Информационные стандарты

     Введение

     Сегодня люди ежедневно используют Интернет для просмотра биржевых котировок, приобретения потребительских товаров  и чтения свежих новостей. И зачастую этого уровня взаимодействия вполне достаточно. Но основанная на передаче только текстовой информации Сеть не обеспечивает должного взаимодействия программ, особенно при пересылке большого объема информации. Требуется более действенный способ кооперации приложений, использующий автоматическое выполнение команд.

     Частным лицам и компаниям, занимающимся коммерцией с использованием сети Интернет, необходим способ публикации ссылок на их приложения и данные, практически такой же, как при публикации ссылок на их веб-страницы. Интернет-приложения должны иметь возможность находить другие интернет-приложения, обращаться к ним и автоматически взаимодействовать с ними. Обеспечивая "общение" между программами, веб-сервисы расширяют возможности Интернета. За счет поддержки веб-сервисов размещенные в различных узлах Интернета приложения могут взаимодействовать непосредственно, как будто они являются частью одной крупной информационной системы.

     Но  тут же возникает вопрос об информационной безопасности, которая  играет сегодня  огромную роль в сфере высоких  технологий, где именно информация (особенно цифровая) становится одновременно «продуктом и сырьём». Огромный мегаполис IT построен на всемирных реках данных из разных точек планеты. Её производят, обрабатывают, продают и, к сожалению, зачастую воруют. Потому жизненно необходимы методы защиты информации для любого человека современной цивилизации, особенно использующего компьютер. «Технические» и «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.

     До  последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

     Существуют, так называемые, правовые меры обеспечения  информационной безопасности.  К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

     Каждому из нас как потребителю, так и  просто человеку хочется потреблять качественную продукцию. Этой задачей  занимаются различные организации  по стандартизации, сертификации, метрологии. В каждом отдельном государстве существуют собственные службы, ведомства, агентства, которые занимаются этими вопросами.

     Сегодня как никогда прежде актуальным становится и вопрос стандартизации процессов  представления информации и обмена данными, а также совместимости различных систем и сервисов. Во всем мире этому вопросу уделяется очень большое внимание - как на государственном уровне, так и в среде технологических компаний.  
Развитие общества в настоящее время еще характеризуется и динамичной трансформацией системы международных отношений, процессами глобализации, актуальностью построения единого информационного пространства, все более острым становится вопрос международного обмена  электронными  документами. Главной целью ФЗ “Об участии в международном информационном обмене” является создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. 

Веб-сервисы  и стандарты информационного  обмена

Структура веб-сервиса

     Для описания функциональных особенностей работы сервисов и клиентских интерфейсов, а также для организации доступа  к сервисам отдельных информационных систем используются протоколы WSDL (Web Services Description Language) и SOAP (Simple Object Access Protocol). Стандартом на структуру предоставляемых данных и документы выступает XML (eXtended Markup Language), широко применяемый для создания информационных ресурсов в последнее время благодаря его универсальности и независимости от используемой платформы.  
 
 
 

Использование XML

     Так, например, в Великобритании для работы «электронного правительства» организован  Шлюз государственных служб (Government Gateway), предоставляющий гражданам  и частным компаниям доступ ко всем органам власти по сети интернет. Каждое из ведомств может создавать и использовать свою собственную независимую компьютерную систему и задавать свои бизнес-процессы, однако на уровне единой среды взаимодействия используется общий формат. Таким образом, в качестве единой информационной среды использована уже существующая коммуникационная сеть, а вся информация предоставляется в стандарте XML. Это позволяет людям и организациям просто и согласованно получать доступ к любому государственному учреждению, ведомству или органу местной власти и обмениваться с ним информацией. Любые устройства и информационные системы — персональные компьютеры, веб-серверы, порталы, цифровые телевизоры, интернет-киоски — способны отправлять информацию на языке XML в Government Gateway, где с помощью реализованных там правил будет определяться организация, для которой эта информация предназначена. Кроме того, правила обработки определяют способ дальнейшей передачи данных. После этого информация поступает в соответствующее ведомство, а в случае необходимости Шлюз государственных служб может преобразовать ее в понятный для конечной системы формат.  

     Пример  взаимодействия в рамках среды электронного взаимодействия eGIF Великобритании

     Аналогично  подошли к выбору стандартов и  в некоторых других европейских  странах – Германии, Дании, а также в США.

     В России также принят курс на использование  общемировых стандартов. Так, глава  дирекции ФЦП «Электронная Россия», первый замминистра РФ по связи и  информатизации Андрей Коротков еще  в 2002 г. заявил: «...Дирекция программы  приняла решение о том, что все информационные системы, создаваемые в рамках ФЦП будут базироваться на принципах построения международного регистра, универсального описания поиска и интеграции данных. Это так называемый регистр UDDI, позволяющий не только регистрировать и находить информацию, но и организовывать взаимодействие между базами данных. При формировании каталогов, которые будут создаваться в рамках «Электронной России», мы договорились, что будем использовать стандарт XML. Он позволяет всем информационным системам экспортировать уже хранящуюся в их справочниках информацию в регистр без проведения дополнительных операций, при этом постоянно совершенствуется и развивается». 
 
 
 
 
 
 
 
 
 
 
 
 
 

Пример интеграции

     Кроме того, на федеральном уровне ведется  работа по подготовке единых стандартов на данные и метаданные (то есть правила описания данных, их структуры и содержимого):

• Создается каталог стандартных государственных данных. Этот каталог должен описывать элементы и типы данных, используемых при разработке согласованных XML-схем официальных государственных документов и сообщений, а также в соответствующих стандартах административных регламентов и услуг.
• Каталог стандартных XML-схем документов и сообщений, содержащий их все согласованные и утвержденные схемы, используемый ведомствами при создании ЭАР и в процессе обмена информацией между собой.
• Стандарт на метаданные также играет весьма большое значение, поскольку именно метаданные позволяют эффективно искать информацию и создавать архивы с записями электронных документов.

     Наглядно  представить структуру стандартов и методик, которые необходимо создать  в рамках реализации ЭАР, можно в  виде следующей схемы.

Единая  государственная схема создания ЭАР

     Стандарты информационной безопасности

     Развитие  информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

     Учитывая  важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

     Это положение особенно актуально для  так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного  доступа, не содержащую государственную  тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

Международный стандарт информационной безопасности

     Общеизвестно, что стандартизация является основой  всевозможных методик определения  качества продукции и услуг. Одним  из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

     Принятый  в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень  важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

     Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для  последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

     Выпуск  и внедрение этого стандарта  за рубежом сопровождается разработкой  новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.  
 
 
 

     Реализация  системы Международного информационного  обмена конфиденциальными  электронными документами  при трансграничном информационном взаимодействии

     В соответствии с Концепцией формирования информационного пространства Содружества Независимых Государств должны быть определены необходимые условия для реализации комплекса мероприятий по дальнейшему развитию межгосударственных информационных обменов на принципах независимости и взаимо выгодности, использования международных стандартов при создании и развитии информационных систем, широкого применения техники и технологий государств-участников СНГ. Одной из важнейших задач Концепция определила разработку и принятие межгосударственных документов о трансграничном распространении информационной продукции. При этом, важнейшей проблемой при организации трансграничного информационного взаимодействия является обеспечение каждой из сторон собственной информационной безопасности и защиты своего информационного суверенитета. Трансграничное информационное взаимодействие должно осуществляться в соответствии с законодательствами стран-участников этого