Scientific and analytical journal «Vestnik Saint-Petersburg university of State fire service of EMERCOM of Russia»

Научно-аналитический журнал "Вестник Санкт-Петербургского университета ГПС МЧС России"

2218-130X

101324

10.61260/2218-130X-2025-2-77-90

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

INFORMATICS, COMPUTER ENGINEERING AND CONTROL

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

DESIGN OF METHODOLOGY FOR REGULATORY LEGAL FRAMEWORK ON INFORMATION SECURITY AND PROTECTION HARMONIZATION FOR EMERCOM OF RUSSIA

ФОРМИРОВАНИЕ МЕТОДОЛОГИИ ГАРМОНИЗАЦИИ НОРМАТИВНОЙ ПРАВОВОЙ БАЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ МЧС РОССИИ

https://orcid.org/0000-0001-8146-0022

Буйневич

Михаил Викторович

Buinevich

Mikhail V.

bmv1958@yandex.ru

доктор технических наук;

doctor of technical sciences;

Санкт-Петербургский университет ГПС МЧС России Санкт-Петербург Россия Saint-Petersburg university of State fire service of EMERCOM of Russia Saint-Petersburg Russian Federation

30 06 2025

2025 2 77 90 26 02 2025 22 04 2025

https://journals.igps.ru/en/nauka/article/101324/view

Работа посвящена решению задачи гармонизации нормативной правовой базы информационной безопасности и защиты информации для МЧС России, для чего потребовалось формирование соответствующей методологии. Показаны основные противоречия предметной области в нотации категориального анализа, а именно между: устареванием и обновлением нормативной правовой базы информационной безопасности и защиты информации; количеством и качеством нормативных правовых документов; глобальными/национальными и ведомственными/государственными интересами в инфосфере. Выдвинута гипотеза, что все выявленные противоречия не являются антагонистическими, и, следовательно, смягчение их последствий может быть предметом гармонизации. Синтезированы принципы гармонизации, которые могут выступать как (принципиальные) требования к методологии и специальной информационной технологии решения прикладных задач гармонизации нормативной правовой базы информационной безопасности и защиты информации: научной обоснованности в смысле системности, логичности, необходимости и достаточности, формализуемости, однозначности и достоверности; реализуемости в смысле детерминированности, результативности и массовости, а также наличия инструментария; расширяемости в смысле пула прикладных задач и методов их решения; прагматичности в смысле базиса для выработки научно-обоснованных предложений и рекомендаций по гармонизации. Установлено, что методология, адекватная решению такой масштабной и трудноформализуемой задачи, как гармонизация нормативной правовой базы информационной безопасности и защиты информации, в настоящий момент отсутствует (или неизвестна). Дано понятие гармонизации нормативной правовой базы информационной безопасности и защиты информации в широком и узком смысле слова. Для последней определены цели: первичная – сопоставимость, вторичная – установление эквивалентности по форме/содержанию и идентичности. Приведена формальная запись собственно идеи такой гармонизации и ее вторичных целей; первичная понимается через онтологию предметной области и достигается единством сущностного алфавита разметки нормативных правовых документов. Предложена методологическая схема гармонизации нормативной правовой базы информационной безопасности и защиты информации в виде логической взаимоувязанной (по исходным данным и результатам) последовательности этапов. Приведен пример работоспособности предлагаемой методологии и определен пополняемый пул прикладных задач гармонизации нормативной правовой базы информационной безопасности и защиты информации для МЧС России. Сделаны выводы относительно новизны и практической значимости полученных результатов, а также направления дальнейших исследований.

The work is devoted to solving the problem of harmonizing the regulatory legal framework on Information Security and Protection for EMERCOM of Russia, which required creating an appropriate methodology. The main contradictions of subject area in the categorical analysis notation are shown, namely between: obsolescence and updating of the regulatory legal framework on Information Security and Protection; normative legal documents quantity and quality; global/national and departmental/state interests in the infosphere. It is hypothesized that all the identified contradictions are not antagonistic and, therefore, their mitigation can be subject of harmonization. The harmonization principles have been synthesized, which can act as (principled) requirements to methodology and special information technology for solving applied harmonization tasks of the regulatory legal framework on Information Security and Protection. First, scientific validity principle, in the sense of systematicity, logicality, necessity and sufficiency, formalisability, unambiguity and reliability. Secondly, realisability principle, in the sense of determinacy, effectiveness and massiveness, as well as the tools availability. Thirdly, extensibility principle, in the sense of the applied problems pool and methods of their solution. Fourthly, pragmatism principle, in the sense of a basis for developing evidence-based proposals and recommendations for harmonization. It has been found that there is no (or no known) methodology suitable for solving such a large and difficult to formalize task as harmonizing of the regulatory legal framework on Information Security and Protection. The harmonization notion of the regulatory legal framework is defined in a broad and narrow sense. For the latter, the objectives are defined: primary – comparability, secondary – establishment of equivalence in form/content and identity. A formalized record of such harmonization idea and its secondary aims is given; primary is understood through the ontology of subject area and is achieved by the essence alphabet unity of normative legal documents markup. A methodological scheme for harmonization of the regulatory legal framework on Information Security and Protection is proposed in the form of a logically linked (by initial data and results) stages sequence. An example of proposed methodology workability is given and a replenishable pool of the regulatory legal framework on Information Security and Protection harmonization applied tasks for EMERCOM of Russia is defined. Conclusions are drawn regarding the novelty and practical significance of the results obtained, as well as directions for further research.

информационная безопасность и защита информации нормативная правовая база принципы гармонизации методология гармонизации прикладные задачи специальная технология решения

information security and protection regulatory legal framework harmonization principles harmonization methodology applied tasks special solution technology

Буйневич М.В., Примакин А.И. Категориальный анализ проблем гармонизации нормативно-правовой базы информационной безопасности // Информационная безопасность регионов России (ИБРР-2015). 2015. С. 34–35.

Bujnevich M.V., Primakin A.I. Kategorial'nyj analiz problem garmonizacii normativno-pravovoj bazy informacionnoj bezopasnosti // Informacionnaya bezopasnost' regionov Rossii (IBRR-2015). 2015. S. 34–35.

Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности: Указ Президента Рос. Федерации от 12 апр. 2021 г. № 213. Доступ из справ.-правового портала «Гарант».

Ob utverzhdenii Osnov gosudarstvennoj politiki Rossijskoj Federacii v oblasti mezhdunarodnoj informacionnoj bezopasnosti: Ukaz Prezidenta Ros. Federacii ot 12 apr. 2021 g. № 213. Dostup iz sprav.-pravovogo portala «Garant».

Организационно-техническое обеспечение устойчивости функционирования и безопасности сети связи общего пользования / М.В. Буйневич [и др.]; под. общ. ред. С.М. Доценко. СПб.: Изд-во СПбГУТ, 2013. 142 с.

Organizacionno-tekhnicheskoe obespechenie ustojchivosti funkcionirovaniya i bezopasnosti seti svyazi obshchego pol'zovaniya / M.V. Bujnevich [i dr.]; pod. obshch. red. S.M. Docenko. SPb.: Izd-vo SPbGUT, 2013. 142 s.

Израилов К.Е., Татарникова И.М. Подход к анализу безопасности программного кода с позиции его формы и содержания // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО-2019): сб. науч. статей VIII Междунар. науч.-техн. и науч.-метод. конф. СПб, 2019. С. 462–467.

Izrailov K.E., Tatarnikova I.M. Podhod k analizu bezopasnosti programmnogo koda s pozicii ego formy i soderzhaniya // Aktual'nye problemy infotelekommunikacij v nauke i obrazovanii (APINO-2019): sb. nauch. statej VIII Mezhdunar. nauch.-tekhn. i nauch.-metod. konf. SPb, 2019. S. 462–467.

Израилов К.Е. Моделирование программы с уязвимостями с позиции эволюции ее представлений. Часть 1. Схема жизненного цикла // Труды учебных заведений связи. 2023. Т. 9. № 1. С. 75–93. DOI: 10.31854/1813-324X-2023-9-1-75-93.

Izrailov K.E. Modelirovanie programmy s uyazvimostyami s pozicii evolyucii ee predstavlenij. Chast' 1. Skhema zhiznennogo cikla // Trudy uchebnyh zavedenij svyazi. 2023. T. 9. № 1. S. 75–93. DOI: 10.31854/1813-324X-2023-9-1-75-93.

Израилов К.Е. Моделирование программы с уязвимостями с позиции эволюции ее представлений. Часть 2. Аналитическая модель и эксперимент // Труды учебных заведений связи. 2023. Т. 9. № 2. С. 95–111. DOI: 10.31854/1813-324X-2023-9-2-95-111.

Izrailov K.E. Modelirovanie programmy s uyazvimostyami s pozicii evolyucii ee predstavlenij. Chast' 2. Analiticheskaya model' i eksperiment // Trudy uchebnyh zavedenij svyazi. 2023. T. 9. № 2. S. 95–111. DOI: 10.31854/1813-324X-2023-9-2-95-111.

Буйневич М.В., Израилов К.Е. Аналитическое моделирование работы программного кода с уязвимостями // Вопросы кибербезопасности. 2020. № 3 (37). С. 2–12. DOI: 10.21681/2311-3456-2020-03-02-12.

Bujnevich M.V., Izrailov K.E. Analiticheskoe modelirovanie raboty programmnogo koda s uyazvimostyami // Voprosy kiberbezopasnosti. 2020. № 3 (37). S. 2–12. DOI: 10.21681/2311-3456-2020-03-02-12.

Modeling the Development of Energy Network Software, Taking into Account the Detection and Elimination of Vulnerabilities / I. Kotenko [et al.] // Energies. 2023. Vol. 16. Iss. 13. P. 5111. DOI: 10.3390/en16135111.

Буйневич М.В. Методы искусственного интеллекта в решении задачи гармонизации нормативно-правового обеспечения пожарной и информационной безопасности для интегрированных систем защиты информации // Пожарная безопасность: современные вызовы. Проблемы и пути решения: материалы Всерос. науч.-практ. конф. СПб, 2024. С. 29–34.

Bujnevich M.V. Metody iskusstvennogo intellekta v reshenii zadachi garmonizacii normativno-pravovogo obespecheniya pozharnoj i informacionnoj bezopasnosti dlya integrirovannyh sistem zashchity informacii // Pozharnaya bezopasnost': sovremennye vyzovy. Problemy i puti resheniya: materialy Vseros. nauch.-prakt. konf. SPb, 2024. S. 29–34.

10.

Методика оценки угроз безопасности информации: метод. документ (утв. ФСТЭК России 5 февр. 2021 г.). Доступ из справ.-правового портала «Гарант».

Metodika ocenki ugroz bezopasnosti informacii: metod. dokument (utv. FSTEK Rossii 5 fevr. 2021 g.). Dostup iz sprav.-pravovogo portala «Garant».

11.

Концепция информационной безопасности МЧС России (утв. решением коллегии МЧС России от 4 июня 2019 г. № 4/I). Доступ из справ.-правового портала «Гарант».

Koncepciya informacionnoj bezopasnosti MChS Rossii (utv. resheniem kollegii MCHS Rossii ot 4 iyunya 2019 g. № 4/I). Dostup iz sprav.-pravovogo portala «Garant».

12.

Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11 февр. 2013 г. № 17. Доступ из справ.-правового портала «Гарант».

Ob utverzhdenii trebovanij o zashchite informacii, ne sostavlyayushchej gosudarstvennuyu tajnu, soderzhashchejsya v gosudarstvennyh informacionnyh sistemah: prikaz FSTEK Rossii ot 11 fevr. 2013 g. № 17. Dostup iz sprav.-pravovogo portala «Garant».

13.

Меры защиты информации в государственных информационных системах: метод. документ (утв. ФСТЭК России 11 февр. 2014 г.). Доступ из справ.-правового портала «Гарант».

Mery zashchity informacii v gosudarstvennyh informacionnyh sistemah: metod. dokument (utv. FSTEK Rossii 11 fevr. 2014 g.). Dostup iz sprav.-pravovogo portala «Garant».