XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

В условиях цифровой трансформации государственного управления и широкого внедрения информационных технологий в деятельность органов власти и подведомственных учреждений существенно возрастает значение информационной безопасности (ИБ) как фактора устойчивости и эффективности функционирования государства. Современные государственные учреждения осуществляют обработку значительных объёмов информации, включая персональные данные, служебную информацию ограниченного доступа и иные критически важные информационные ресурсы, нарушение конфиденциальности, целостности или доступности которых может привести к серьёзным правовым, социальным и управленческим последствиям [1].

Долгое время в практике обеспечения ИБ доминировал технический подход, при котором защита информации сводилась преимущественно к внедрению программно-аппаратных средств и выполнению формальных требований регуляторов. Такой подход в определённой степени соответствовал этапу развития автоматизированных систем и уровню актуальных угроз, однако по мере усложнения информационной инфраструктуры и роста зависимости управленческих процессов от информационных ресурсов его ограниченность стала очевидной. Отсутствие системного управления, недостаточная вовлечённость руководства и игнорирование организационных и кадровых аспектов существенно снижали эффективность систем защиты.

В настоящее время ИБ всё в большей степени рассматривается как управляемый процесс, требующая комплексного и системного подхода. Данный подход нашёл отражение в международных и национальных стандартах серии ISO/IEC 27000:2022, в том числе в ГОСТ Р ИСО/МЭК 27001-2021, а также в нормативных правовых и методических документах Федеральной службы по техническому и экспортному контролю России (ФСТЭК) России. В этих документах ИБ позиционируется как часть общей системы управления организацией, основанной на риск-ориентированном и процессном подходах, ответственности высшего руководства и принципе постоянного совершенствования. В связи с этим особую актуальность приобретает исследование системы менеджмента информационной безопасности (СМИБ) как элемента общего управления государственным учреждением. Анализ её места и роли позволяет выявить взаимосвязь между управленческими процессами и уровнем защищённости информационных ресурсов, а также обосновать необходимость интеграции вопросов ИБ в стратегическое и оперативное управление.

Цель исследования: анализ современных подходов к формированию и функционированию СМИБ в государственных учреждениях с акцентом на переход от технической модели защиты информации к комплексной управленческой системе.

Анализ научной литературы [2-5], правовых, нормативных и методических документов РФ, регулирующих ИБ в государственных учреждениях (ГОСТ Р ИСО/МЭК 27001-2021, ГОСТ Р ИСО/МЭК 27002-2021, приказы и рекомендации ФСТЭК России, а также федеральные законы № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и № 152-ФЗ «О персональных данных») позволил представить ИБ как управляемый процесс. В нормативных документах по защите информации подчёркивается необходимость определения ролей и ответственности, документирования процессов, оценки рисков, контроля эффективности мер защиты и постоянного совершенствования системы. Государственное учреждение рассматривается как социально-техническая система, в которой уровень ИБ определяется не только техническим состоянием средств защиты, но и качеством управленческих решений, организационной культурой и дисциплиной исполнения. Следовательно, интеграция СМИБ в систему общего управления предполагает её согласование со стратегическими целями учреждения, распределение ответственности на уровне руководства и включение вопросов ИБ в процессы планирования, контроля и анализа деятельности. Именно такой подход позволяет перейти от реактивного реагирования на инциденты к проактивному управлению рисками ИБ.

Ключевым положением СМИБ является ориентация на риск-ориентированный подход, который соответствует современным принципам СМК и государственного управления. В рамках СМИБ ИБ рассматривается через призму рисков, возникающих в результате воздействия угроз на уязвимости информационных активов. Для государственного учреждения это означает необходимость систематической идентификации информационных ресурсов, оценки их значимости для выполнения государственных функций и анализа возможных последствий нарушения конфиденциальности, целостности и доступности информации [5]. В отличие от традиционного подхода, при котором набор мер защиты формировался на основе формальных требований или типовых решений, риск-ориентированная модель позволяет обосновывать управленческие решения в области ИБ с учётом реальных условий функционирования учреждения. Это особенно важно в государственном секторе, где ресурсы, как правило, ограничены, а эффективность их использования подлежит строгому контролю. Встраивание оценки рисков ИБ в общую систему управления рисками учреждения обеспечивает согласованность действий структурных подразделений и повышает обоснованность принимаемых решений.

СМИБ в данном контексте выступает связующим звеном между стратегическим уровнем управления и операционной деятельностью. Руководство учреждения определяет политику ИБ, цели и допустимый уровень риска, тогда как на уровне подразделений реализуются конкретные процессы и мероприятия по защите информации. Такой подход соответствует принципам процессного управления, закреплённым в стандартах серии ISO 9001, и позволяет обеспечить непрерывный цикл планирования, реализации, проверки и улучшения мер ИБ (цикл PDCA). Важно подчеркнуть, что для государственных учреждений реализация риск-ориентированного подхода в СМИБ не отменяет обязательного выполнения требований регуляторов, в том числе ФСТЭК России. Напротив, он позволяет интерпретировать эти требования как минимальный уровень защищённости, который дополняется мерами, учитывающими специфику деятельности конкретного органа или учреждения. Таким образом, СМИБ обеспечивает баланс между требованиями нормативных документов и управленческой целесообразностью.

Интеграция СМИБ в общее управление государственным учреждением предполагает формирование чёткой организационной структуры управления ИБ. В рамках современного подхода ответственность за состояние ИБ не может быть возложена исключительно на ИТ-подразделение или службу защиты информации. В соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2021 и рекомендациями ФСТЭК России ключевая роль отводится высшему руководству, которое обеспечивает лидерство, определяет политику в области ИБ и выделяет необходимые ресурсы. Для государственных учреждений это означает включение вопросов ИБ в систему стратегического и оперативного управления. Политика ИБ должна быть согласована с миссией и целями учреждения, а также с требованиями законодательства РФ. При этом сама политика выступает не формальным документом, а управленческим инструментом, задающим единые правила обращения с информацией, принципы допустимого поведения сотрудников и требования к процессам обработки данных. Организационный аспект СМИБ тесно связан с регламентацией процессов и распределением ролей. Назначение ответственных лиц, определение полномочий и зон ответственности, установление порядка взаимодействия между подразделениями позволяют минимизировать риски, связанные с несанкционированными действиями и управленческой неопределённостью. В государственных учреждениях, как правило, с разветвлённой иерархией управления, данный аспект приобретает особую значимость, поскольку именно на стыке функций и полномочий чаще всего возникают уязвимости ИБ.

Таким образом, современная СМИБ выступает как стратегический элемент государственного управления, объединяющий технические, организационные и управленческие меры. Переход к комплексному управленческому подходу обеспечивает защиту информации, устойчивость и эффективность функционирования государственных учреждений, делая ИБ неотъемлемой частью общего управления. СМИБ становится элементом организационного управления, обеспечивающим согласованность действий персонала и устойчивость управленческих процессов. ИБ в этом случае перестаёт быть внешним по отношению к управлению фактором и трансформируется во внутренний регулятор, влияющий на принятие решений, организацию деятельности и контроль исполнения.

Список литературы

1 Зубарев, С.М. Цифровые технологии в системе государственного и общественного контроля: теоретико-правовые аспекты : Монография / С.М. Зубарев, Е.А. Лебедева, С.В. Сабаева, А.В. Сладкова; под. ред. С.М. Зубарев – Москва : Проспект, 2022. – 184 с.

2 Поздняк, И.С. Планирование и управление информационной безопасностью: учебное пособие / И.С. Поздняк, И.С. Макаров, Л.Р. Чупахина. – Самара: ПГУТИ, 2020. – 69 с.

3 Шахалов, И.Ю. Основы управления информационной безопасностью современной организации/ И.Ю. Шахалов, А.В. Дорофеев // Правовая информатика. – 2013. – №3. – С. 4-14.

4 Каменев, А.В. Модель системы менеджмента информационной безопасности на предприятии (в организации) / А.В. Каменев, Е.В. Заворитько // Интеллект. Инновации. Инвестиции. – 2013. – №1. – С. 111-114.

5 Дорофеев, А.В. Менеджмент информационной безопасности: управление рисками / А.В. Дорофеев // Вопросы кибербезопасности. – 2014. – №2(3). – С. 66-73.