В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: акты федерального законодательства, международные договоры РФ; конституция РФ; законы федерального уровня (включая федеральные конституционные законы, кодексы); указы Президента РФ; постановления правительства РФ; нормативные правовые акты федеральных министерств и ведомств; нормативные правовые акты субъектов РФ, органов местного самоуправления. Международные стандарты информационной безопасности – государственные (национальные) стандарты РФ; рекомендации по стандартизации; методические указания.

Органы, обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Комитет государственной думы по безопасности;

– совет безопасности России;

– федеральная служба по техническому и экспортному контролю (ФСТЭК);

– федеральная служба безопасности России (ФСБ России);

Министерство внутренних дел Российской Федерации (МВД России); федеральная служба надзора в сфере информационных технологий и массовых коммуникаций (Роскомнадзор). Службы, организующие защиту информации на уровне предприятия: служба экономической безопасности; служба безопасности персонала (Режимный отдел); отдел кадров; служба информационной безопасности. Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации, её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. Для построения политики информационной безопасности, обязательно требуется рассматривать следующие направления защиты информационной системы:

– Защита объектов информационной системы;

– Защита процессов, процедур и программ обработки информации;

– Защита каналов связи;

– Подавление побочных электромагнитных излучений;

– Управление системой защиты.

По каждому из перечисленных выше направлений, политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

– Определение информационных и технических ресурсов, подлежащих защите;

– Выявление полного множества потенциально возможных угроз и каналов утечки информации;

– Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

– Определение требований к системе защиты;

– Осуществление выбора средств защиты информации и их характеристик;

– Внедрение и организация использования выбранных мер, способов и средств защиты;

– Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты. Документы верхнего уровня политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях – для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК 17799–2005, на верхнем уровне политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса». К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организации информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: безопасность данных, безопасность коммуникаций. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Исторические аспекты возникновения и развития информационной безопасности

Информационная безопасность возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человека о наличии сообществ интересов, которым может быть нанесен ущерб путём воздействия на них. Средства информационных коммуникаций обусловили наличие и развитие средств, которые обеспечили информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов.

Первый этап

Первый этап – до 1816 года. Характеризуется он использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

Второй этап

Второй этап, начиная с 1816 года, связан с началом использования искусственно создаваемых технических средств электрики и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).

Третий этап

Третий этап – начиная с 1935 года, связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

Четвертый этап

Четвертый этап – начиная с 1946 года, связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Комитет государственной думы по безопасности;

– совет безопасности России;

– федеральная служба по техническому и экспортному контролю (ФСТЭК);

– федеральная служба безопасности России (ФСБ России);

– Защита объектов информационной системы;

– Защита процессов, процедур и программ обработки информации;

– Защита каналов связи;

– Подавление побочных электромагнитных излучений;

– Управление системой защиты.

– Определение информационных и технических ресурсов, подлежащих защите;

– Выявление полного множества потенциально возможных угроз и каналов утечки информации;

– Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

– Определение требований к системе защиты;

– Осуществление выбора средств защиты информации и их характеристик;

– Внедрение и организация использования выбранных мер, способов и средств защиты;

– Осуществление контроля целостности и управление системой защиты.

Исторические аспекты возникновения и развития информационной безопасности

Первый этап

Второй этап

Третий этап

Четвертый этап

Пятый этап

Пятый этап – начиная с 1965 года, обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

Шестой этап

Шестой этап – начиная с 1973 года – связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей – хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности – важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право – новая отрасль международной правовой системы.

Седьмой этап

Седьмой этап, начиная с 1985 года, связан с созданием и развитием глобальных информационно-коммуникационных сетей, с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием мобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности, на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов. Сегодня всё в мире полагается на компьютеры и интернет, средства связи (электронная почта, мобильные телефоны), индустрия развлечений (цифровое телевидение, MP3), транспорт (автомобильные двигатели, аэронавигация), торговля (интернет-магазины, кредитные карты), медицина (оборудование, медицинские архивы), и список можно продолжать. Самая большая доля нашей повседневной жизни полагается на компьютеры. Информационная безопасность состоит в защите этой информации методами предотвращения, обнаружения и реагирования на атаки.

Программно-технические способы и средства обеспечения информационной безопасности

Средства защиты от несанкционированного доступа (НСД):

Мандатное управление доступом;

Избирательное управление доступом;

Управление доступом на основе ролей;

Журналирование (называется еще и аудит).

Системы анализа и моделирования информационных потоков (CASE системы).

Системы мониторинга сетей:

Системы обнаружения и предотвращения вторжений (IDS/IPS).

Системы предотвращения утечек конфиденциальной информации (DLP системы).

Анализаторы протоколов.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства:

Шифрование;

Цифровая подпись.

Системы резервного копирования.

Системы бесперебойного питания:

Источники бесперебойного питания;

– Резервирование нагрузки;

Генераторы напряжения.

Системы аутентификации:

Сертификат;

Биометрия.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

– Программный мониторинговый продукт.

основа информационной безопасности (в фирме, большой аудитории, бизнесе)

Основа информационной безопасности в организации – это внутрифирменный контроль и достоверность. Система информационной безопасности (СИБ) является одним из основных элементов организационного менеджмента. От эффективности функционирования СИБ зависит большинство сторон деятельности и успешность организации в целом. Исходными условиями создания полноценной основы системы информационной безопасности должны быть четкие представления о ее целях и структуре, о видах угроз и их источниках, и о возможных мерах противодействия. Среди перечня угроз безопасности фирмы наиболее существенной считается утечка конфиденциальной информации. Изучение механизма движения информации в организациях разного профиля показывает, что особое внимание следует уделять контролю данных, передаваемых по слаботочным информационным сетям, в частности телефонным линиям. Однако, для построения системной работы необходимы четкие процедуры при работе с информацией, а эффективность внедряемой СИБ будет во многом зависеть от соблюдения сотрудниками установленных в организации правил защиты информации. Касаясь организационной структуры, способной воплотить основы программы информационной безопасности и донести их до широкого круга общественности, следует обратить особое внимание на создание и функционирование региональных центров общественной информации, как важнейших элементов непосредственного взаимодействия с различными целевыми аудиториями.

Заключение

В заключении, хочу отметить и сделать вывод из основной части и прочитанной литературы. Я не касалась темы характеристики информационной системы. Ведь ее связь с государством и ее характер – все это, играет самую главную роль в нашей жизни. Ведь, даже сходить в магазин – и то, получение информации о цене и качестве. Информационная безопасность Российской Федерации характеризуется уровнем защищенности национальных интересов Российской Федерации в информационной сфере. Информационная сфера Российской Федерации является важной составляющей жизнедеятельности общества и государства. Вследствие этого обеспечение безопасности национальных интересов Российской Федерации в этой сфере способствует укреплению национальной безопасности Российской Федерации. Национальные интересы Российской Федерации в информационной сфере определяются следующими темами: информационная сфера играет ключевую роль в реализации многих конституционных прав и свобод граждан, в обеспечении возможности самореализации личности, духовном обновлении, политической и социальной стабильности общества, обеспечении функционирования государства; информационная сфера становится все более важным фактором развития экономики промышленно развитых стран мира, мировой экономики в целом, развития мирового сообщества; нормальная жизнедеятельность человеческого общества во все большей степени зависит от состояния информационной сферы, которая, в связи с этим, все активней используется для оказания «силового» давления на государственную политику тех или иных стран, как со стороны иностранных государств, так и организованной преступности, международных и национальных террористических групп. Выделяются три основные группы национальных интересов Российской Федерации в информационной сфере. Первую группу составляют национальные интересы, связанные с обеспечением прав и свобод человека и гражданина, реализуемых в информационной сфере, духовным обновлением России. Эти интересы, направлены на обеспечение государственных гарантий: свободу получения информации в интересах сохранения здоровья, неприкосновенности частной жизни и недопустимости произвольных посягательств на честь и репутацию человека. Свободу мысли, убеждений и следования своим убеждениям, свободу выражения убеждений в общении с другими лицами, свободу участия в культурной жизни общества, защиту интересов человека, связанных с использованием результатов его интеллектуальной деятельности другими лицами. К числу национальных интересов этой группы относятся: обеспечение гарантий конституционных прав и свобод человека и гражданина в области информационной деятельности, свободы поиска, получения, передачи, производства и распространения информации любым законным способом, получения достоверной информации о состоянии окружающей среды, свободы массовой информации и запрета цензуры; обеспечение гарантий конституционных прав и свобод человека и гражданина в области политической, интеллектуальной и духовной деятельности, включая свободу совести, вероисповедания, мысли и слова, литературного, художественного, научного, технического и других видов творчества, преподавания, участия в культурной жизни, пользования учреждениями культуры, доступа к культурным ценностям; обеспечение гарантий, конституционных прав человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиту своей чести и доброго имени, гарантий неприкосновенности частной жизни, запрещения сбора, хранения, использования и распространения информации. О частной жизни лиц без его согласия и другой информации, доступ к которой ограничен федеральным законодательством. Соблюдение установленных федеральным законодательством ограничений на доступ к сведениям, составляющим государственную тайну, к другим охраняемым законом сведениям, а также ограничений прав и свобод человека и гражданина, реализуемых в информационной сфере, в интересах защиты основ конституционного строя, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обеспечение гарантий недопущения пропаганды и агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду, пропаганды социального, расового, национального, религиозного или языкового превосходства. Охрана интеллектуальной собственности, развитие, сохранение, рациональное использование информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации. Вторую группу составляют национальные интересы, связанные с развитием отечественной индустрии средств информатизации, телекоммуникаций и связи, обеспечением ею потребностей внутреннего рынка, выходом ее продукции на мировые рынки, а также обеспечением накопления, сохранности и эффективного использования отечественных информационных ресурсов. К числу национальных интересов этой группы относятся: развитие и совершенствование инфраструктуры единого информационного пространства Российской Федерации, а также повышение эффективности использования государственных информационных ресурсов, развитие отечественного рынка информационных услуг, повышение эффективности использования информационной инфраструктуры в интересах прогрессивного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации. Развитие отечественной индустрии информационных услуг и повышение эффективности использования государственных информационных ресурсов, как на внутреннем и международном информационных рынках. Развитие отечественного производства, конкурентоспособных средств и систем информатизации и связи, расширение участия Российской Федерации в международной кооперации производителей этих средств и систем; обеспечение государственной поддержки отечественных фундаментальных и прикладных исследований и разработок в сфере информатизации. Третью группу составляют национальные интересы, связанные с обеспечением безопасности информационных и телекоммуникационных систем как развернутых, так и создаваемых на территории России. К числу национальных интересов этой группы относятся: повышение безопасности информационных систем, включая сети связи и, прежде всего, первичные сети связи и информационных систем федеральных органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием. Экологически опасными и экономически важными производствами, интенсификация развития отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности, расширение международного сотрудничества Российской Федерации в области развития и безопасного использования информационных ресурсов. Достижение этих интересов позволит сбалансировать государственную политику по обеспечению возможности использования прав и свобод человека и гражданина, реализуемых в информационной сфере, повышению эффективности развития и использования информационной инфраструктуры Российской Федерации, ее информационных ресурсов, а также обеспечению их безопасности. Защита национальных интересов Российской Федерации, реализуемых в информационной сфере, от угроз внешнего и внутреннего характера составляет основное содержание деятельности по обеспечению информационной безопасности Российской Федерации. Безопасность-это такое состояние сложной системы, когда действие внешних и внутренних факторов не приводит к ухудшению системы или к невозможности её функционирования и развития. Безопасность – состояние защищённости жизненно-важных интересов личности, общества, организации, предприятия от потенциально и реально существующих угроз, или отсутствие таких угроз. Международный день защиты информации отмечается 30 ноября (а началось все с 1988 года). В 1988 году произошла первая массовая компьютерная эпидемия – эпидемия «червя Морриса». В 1988 году, американская ассоциация компьютерного оборудования, объявила – 30 ноября международным Днем защиты информации (Computer Security Day). По инициативе «Ассоциации компьютерного оборудования», в этот день проводятся международные конференции по защите информации. «По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом, – но и в этом случае сомнения не оставляют меня» – Юджин Х. Спаффорд.

Список использованной литературы

Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922–2006).

Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799–2005).

Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В.Ф. Пилипенко. 2 е изд., доп. и перераб. – М.: ПЕР СЭ-Пресс, 2005.

Информационная безопасность (2 я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.

Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335–1 – 2006).

Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи.

Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898–2002).

Домарев В.В. Безопасность информационных технологий. Системный подход – К.: ООО ТИД Диа Софт, 2004. – 992 с.

Лапина М.А., Ревин А.Г., Лапин В.И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.

Фролов С.С. Социология. М., 1998 г.

Основы социологии: Курс лекций / Под ред. А.Г. Эфендиева. М., 1994 г.

Кравченко А.И. Социология. М., 1999

Государственные органы обеспечения безопасности

Для непосредственного выполнения функций по обеспечению безопасности личности, общества и государства в системе исполнительной власти в соответствии с законом образуются государственные органы обеспечения безопасности. В системе бизнеса образуются свои структуры, в образовательном пространстве, в жилищном кооперативе или дачном поселке свои. Но есть общие цели и правила, которые в документах чаще называют принципами. Их очень много: общие, частные, специальные, для каждой сферы жизнедеятельности свои. Однако есть и общие идеи и правила.

Основными принципами обеспечения безопасности являются:
1. законность, т.е. все мероприятия по обеспечению безопасности осуществляются на основании нормативно-правовых актов, принцип законности обеспечивает верховенство и единство закона, равенство всех перед законом;
2. соблюдение баланса жизненно важных интересов личности, общества и государства, т.е. при обеспечении безопасности не должны ущемляться интересы всех объектов безопасности, обеспечивающие их существование и возможность прогрессивного развития;
3. взаимная ответственность личности, общества и государства по обеспечению безопасности;
4. интеграция с международными системами безопасности.

В разных источниках рассматривают и другие принципы БЖ: гуманность, демократичность, плановость, оперативность, приоритетность, научность, эффективность, дублирование защиты, системность, комплексность, экономичность, рациональность, надежность, непрерывность и иные.

При обеспечении безопасности допускается ограничение прав и свобод граждан, в случаях, предусмотренных законом (в соответствии со ст.55 Конституции РФ, ч. 3).

Граждане, общественные и иные организации и объединения имеют право получать разъяснения по поводу ограничения их прав и свобод от органов, обеспечивающих безопасность. По их требованию такие разъяснения даются в письменной форме в установленные законодательством сроки. Должностные лица, превысившие свои полномочия в процессе деятельности по обеспечению безопасности, несут ответственность в соответствии с законодательством.

Закон дал четкое определение системы органов безопасности РФ.

Систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с законом, а также законодательство, регламентирующее отношения в сфере безопасности. Создание органов обеспечения безопасности, не установленных законом, не допускается.

Таким образом, вся вертикаль власти, а также все организации и граждане, имеющие отношение к обеспечению безопасности, а также нормативные акты образуют общую систему безопасности нашего государства и общества. (Подробнее органы, входящие в систему безопасности рассмотрены в 5 и 6 главах настоящего учебного пособия).

Но все органы власти, организации и граждане имеют множество иных задач и функций помимо сферы безопасности, например экономические, производственные, технические, культурные и иные. Их реализация регулируется иными соответствующими актами. А в Законе «О безопасности» раскрываются направления деятельности всех подсистем государства и общества именно в интересах и в сфере обеспечения безопасности. Каковы же эти направления (функции).

Основными функциями системы безопасности (практически любого уровня и любого ведомства, организации, предприятия) являются:
1. выявление и прогнозирование внутренних и внешних угроз жизненно важным интересам объектов безопасности, осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;
2. создание и поддержание в готовности сил и средств обеспечения безопасности;
3. управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;
4. осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;
5. участие в мероприятиях по обеспечению безопасности за пределами РФ в соответствии с международными договорами и соглашениями, заключенными или признанными РФ.

Общее руководство государственными органами обеспечения безопасности осуществляет Президент РФ, который:

возглавляет Совет безопасности РФ;
контролирует и координирует деятельность государственных органов обеспечения безопасности;
принимает оперативные решения по обеспечению безопасности.

Президент руководит работой Совета безопасности и его членов, принимает Указы по созданию и регулированию деятельности силовых структур, назначает и увольняет их руководителей.

Правительство РФ:

обеспечивает руководство государственными органами обеспечения безопасности РФ;
организует и контролирует разработку и реализацию мероприятий по обеспечению безопасности министерствами и другими подведомственными ему органами РФ, и субъектов РФ.

Министерства РФ:

обеспечивают реализацию федеральных программ защиты жизненно важных интересов объектов безопасности;
разрабатывают внутриведомственные инструкции (положения) по обеспечению безопасности и представляют их на рассмотрение Совета безопасности.

Силы и средства обеспечения безопасности создаются и развиваются в РФ в соответствии с решениями Федерального Собрания РФ, указами Президента РФ, краткосрочными и долгосрочными федеральными программами обеспечения безопасности.

Силы обеспечения безопасности включают в себя: Вооруженные Силы, федеральные органы безопасности, органы внутренних дел, внешней разведки, обеспечения безопасности органов законодательной, исполнительной, судебной властей и их высших должностных лиц, налоговой службы; Государственную противопожарную службу, органы службы ликвидации последствий чрезвычайных ситуаций, формирования гражданской обороны; внутренние войска; органы, обеспечивающие безопасное ведение работ в промышленности, энергетике, на транспорте и в сельском хозяйстве; службы обеспечения безопасности средств связи и информации, таможни, природоохранительные органы, органы охраны здоровья населения и другие государственные органы обеспечения безопасности, действующие на основании законодательства.

Службы РФ, использующие в своей деятельности специальные силы и средства, такие как Федеральная служба безопасности (ФСБ), Министерства внутренних дел (МВД), иных органов исполнительной власти,действуют только в пределах своей компетенции и в соответствии с законодательством. Руководители органов обеспечения безопасности в соответствии с законодательством несут ответственность за нарушение установленного порядка их деятельности.

Данные, циркулирующие в сетях министерств и ведомств, в большинстве случаев носят закрытый характер. Обеспечение защиты информации и ее целостности одно из важнейших условий развития ИТ в государственных структурах.

Сильные стороны государственных информационных систем

К сильным сторонам государственных информационных систем России, безусловно, можно отнести их автономность. В первую очередь это касается тех систем, в которых циркулирует информация, содержащая сведения, составляющие государственную тайну. Подключение таких систем к глобальным информационным сетям категорически запрещено. И это абсолютно оправдано.

В середине 70-х годов, когда был изобретен протокол TCP/IP, США начали активно объединять свои закрытые информационные ресурсы в единое информационное пространство, при этом конфиденциальность информации и ее защиту удавалось обеспечить на соответствующем уровне.

С течением времени эти объединенные информационные ресурсы превратились в общедоступную глобальную информационную систему, появились пользователи системы, которые вопреки ограничениям все же пытались получить доступ к закрытым информационным ресурсам и зачастую их попытки заканчивались успехом. Так началось противостояние между «нападением» и «защитой». Соединенные штаты потратили на защиту информации в глобальных информационных сетях сотни миллионов долларов, однако обеспечить абсолютной защиты закрытой информации так и не удалось, нападение идет на шаг впереди. В связи с возросшей угрозой атак именно на государственные информационные системы, США решили отключить фрагменты своих закрытых информационных ресурсов от глобальной информационной системы.

Слабые стороны государственных информационных систем

Специалисты в сфере защиты информации к одной из слабых сторон отечественных ИТ-систем, используемых в нуждах государства, относят распространенность иностранного аппаратного и программного обеспечения. Это и неудивительно ведь российский рынок в буквальном смысле наводнен продукцией западных разработчиков.

Экспертам в сфере защиты информации известны попытки государства создать отечественную вычислительную технику, которая могла бы конкурировать с иностранной. Также предпринимались попытки создать процессор, который мог бы конкурировать с процессорами известных зарубежных производителей. До сих пор предпринимаются попытки создать национальную операционную систему, которая вытеснила бы Windows с российского рынка. Однако пока что эти устремления не увенчались успехом.

Основной причиной «топтания на месте» является то, что российские производители пытаются воспроизвести то, что уже находится в обиходе, а разрабатывалось, соотвественно, лет пять назад. И когда мы получаем какой-то собственный продукт, на рынок выходит иностранный продукт, который на порядок превосходит отечественный по характеристикам и на столько же дешевле по цене.

Другой слабой стороной государственных информационных систем является недостаточное внимание к защите информации, которая в соответствии с Перечнем сведений, утвержденным Указом Президента РФ от 6 марта 1997 г. № 188, отнесена к сведениям конфиденциального характера.

Ярким примером этого может служить наличие в свободной продаже на различных компьютерных рынках баз данных ГИБДД, баз телефонных номеров, анкетные данные граждан и т.д., которые содержат сведения конфиденциального характера, и распространение которых должно быть пресечено.

В настоящее время ситуация начинает меняться в лучшую сторону. В 2002 году впервые в России появился документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) регламентирующий порядок технической защиты конфиденциальной информации. До этого времени порядок технической защиты конфиденциальной информации был никем не определен и соответственно, структуры, работающие с информацией подобного рода, не обращали на это никакого внимания, экономя на этом денежные средства.

Теперь Государственная техническая комиссия при Президенте Российской Федерации, как федеральный орган, отвечающий в стране, в том числе за защиту информации, начинает брать ситуацию под свой контроль. Организации и структуры, использующие в своей деятельности сведения конфиденциального характера, будут вынуждены привести все в соответствие с требованиями упомянутого выше документа. Примечателен тот факт, что эти новшества заденут не только государственные структуры, но и коммерческие, поскольку коммерческая тайна относится к конфиденциальной информации.

Еще одной слабой стороной государственных информационных систем специалисты называют т.н. «человеческий фактор». Благосостояние чиновника никак не зависит от качества и уровня защиты государственной информации. Фактически, чиновникам безразлично, как именно организована подобная защита ведь речь идет не об их личной информации. В коммерческих структурах ситуация несколько иная. Держась за свое рабочее место, сотрудник, занимающийся вопросами информационной безопасности, что называется, выкладывается на все 100%, поскольку это непосредственно влияет на его личное благосостояние.

К слабым сторонам государственных ИТ-систем в России можно также отнести и то, что защита информации в них осуществляется только в соответствии с существующими руководящими и нормативно-методическими документами, которые жестко определяют порядок действий и фактически исключают инициативный подход. Большая инерционность государственной машины в плане совершенствования законодательной и нормативно-методической базы, регламентирующей вопросы информационной безопасности, может в худшую сторону влиять на качество защищенности государственных информационных ресурсов.

ПО с открытым кодом (ОС Linux) в органах государственной власти

У программного обеспечения с открытым кодом есть перспективы с точки зрения его использования в органах государственной власти. Прежде всего, использование такого ПО госструктурами упрощает процесс его сертификации на соответствие требованиям по безопасности информации. Ведь сейчас практически все операционные системы, находящиеся на российском рынке, имеют сервис защиты, который позволяет организовать разграничение доступа и осуществить защиту информации. Однако из-за отсутствия исходных текстов ПО не удается провести сертификацию сервиса защиты, который есть в составе операционной системы. И чтобы обойти это отечественные производители разработали и активно производят изделия, сертифицированные Гостехкомиссией России, которые практически дублируют сервис защиты операционных систем.

Если посмотреть на вопрос использования ПО с открытым кодом с другой стороны, можно отметить, что подобное ПО может свободно модернизироваться или к нему может дописываться дополнительный сервис «продвинутыми» программистами. Однако проконтролировать распространение модифицированного продукта невозможно. И это одна из главных проблем программного обеспечения с открытым кодом с точки зрения информационной безопасности. Противостоять этому системы сертификации вряд ли смогут, а соответственно они должны быть адаптивны по отношению к динамично развивающемся программным продуктам.

В настоящее время корпорация Microsoft, в частности, пошла на то, чтобы предоставить в Гостехкомиссию России исходные тексты своего программного обеспечения с целью его дальнейшей сертификации. Однако, инерционность государственной машины, большой объем работ по сертификации ПО и высокая частота обновления ПО корпорацией Microsoft может свести все усилия на «нет».

Что касается операционных систем, исходные тексты которых опубликованы, то у них не большие перспективы. И в первую очередь ограничивать их распространение будет консерватизм. Ведь Windows присутствует на российском рынке с начала 90-х годов. И победить приверженность пользователей к отлаженному продукту будет очень трудно. К тому же, вопросы информационной безопасности в органах государственной власти в России, к сожалению, беспокоят очень незначительное количество человек.

Кроме всего прочего, внедрение новых программных продуктов требует больших финансовых вложений и в первую очередь на переподготовку пользователей этих продуктов, а это в настоящее время проблематично.

Алексей Лавров / НПП «Гамма»

Конфиденциальная информация информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с Российским законодательством.

Перечень сведений конфиденциального характера
(утвержден Указом Президента РФ от 6 марта 1997 г. № 188)

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.