<<
>>

2.2. Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации

Как отмечалось, в системе национальной безопасности России особая роль принадлежит обеспечению ИБ, безопасности информации и защиты информации. По нашему мнению, их следует рассматривать как комплекс мер (правовых, организационных, технических), принимаемых федеральными органами власти, органами власти субъектов РФ по выявлению, предупреждению и противодействию разноплановым угрозам.

Ниже рассматриваются примеры, которые могут послужить введением в существо проблемы.

Информационные технологии в настоящее время используются во всех сферах жизнедеятельности общества. Без них практически невозможно создать продукт, оказать услугу и, тем более, обеспечить информационную безопасность, безопасность информации и защиту информации. Необходимо отметить, что особая роль в этом вопросе отводится органам власти, которые являются основными «производителями» информации в России. И, как справедливо отмечают некоторые авторы [1], «именно информация, идущая от них, представляет собой самый важный ресурс, необходимый для жизни каждого гражданина и для деятельности всех участников рынка», поэтому, продолжают они, «...органы исполнительной власти обязаны постоянно использовать новые технологии для распространения информации, необходимой обществу...», и, в частности, «...необходимо облегчить их доступ (общества - прим. Е.А.) в органы исполнительной власти через российский сегмент международной ассоциации сети Интернет», так как сайты обозначенных органов «...содержат всю общест- венно значимую информацию об их структуре, задачах, функциях и текущей деятельности».

В федеральной щелевой; программе «Электронная! Россия (2002 - 2010 годы)» [36] (ФЦП «Электронная^ Россия»), которая рекомендована; к реализации органам исполнительной власти субъектов-РФ; отмечается, что по мере развития; и проникновения информационных и коммуникационных технологий во все-сферы;общественной жизни органы власти все чаще используют их для организации' эффективного- управления своей, деятельностью и повышениям качества предоставляемых.услуг населению. Использование таких технологий в со- врсменном информационном обществе является необходимым условием: обеспечения, соответствйягосударственного управления ожиданиям и потребностям населения..

Вместе с тем, ФЦП; «Электронная Россия»- [36] преследует своей целью обеспечение защиты, и безопасности данных, используемых, для; целей государственного управления, нрав граждан на защиту персональных данных- и реализацию их законных интересов: при информационном, взаимодействии с органами; власти, так. как; не: сформирована инфраструктура; обеспечивающая ИБ электронных форм;взаимодействия органов власти между собой, с населением и организациями. И,, как, справедливо отмечает Мирошниченко М.В; [27], сегодня «система, обеспечения национальной безопасности России не справляется? с постояннымростом источников опасностей, их качественным изменением, растущим разнообразием угроз; и их комбинаций), а также с оценкой интегрального состояния безопасности и выработкой решений по блокированию угроз». Мы по-, лагаем, что данное высказывание можно отнести и к системе обеспечения ИБ, так как она является неотъемлемой частью национальной безопасности России.

На наш взгляд, следует также согласиться с мнением Идрисова РФ; [18] о том, что защита информации;должна носить комплексный характер, поскольку при постоянно меняющейся международной обстановке «...деятельность технических разведок развитых иностранных государств по добыче...» информации «...не сокращается и эти государства продолжают принимать меры, по по- вышению её эффективности», при этом «...значительный интерес для технических разведок стала представлять не только секретная, но и служебная информация, не относящаяся к категории секретной, но позволяющая путём анализа и сопоставления содержащихся в ней сведений получить важную информацию», порой информацию, содержащую сведения, составляющие государственную тайну.

Здесь следует добавить, что такого рода деятельностью занимаются не только иностранные спецслужбы, но и террористические организации, юридические и физические лица (в том числе, государственные служащие), а также криминальные структуры.

Данная проблема особенно актуальна для органов власти субъектов РФ [41], так как по результатам деятельности Управления ФСТЭК России по СЗФО выявляются факты нарушения названными органами требований нормативных правовых актов, нормативно-методических и методических документов в области защиты информации, что предполагает потенциальную возможность утраты, нарушения целостности, доступности и утечки такой информации. Указание законодателя на необходимость неукоснительного соблюдения данных требований было продиктовано, по нашему мнению, тем, что в органах власти субъектов РФ в связи с активным использованием ИТ значительную часть бумажных информационных ресурсов стали конвертировать, хранить, обрабатывать, передавать с использованием информационных систем. Данные системы изначально строились и эволюционно развивались на условиях открытости, однако в процессе использования этих систем стали накапливаться огромные массивы общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информация ограниченного доступа), разглашение, утрата, нарушение целостности, достоверности которой могли нанести значительный ущерб.

При этом вопрос развертывания механизмов ЗИ в органах власти, как правило, не рассматривался, что породило множество проблем, связанных с безопасностью информации, а именно: возможность утечки информации по техническим каналам; несанкционированное уничтожение, искажение, копиро- вание, блокирование информации в системах информатизации; применение не- сертифицированных средств защиты информации, в том числе и криптографической; нарушение правового режима использования массивов, программ обработки информации, обеспечения полноты, целостности, достоверности информации в системах обработки; отсутствие возможности управления процессом обработки и пользования информацией; отсутствие статистического учёта фактов нарушения режима защиты информации.

Именно поэтому в [33] отмечено, что защита информации в системах и средствах информатизации и связи является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах власти и на предприятиях, располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайнам.

Согласно п.п. 2 п. 4 ст. 6 [63] обладатели информации при осуществлении своих прав обязаны принимать меры по ЗИ, под которыми* понимается организация и реализация правовых мер, основанных на федеральных и региональных нормативных правовых актах; организационных мер, определяющих стратегические, долгосрочные решения по организации системы защиты информации, обязательные для исполнения не только учреждениями, но и всеми организациями и предприятиями, независимо от их подчиненности, так или иначе сталкивающихся (обрабатывающих, передающих или пользующихся) с информационными ресурсами органов власти субъектов РФ; технических мер, определяющих конкретные решения по организации защиты элементов технических средств.

По мнению Фатьянова А.А. [37], «...на рубеже 90-х годов XX века окончательно прояснилась ситуация, при которой дальнейшая автоматизация средств телекоммуникации и управления неизбежно делает их более уязвимыми от негативных последствий, в результате которых возможны катастрофиче- J ские последствия для экономики и обороны страны».

На наш взгляд, на нынешней стадии развития информационного общества «информационные технологии» представляют собой орудие труда, а предме- тами труда являются «информация» и «знания», а, по мнению Ю.Г. Просвир- нина [40], общественные отношения в постиндустриальном обществе «...во многом определяются именно этим обстоятельством», соответственно «...экономика общества ориентирована на производство прежде всего продуктов информационной и интеллектуальной деятельности, связанных с получением новой информации и новых знаний, и реализацией этих продуктов». Развивая свою мысль, автор утверждает, что «...государственные структуры призва- , ны решать задачи по созданию эффективной системы обеспечения прав граждан и социальных институтов...».

Мы солидарны с данной позицией, однако, следует добавить, что в соответствии с Конституцией РФ неотъемлемое право граждан - право на безопасность, а обеспечивать безопасность - одна из основных функций любого государства, которая, носит комплексный, собирательный характер.

Для достижения выше обозначенной цели в ФЦП «Электронная Россия» [36] предполагается сформировать систему стандартов и методических рекомендаций по управлению внедрением информационных и коммуникационных технологий в государственное управление, по разработке и внедрению государственных информационных систем. В рамках указанных мероприятий предполагается разработать прежде всего единые требования к информационным и коммуникационным технологиям, используемым для организации процессов государственного управления, и требования к программным решениям и технологиям, используемым для создания государственных информационных систем и обеспечения их информационного взаимодействия, а также процедуры установления соответствия программных решений и технологий для создания государственных информационных систем сформированным требованиям.

Отражение такой идеологии мы находим в «Концепции региональной информатизации до 2010 года» [47], основной целью которой также является обеспечение ИБ региональных и муниципальных информационных систем, информационно-телекоммуникационной инфраструктуры на территории субъек- ' тов РФ. Сама же государственная политика в сфере региональной информати- зации основывается на принципе обеспечения безопасности информационных систем, их защиты, сохранности, целостности и достоверности.

- /

В целях обеспечения информационной открытости деятельности органов власти субъектов РФ, органов местного самоуправления, а также информирования населения о результатах социально-экономического развития региона и отдельных муниципальных образований в рамках электронного правительства региона предусматривается создание в сети Интернет сайтов органов власти субъектов РФ и органов местного самоуправления. Информация, размещаемая на данных сайтах, является открытой, общедоступной, однако, собственник (обладатель, оператор информационной системы) должен обеспечить её защиту.

В целях обеспечения защиты электронного правительства региона, его - отдельных подсистем, региональных информационных систем и информационного обмена от несанкционированного доступа, изменения и хищения, а также в целях борьбы с компьютерными вирусами и предотвращения утечек информации должна быть сформирована единая политика обеспечения ИБ и реализована соответствующая подсистема.

Политика обеспечения ИБ должна устанавливать общую модель угроз в сфере ИБ электронного правительства региона, классификацию объектов электронного правительства региона по необходимому уровню обеспечения ЗИ и общие требования к ним, критерии отнесения объектов системы электронного

/

правительства региона к системам, требующим защиты, и перечень необходимых мер по обеспечению их защиты, порядок согласования требований к отдельным подсистемам электронного правительства региона, а также аттестации объектов электронного правительства региона, порядок доступа к подсистемам электронного правительства региона.

Подсистема обеспечения ИБ электронного правительства региона включает функции осуществления доступа к подсистемам, регистрации и учёта действий пользователей при работе с системой, мониторинга нарушений в области

ИБ, обеспечения антивирусной защиты, а также обеспечения ЗИ при её передаче и обработке с использованием сертифицированных средств.

Как видно из вышеизложенного, разработка модели угроз и их анализ является приоритетным элементом обеспечения защиты электронного правительства региона, его отдельных подсистем, региональных информационных систем и информационного обмена.

Тем более, что применение новых безопасных ИТ и С в органах власти РФ многообещающе и перспективно «...как в плане повышения эффективности работы органов исполнительной власти, так и в плане совершенствования их отношений с гражданами...». Применение же самих технологий и систем «... облегчают и ускоряют связь между гражданами и органами исполнительной власти; ликвидируют ограничения, налагаемые расписанием работы или географической1 удаленностью (или другими факторами) органов исполнительной власти, и обеспечивают: доступность информации (возможность ее использования в установ- ' ленном режиме); подлинность информации (получение информации в полном виде, без посредников); обязательность коммуникационных процессов (надежность, законность); конфиденциальность (информация используется только теми, кто имеет на это право) и другие условия» [1].

Применение ИТ и С «...позволяет сделать исполнительную власть более «прозрачной» и более эффективной в отношениях с гражданами, для которых «открытость» органов исполнительной власти - ключевой вопрос демократии» [1]. Поэтому применение средств адекватной защиты таких ИТ и С является неотъемлемой частью их жизненного цикла.

В любом случае «...технология рано или поздно становится технологией информационной: если не целиком, то по крайней мере отдельные ее компоненты имеют отношение к ИТ» [20], так как ИТ и С — прежде всего' инструмент, который служит для достижения поставленных целей путем координации производственных процессов. Обладание таким инструментом в совокупности со знаниями знание составляют основу здоровой, растущей экономики.

ИТ и С — это ядро, т.е. единство аппаратного (Hardware), программного (Software), алгоритмического (интеллектуального) обеспечения (Brainware, knoware) и сети поддержки, направленное на достижение определенной цели. «Если отсутствует хоть один из компонентов или он неадекватен, мы не может говорить об ИТ и С, по крайней мере в сфере бизнеса, что бы ни утверждали по этому поводу специализированные журналы или эксперты» [20].

Правомерно возникает вопрос, почему же ИТ и С, а не информационные технологии? Информационные технологии в отличие от технических информационных технологий не могут существовать сами по себе. Информационная технология реализуются только тогда, когда имеется взаимосвязь с другими информационными технологиями, объединенными в сети или системы. Таким образом ИТ и С - означает не только ядро и сеть поддержки, но и слияние различных сетей в более крупные системы (системы технологий), на основе которого (слияния) вырастают экономические показатели.

В [63] под «информационными технологиями» понимаются - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения' информации и способы осуществления таких процессов и методов; а под «информационной системой» - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Однако следует согласиться с мнением А.В. Нестерова [28] о том, что определение «информационные технологии» определением не является, так как содержит в себе только совокупности элементов, которые входят в обеспечивающую технологию некоторых процессов, и не включает ни структурных, ни функциональных свойств самой технологии. Исходя из предпосылки, что метод - это описание конечной последовательности операций, приводящей к искомому, результату, а способ - описание неопределенной совокупности операций, могущей привести к искомому результату, а вместе они процедура (описание процесса), то тогда мы различаем термины процесс и процедура, что нельзя сказать о Федеральном законе РФ [63]. Сама информационная технология является ча- стью информационной системы, в которую еще входят информация баз данных и технические средства.

В.И. Ярочкин и Я.В. Бузанова дают следующее определение «информационной системы» - это организационно-информационная совокупность информационных ресурсов, технических средств, технологий, реализующих информационные процессы в традиционном и автоматизированных режимах для удовлетворения информационных потребностей [72].

Таким образом, мы выяснили, что органы власти в своей деятельности используют ИТ и С как российского производства, так и иностранного производства (в большинстве случаев). К ИТ и С иностранного производства российским законодательством предъявляются особенные («жесткие») требования. Однако недостаток подготовленных специалистов в области защиты информации в органах власти способствует нарушению законодательства в области защиты информации. Это законодательство довольно обширно, существует целый блок нормативных правовых, нормативных методических и методических документов, соблюдение и исполнение требований которых на местах позволит обеспечить надлежащий уровень защиты ИТ и С.

/

Непосредственно вопрос защиты информации органов власти*рассматри- вается в следующем подразделе.

<< | >>
Источник: Проценко Евгений Александрович. Модель и метод анализа эффективности систем защиты информации сайтов органов власти Российской Федерации: Диссертация на соискание учёной степени кандидата технических наук, Санкт-Петербург, 2008. 2008

Еще по теме 2.2. Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации:

  1. 2.2. Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации
  2. 2.3. Защита информации органов власти Российской Федерации как механизм реализации государственной политики в области обеспечения информационной безопасности России
  3. Глава 3. СОЗДАНИЕ МОДЕЛИ УГРОЗ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ САЙТОВ ОРГАНОВ ВЛАСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
  4. 3.2. Определение, классификация, формализованное описание подходов к выявлению источников угроз системам защиты информации сайтов органов власти Российской Федерации
  5. 3.3. Модель угроз системам защиты информации сайтов органов власти Российской Федерации
  6. 3.4. Методика построения модели угроз системам защиты информации сайтов органов власти Российской Федерации
  7. 49. ТИПЫ ИЗБИРАТЕЛЬНЫХ СИСТЕМИ ИХ ИСПОЛЬЗОВАНИЕ В ФОРМИРОВАНИИ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
  8. 4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
  9. 8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
  10. 9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
  11. 5. Система нормативно-правовых актов в Российской Федерации
  12. Система нормативных правовых актов в Российской Федерации
  13. Статья 4. Информационное обеспечение контрактной системы в сфере закупок
  14. Конвергенция информационных технологий и методов дистанционного зондирования для построения аэрокосмического экологического мониторинга мегаполисов
  15. § 1. Информационные технологии как предмет уголовнопроцессуального регулирования