;

- увеличение финансирования на технологии и системы, обеспечивающие защиту от киберугроз, включая средства обнаружения и реагирования на инциденты.

[1] https://raec.ru/live/smi/14494/?ysclid=lzmejrh5tj231416247

[2] См.: https://digital.gov.ru/ru/appeals/faq/4/