кандидат юридических наук, доцент кафедры информационного права Уральского государственного юридического университета имени В.Ф. Яковлева
Как уже отмечалось ранее, в рамках реализации поручений Президента РФ по развитию ФГИС «Моя школа» на основании постановления Правительства Свердловской области от 27.12.2022 № 925-ПП «О государственной информационной системе Свердловской области «Единое цифровое пространство» в нашем регионе создана государственная информационная система Свердловской области (далее — ГИС) «Единое цифровое пространство», являющаяся одним из инструментов цифровой трансформации образовательной деятельности. Посредством данной информационной системы реализован централизованный доступ к цифровым образовательным ресурсам и сервисам, формирующим единое цифровое образовательное пространство Свердловской области, в числе которых можно выделить электронный журнал, подсистему по организации отдыха детей, подсистему аттестации педагогических работников, подсистему автоматизации процессов образовательных организаций, подсистему мониторинга образования, электронные очереди в детские сады и школы, ситуационный центр министра образования и молодежной политики Свердловской области и другие.
В связи с тем, что государственные информационные системы содержат значительные массивы официальной юридически значимой информации, имеющей значение в сфере государственного управления и используемой для реализации прав субъектов различного рода правоотношений, обеспечение информационной безопасности содержащихся в них данных является приоритетной задачей и служит одной из важнейших гарантий соблюдения конституционных прав и свобод человека и гражданина в области получения и использования информации.
Правовые основания реализации данной задачи в отношении ГИС «Единое цифровое пространство» закреплены в утвержденном приказом Министерства образования и молодежной политики Свердловской области от 28.03.2023 № 398-Д Порядке информационного взаимодействия и обеспечения безопасности защищаемой информации при ее обработке в государственной информационной системе Свердловской области «Единое цифровое пространство» (далее — Приказ).
Безопасность информации (данных) в Приказе рассматривается как состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность. Приоритетное значение в любой информационной системе придается информационным ресурсам, содержащимся в ее базах данных. Поэтому обеспечение безопасности информационной системы должно строиться на реализации комплекса правовых, организационных и технических мер, направленных на защиту ее информационных ресурсов от различного рода внутренних и внешних угроз (неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий), а также полномочий и ответственности лиц, осуществляющих действия по формированию, ведению и использованию информационной системы. Данный подход в полной мере реализован в рассматриваемом Приказе.
В числе основных участников информационного взаимодействия в рамках использования ГИС «Единое цифровое пространство» вышеуказанным нормативным правовым актом выделены оператор информационной системы, ее функциональный заказчик, оператор технической поддержки, операторы подсистем и пользователи информационной системы, каждый из которых в пределах своей ответственности должен выполнять определенные требования по обеспечению безопасности данных при их обработке в системе.
Однако основными правомочиями по обеспечению информационной безопасности наделен оператор информационной системы, поскольку именно он в силу пункта 12 статьи 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» осуществляет деятельность по эксплуатации информационной системы и обработке информации, содержащейся в ее базах данных. Оператором ГИС «Единое цифровое пространство» является центр автоматизации данных среднего профессионального образования «Электронный колледж», структурное подразделение государственного автономного профессионального образовательного учреждения Свердловской области «Уральский государственный колледж имени И. И. Ползунова».
Правомочия оператора можно разделить на несколько групп, объединяющих решение однородных функциональных задач.
Во-первых, правомочия по ведению (формированию) государственной информационной системы. В рамках рассматриваемой ГИС «Единое цифровое пространство» к таким правомочиям можно отнести администрирование информационной системы и осуществление ее настройки, а также распределение прав доступа к информационной системе.
Во-вторых, правомочия по техническому обслуживанию, в числе которых оператор ГИС «Единое цифровое пространство» наделен правомочиями по организации бесперебойной технической поддержки пользователей информационной системы, обеспечению работоспособности программных и технических средств информационной системы.
В-третьих, исходя из анализа Приказа можно сделать вывод, что на оператора возложено большое количество регулятивных правомочий в сфере организационно-технических вопросов функционирования информационной системы: подготовка и согласование технических требований к разработке новых и доработке имеющихся модулей информационной системы; разработка правовых актов, методических и иных документов, регламентирующих вопросы функционирования информационной системы; разработка рекомендаций по обеспечению организации хранения информации, содержащейся в базах данных информационной системы, с учетом требований законодательства по обеспечению информационной безопасности и другие.
Наряду с оператором ГИС «Единое цифровое пространство» специальным субъектом, наделенным полномочиями по обеспечению безопасности информационной системы, является оператор технической поддержки, функции которого выполняет государственное бюджетное учреждение Свердловской области «Оператор электронного правительства». Разграничение правомочий оператора информационной системы и оператора технической поддержки строится на определении и оценке угроз информационной безопасности и применении соответствующих им мер по устранению или предотвращению последствий. Реализация правомочий оператора технической поддержки происходит, когда требуется внесение изменений в программный код информационной системы, и осуществляется посредством заключения контрактов на доработку подсистемы на основании технического задания.
В целом следует отметить, что закрепленная в Приказе система обеспечения информационной безопасности ГИС «Единое цифровое пространство» строится на реализации единого комплекса организационных, правовых и технических мер защиты информации, которые должны обеспечивать целостность, конфиденциальность и доступность информации, хранящейся и обрабатываемой в информационной системе.
В связи с тем, что государственные информационные системы содержат значительные массивы официальной юридически значимой информации, имеющей значение в сфере государственного управления и используемой для реализации прав субъектов различного рода правоотношений, обеспечение информационной безопасности содержащихся в них данных является приоритетной задачей и служит одной из важнейших гарантий соблюдения конституционных прав и свобод человека и гражданина в области получения и использования информации.
Правовые основания реализации данной задачи в отношении ГИС «Единое цифровое пространство» закреплены в утвержденном приказом Министерства образования и молодежной политики Свердловской области от 28.03.2023 № 398-Д Порядке информационного взаимодействия и обеспечения безопасности защищаемой информации при ее обработке в государственной информационной системе Свердловской области «Единое цифровое пространство» (далее — Приказ).
Безопасность информации (данных) в Приказе рассматривается как состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность. Приоритетное значение в любой информационной системе придается информационным ресурсам, содержащимся в ее базах данных. Поэтому обеспечение безопасности информационной системы должно строиться на реализации комплекса правовых, организационных и технических мер, направленных на защиту ее информационных ресурсов от различного рода внутренних и внешних угроз (неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий), а также полномочий и ответственности лиц, осуществляющих действия по формированию, ведению и использованию информационной системы. Данный подход в полной мере реализован в рассматриваемом Приказе.
В числе основных участников информационного взаимодействия в рамках использования ГИС «Единое цифровое пространство» вышеуказанным нормативным правовым актом выделены оператор информационной системы, ее функциональный заказчик, оператор технической поддержки, операторы подсистем и пользователи информационной системы, каждый из которых в пределах своей ответственности должен выполнять определенные требования по обеспечению безопасности данных при их обработке в системе.
Однако основными правомочиями по обеспечению информационной безопасности наделен оператор информационной системы, поскольку именно он в силу пункта 12 статьи 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» осуществляет деятельность по эксплуатации информационной системы и обработке информации, содержащейся в ее базах данных. Оператором ГИС «Единое цифровое пространство» является центр автоматизации данных среднего профессионального образования «Электронный колледж», структурное подразделение государственного автономного профессионального образовательного учреждения Свердловской области «Уральский государственный колледж имени И. И. Ползунова».
Правомочия оператора можно разделить на несколько групп, объединяющих решение однородных функциональных задач.
Во-первых, правомочия по ведению (формированию) государственной информационной системы. В рамках рассматриваемой ГИС «Единое цифровое пространство» к таким правомочиям можно отнести администрирование информационной системы и осуществление ее настройки, а также распределение прав доступа к информационной системе.
Во-вторых, правомочия по техническому обслуживанию, в числе которых оператор ГИС «Единое цифровое пространство» наделен правомочиями по организации бесперебойной технической поддержки пользователей информационной системы, обеспечению работоспособности программных и технических средств информационной системы.
В-третьих, исходя из анализа Приказа можно сделать вывод, что на оператора возложено большое количество регулятивных правомочий в сфере организационно-технических вопросов функционирования информационной системы: подготовка и согласование технических требований к разработке новых и доработке имеющихся модулей информационной системы; разработка правовых актов, методических и иных документов, регламентирующих вопросы функционирования информационной системы; разработка рекомендаций по обеспечению организации хранения информации, содержащейся в базах данных информационной системы, с учетом требований законодательства по обеспечению информационной безопасности и другие.
Наряду с оператором ГИС «Единое цифровое пространство» специальным субъектом, наделенным полномочиями по обеспечению безопасности информационной системы, является оператор технической поддержки, функции которого выполняет государственное бюджетное учреждение Свердловской области «Оператор электронного правительства». Разграничение правомочий оператора информационной системы и оператора технической поддержки строится на определении и оценке угроз информационной безопасности и применении соответствующих им мер по устранению или предотвращению последствий. Реализация правомочий оператора технической поддержки происходит, когда требуется внесение изменений в программный код информационной системы, и осуществляется посредством заключения контрактов на доработку подсистемы на основании технического задания.
В целом следует отметить, что закрепленная в Приказе система обеспечения информационной безопасности ГИС «Единое цифровое пространство» строится на реализации единого комплекса организационных, правовых и технических мер защиты информации, которые должны обеспечивать целостность, конфиденциальность и доступность информации, хранящейся и обрабатываемой в информационной системе.