Система обеспечения информационной безопасности в государственном учреждении

Взаимосвязь национальной и международной информационной безопасности включает соблюдение международных  договоров и соглашений по обеспечению  информационной безопасности, заключенных  или признанных Российской Федерацией.

Системность требует  рассматривать проблему информационной без-опасности как подсистему национальной безопасности, с учетом возможных каналов утечки информации и несанкционированного доступа к ней, а также комплексного применения правовых, организационных и технических меро-приятий обеспечения информационной безопасности.

Обоснованность предполагает необходимость глубокого научного обоснования принимаемых решений  и проводимых мероприятий по обеспечению  информационной безопасности, всесторонней оценки их реали-зуемости.

Комплексность предусматривает  обеспечение информационной без-опасности от:

- нарушения физической целостности (искажения или уничтожения дан-ных);

- нарушения логической целостности (искажения или уничтожения связей между элементами данных);

- несанкционированной модификации (изменения содержания) информа-ции;

- несанкционированного получения информации (шпионажа);

- несанкционированного размножения (присваивания права собственности) информации.

Достаточность означает необходимость поиска эффективных  и надеж-ных мер обеспечения информационной безопасности без излишних затрат. Обеспечивается применением надежных методов и средств защиты. Способ-ствуют соблюдению баланса интересов государства и отдельных организаций (предприятий), граждан.

Своевременность предполагает заблаговременную, до начала проведения секретных работ, разработку мер  защиты и контроля. Несвоевременное  проведение мероприятий по обеспечению  информационной безопасности могут  не только снизить ее эффективность, но и привести к дополнительному  раскрытию защищаемой информации.

Экономическая эффективность  достигается минимизацией затрат для  обеспечения информационной безопасности с учетом ее целесообразности ис-ходя из ценности защищаемой информации. 
 
 
 
 
 

1.4. Законодательство  и регулирование отрасли

информационной безопасности 

В 2005-2006 годах правительство  плотно взялось за создание и совершенствование  законодательства в сфере информационных технологий и информационной безопасности.

Наряду с повышенным вниманием, уделяемым вопросам национальной безопасности, наблюдается медленная, но уверенная тенденция либерализации  отношений с Западом.

Не первый год  эксперты говорят о росте комплексности  на рынке информационной безопасности. Продукты информационной безопасности усложняются функционально и  врастают в интегрированные решения, сами разработчики и поставщики ИБ постепенно переходят к системной  интеграции, естественным путем, при  этом вытесняя с рынка более слабые компании. Крупные игроки успешно  растут, приводя на рынок зарубежных поставщиков и беря на себя все  больше направлений. Продолжают работать давнишние и опытные поставщики отечественных решений, разнокалиберные  дистрибьюторы западных фирм и др. На все эти процессы естественного  рыночного отбора влияет, так или  иначе, «высшая сила» российского  рынка информационной безопасности — государство.

Обязательным выводом  множества отчетов конца 2005 —  начала 2006 года о состоянии рынка  информационных технологий в России было подчеркивание роли госсектора и его динамично увеличивающихся  расходов на информатизацию, в составе  которых в некотором количестве присутствуют и затраты на защиту данных в информационных системах.

Доля госзаказов на рынке информационных технологий, по оценкам аналитиков, составляет около 20%, в сфере информационной безопасности она превышает 50%. [33]

Оснащение информационными  технологиями российского госсектора в 2005-2006 годах стало во многом политическим вопросом. Уже реализуется немало масштабных государственных проектов, среди которых перевооружение информационными  технологиями силовых ведомств, Федерального казначейства, ФТС и ФНС; проект создания электронных «биопаспортов» и госпрограммы ГАС «Правосудие», ГАС «Выборы» и  многое другое.

Согласно проекту  «Электронное правительство» («Концепции использования информационных технологий в деятельности федеральных органов  государственной власти») к 2010 году системы электронного документооборота будут внедрены во всех федеральных  органах власти, электронными станут более 70% всех документов, автоматизацией аналитики и операций с ними займутся корпоративно-ведомственные порталы, а ведомственные информационные системы обретут всеобщую совместимость.

Роль информационной безопасности во всем этом очевидна: разграничение  многоуровневого доступа разнообразных  пользователей, аутентификация и сохранение целостности данных с помощью  электронной цифровой подписи, защита центральных хранилищ данных и каналов  межведомственной связи и т.д. —  и все это, разумеется, с помощью  сертифицированных средств защиты, что является обязательным для любых  государственных учреждений.

Построение «электронного  правительства» должно быть обеспечено правовой основой. Отчасти на это  повлияло и стремление России в ближайшее  время вступить в ВТО с его  уровнем информационного развития — то есть войти в общее поле с другими государствами, в котором  на нас будут распространяться некоторые  общие нормы информационного  обмена и безопасности информации.

Переданные в сентябре 2005 в Госдуму проекты ФЗ «О ратификации  конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»  и «О персональных данных» вызвали  полемику не только среди экспертов, но и среди известных правозащитников  и общественных организаций, а также  Русской Право-славной церкви. И это еще одна особенность последнего времени. Можно сказать, что впервые проблемами информационной безопасности озаботилось все общество, потому что они коснулись и еще больше могут коснуться всех и каждого в самом ближайшем будущем.

Проблема использования  персональных данных и ограничения  доступа к ним стала темой  публицистики не только специальных, но и «народных» СМИ: об урезании свободы  интернета, персонификации при предоставлении ранее анонимных интернет-услуг  и услуг связи, негласном просмотре  личной информации и переписки госорганами  или, напротив, криминальными структурами, незаконном раскрытии баз данных государственных организаций и  учреждений — и, в целом, нарушении  неприкосновенности частной жизни. Закон «О персональных данных» для решения этой проблемы, с одной стороны, и для всей отрасли информационной безопасности с другой стал неким поворотным моментом.

С 1 января 2007 года в  России вступил в силу ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации» (основа — ISO 17799) и ожидается принятие ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования» (основа — ISO 27001, ранее BS 7799:2). О необходимости принятия этих стандартов официальные регулирующие органы РФ заговорили еще в 2004 году, отмеченном общей либерализацией рынка информационной безопасности и принятием российских «Общих критериев».

Интерес к получению  сертификатов соответствия этим международным  стандартам уже демонстрируют российские компании — прежде всего банки, кредитно-финансовые организации и предприятия, активно  работающие на зарубежных рынках. Ряд  ведущих компаний начали работу по построению систем управления информационной безопасностью в соответствии с ISO 17799 и принятию корпоративных стандартов на его базе. Для участников рынка  информационной безопасности появление  новых требований к организации  безопасных информационных систем также  выгодно: появятся заказы на системы, соответствующие  стандартам, и на услуги аудита существующих систем. Опыт внедрения таких проектов можно будет использовать в рекламе  так же, как сейчас используются упоминания об имеющихся лицензиях  и сертификатах ФСБ и ФСТЭКа.

В ближайшей перспективе  — пополнение информационного права  РФ новыми законами «Об электронной  подписи», «Об электронном документе», «О доступе к информации». Закон  «Об электронной цифровой подписи» существует с 2002 года, и сейчас обсуждается  уже 3-я его редакция. Этот нормативный  акт должен был создать правовую базу для повсеместного использования  электронной подписи при обмене информацией в электронном виде, но применение его на практике никак  не достигнет совершенства. Так, 2-я  редакция закона оставила открытыми  юридические проблемы работы Удостоверяющих Центров(УЦ) и использования сертификатов открытых ключей, нет процедур проверки электронной цифровой подписи при судебных разбирательствах спорных случаев. Однако за время существования закона появились «корневой» и ряд простых государственных УЦ, а многочисленные корпоративные УЦ успешно работают во внутренних системах электронного документооборота компаний.

В своей 3-й редакции закон «Об электронной подписи» вобрал в себя регулирование использования  любых аналогов собственноручной подписи (не только цифровых) и предусматривает  разнообразные виды самой электронной  подписи — в порядке усложнения и надежности: подпись для простого указания личности подписавшего, подпись  для подтверждения целостности  документа, подпись с сертификатом аккредитованного УЦ. Новый закон  по-прежнему относится к гражданско-правовым отношениям и не касается государственных  систем обмена данными (налоговой и  бухгалтерской отчетности, государственной  регистрации и нотариальных операций).

Сертификация и  лицензирование на российском рынке  информационной безопасности по-прежнему обеспечивает жесткие условия существования  его участникам со стороны государства.

ФСБ занимается лицензированием  деятельности, связанной со средства-ми шифрования (проектированием, производством, распространением и обслуживанием шифровальных средств или защищенных с их помощью информационных и телекоммуникационных систем и комплексов) и их сертификацией для использования государственными предприятиями или для защиты информации высокой степени конфиденциальности.

Некоторые эксперты отмечают рост влияния ФСБ как  основного регулирующего органа в сфере информационной безопасности. Вобрав в себя ФАПСИ в ходе административной реформы, ФСБ унаследовала все полномочия этой организации в плане лицензирования и сертификации на рынке средств криптографии. Кроме того, национальную значимость прочат системе сертификации, которую ФСБ создает в рамках проекта Федеральной миграционной службы.

ФСТЭК ведает лицензированием  деятельности по защите информации и  сертификацией средств защиты информации вообще (в том числе средств  аутентификации, межсетевых экранов  и т.д.). Одно из подразделений ФСТЭК  отвечает за лицензирование ввоза/вывоза средств шифрования в Россию или  из нее.

Компании, постоянно  работающие в области информационной безопас-ности с российскими силовыми ведомствами, лицензирует также Министерст-во Обороны РФ.

Сертификация в  ФСБ и ФСТЭКе проводится с предоставлением  исход-ных кодов программных продуктов  на предмет проверки корректности реализации методов защиты и отсутствия различных уязвимостей, а также отсутствия недокументированных закладок.

ФСТЭК занимает позицию  сравнительной лояльности к международным  стандартам и к заграничным продуктам  информационной безопасности: его усилиями в России введен в действие ГОСТ ИСО\МЭК 15408-2002, и хотя еще нет взаимного  признания сертификатов по этому  стандарту, уже сделаны подвижки в сторону упрощения сертификации и лицензирования импортируемых  средств информационной безопасности.

Попытка еще более  ужесточить внутреннюю политику России в области информационной безопасности была сделана в ходе принятия закона «Об ин-формации, информационных технологиях и защите информации». В ноябре 2005 года Государственная Дума приняла законопроект в первом чтении — как обновленный вариант существовавшего ранее закона «Об информации, информатизации и защите информации», более согласованный внутренне и приведенный в соответствие с современным развитием информационных технологий и актуальными проблемами информационной безопасности, а также тенденциями законодательств в области информационных технологий в странах Евросоюза и США. А в марте 2006 года ко второму чтению закона были внесены радикальные поправки Гудкова-Хинштейна: смысл их заключался в том, чтобы в стратегических отраслях и на особо опасных (важных) объектах Российской Федерации не допускалось использование зарубежных программно-технических средств, в которых могут быть недокументированные функции, — это касается и программ с закрытыми исходными кодами, и оборудования, построенного на зарубежной элементной базе. Аргументация — угроза военной несостоятельности России и выведения из строя ее программно-аппаратных средств в случае международных конфликтов.

История вопроса  восходит к «Доктрине информационной безопасно-сти» 2000 года, где закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи была предусмотрена в списке потенциальных угроз, и избежать ее предлагалось переходом на отечественные аналоги, если они не уступают по характеристикам зарубежным образцам. В полном соответствии с доктриной, силовые ведомства России уже внедряют систему управления и связи нового поколения отечественной разработки, проект этот впечатляюще финансируется из бюджета Минобороны и должен завершиться к 2015 году.