CC BY
263
внутренней деятельности правительства, улучшения прямого взаимодействия с гражданами. Следует понимать, что реализация э-правительства может быть затруднена. Достижения при этом должны быть реально измеряемыми, а риски понятными и, по возможности, минимизированными.
1. Аткинсон Р., Ли А. Ориентируемое на клиента э-прави-тельство: сможем ли мы достичь этого? // Мир э-правительства. Нью-Йорк, 2003.
2. Базу С. Э-правительство развивающихся стран: обзор // Review of Law Computers & Technology. № 18. Vol. 1.
3. Бхатнадар С. Уроки э-правительства: при применении в развивающихся странах // Regional Development Dialogue. 2002. № 24.
4. Вайуг В. Государство: вопросы доверия и способность совместимости // Паблиус. 2002. Изд.18.4.
5. Вонг В. Э-правительство. Сравнительный анализ открытости веб-сайтов и правительственная ответственность // Международный журнал политики, администрации и учреждений. 2004. Изд. 17. 2.
6. Гоишин С.Е. Независимая информационная экспертиза в электронном государстве. Понятие и методика проведения / под ред. С.А. Овчинникова. Саратов, 2011.
7. Веб-сайт Всемирного банка. URL http://www.worldbank. org/publicsector/egov/definition.htm (дата обращения: 12.04.10).
8. Каштанов С.А. Методика сбора и экспертной оценки показателей реализации программы информатизации региона / под ред. С.А. Овчинникова. Саратов, 2011.
9. Кришна С. Реализация информационных систем общего пользования в развивающихся странах // Изучение истории успеха, информационные технологии развития. 2002. № 11. Т. 2.
10. Киборра К. Интерпретация электронного правительства, развитие эффективности и прозрачности // Информационные технологии и люди. 2006. № 18. Т 3.
11. Кемпен Д. Э-демократия. Критическая оценка э-мечты // Социальная наука: компьютерный обзор. 2003. Изд. 21.4.
12. ЛениханД. Э-правительство, федерализм и демократия: новое управление. Оттава, 2002.
13. Май C. Взаимодействие между государствами и гражданами с помощью Интернета: э-правительство в Соединенных Штатах, Англии и Европейском союзе // Управление: международный журнал политики, администрации. 2003. Изд. 16.2.
14. Матилла Дж. Применение э-управления - новые решения старой проблемы? // Управление сетями. Амстердам, 2003.
15. Овчинников С.А. К вопросу теоретического обоснования возникновения и развития нового научного направления политологии - информационно-политической рискологии // Вестник СГСЭУ 2011. №4 (38).
16. Овчинников С.А., Гришин С.Е. Комплексный подход к рассмотрению теории управления рисками при внедрении информационных технологий // Вестник СГСЭУ 2011. № 2 (36).
17. Тапскотт Д. Цифровая экономика: обещание и опасность. Нью-Йорк, 1995.
18. Тиихонен С. От управления до э-управления. Процесс измерения. Тампере, 2004.
19. Тоукас H. Сложности изучения э-правительства. Оксфорд, 2005.
20. Хиикс Р. Информационные системы развивающихся стран: отказы и успехи // The Information Society. 2002. № 18. T. 2.
21. ЧадвикА. Возвращение э-демократии. Почему для будущего имеет значение исследование э-управления // Социальный обзор. Компьютеры и наука. 2003. Изд. 21.4.
22. Шеридан В. Сравнение э-управления и э-правительства. Центр Содружества наций по э-управлению. URL: http://www. egovmonitor. com/node/6556) (дата обращения: 03.07.2006).
23. Internet World Stats Website. URL: http://www.internet worldstats. rom /stats. htm (дата обращения: 12.04.10).
24. Technical Standard Risk Taxonomy. Document Number: C081. Published by The Open Group. 2009. January.
25. The Electronic Journal on Information Systems in Developing Countries London School of Economics and Political Science United Kingdom EJISDC. 2006. № 26. Vol. 7. URL http://www.ejisdc.org (дата обращения: 12.04.10).
26. The Electronic Journal on Information Systems in Developing Countries. 2006. № 12. Vol. 2. URL: http://www.ejisdc.org. (дата обращения: 12.04.10).
УДК 005:004 С.Е. Гришин,
С.Г. Седышев
КИБЕРБЕЗОПАСНОСТЬ И ПРОБЛЕМА ПОВЫШЕНИЯ КАЧЕСТВА УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ
В условиях значительного, а порой и весьма избыточного объема информационных ресурсов в государственных учреждениях и организациях в полной мере о себе заявляют проблемы управления информацией и обеспечения ее защиты, причем ключом к успеху ИТ-безопасности является рациональное и качественное управление ею. Протоколы для стандартизации обработки информации и обеспечения ее безопасности сегодня имеются, во многих случаях они применяются при обработке информации, и все это свидетельствует об эволюции в сфере реализации требований кибербезопасности как в стратегическом, так и тактическом планах. Для защиты от попыток вторжения и предупреждения будущих угроз должны быть осуществлены инициативы, которые включают в себя разведывательные, оборонительные, наступательные, научно-исследовательские разработки, а также совершенствование государственно-частного партнерства. Задача обеспечения кибербезопасности органов государственной власти в условиях повсеместного внедрения информационных технологий решается путем улучшения управления информацией, для чего авторы предлагают ряд мер, которые должны быть положены в основу улучшения стратегии кибербезопасности на национальном уровне.
Ключевые слова: кибербезопасность, стандарты, политика и программы безопасности, управление информацией, информатизация государственных функций, стратегия и тактика информационной безопасности.
S.Ye. Grishin, S.G. Sedyshev
IT-SECURITY AND A PROBLEM OF IMPROVING QUALITY OF INFORMATION MANAGEMENT
The paper states that due to significant and sometimes excessive amount of information resources in public institutions and organizations there are serious problems of information management and protection, and the key to IT security is an efficient management. There are protocols for the standardization of information processing and ensuring its security, in many cases they are used in information processing, and all this is evidence of evolution in the implementation of cyber security requirements both in strategic and tactical regards. In order to protect against intrusion attempts and prevent future threats certain initiatives should be carried out that include reconnaissance, defensive, offensive, research and development, and improving public-private partnership. The task of ensuring cybersecurity of public institutions is solved by improving the management of information. The authors suggest a number of measures that should be the basis for strategies to improve cybersecurity at the national level.
Key words: IT-security standards, policies and security programs, information management, informatization of state functions, strategy and tactics of information security.
«Как ни странно это звучит, но объемы обмена информацией на государственном уровне сегодня явно завышены», - считает T Sager, начальник отдела анализа уязвимостей и оперативной группы по информационному обеспечению Агентства национальной безопасности США [11]. И с его мнением трудно не согласиться. В условиях значительного, а порой и весьма избыточного объема информационных ресурсов в государственных учреждениях и организациях в полной мере обнаруживают себя проблемы управления информацией и обеспечения ее защиты, причем ключом к успеху ИТ-безопасности является рациональное и качественное управление информацией, что означает обеспечение возможности ее получения теми, кто в ней нуждается в интересах выполнения государственных функций. Но при этом массивы информации должны определяться стандартами, позволяющими применить инструменты, которые обеспечат оперативный анализ данных и сделают их доступными на санкционированной основе.
Набор протоколов для стандартизации обработки информации и обеспечения ее безопасности сегодня имеется. Во многих случаях эти протоколы применяются при обработке информации, что свидетельствует о тенденции в сторону принятия требований кибербезопасности как в стратегическом, так и тактическом планах. Такие стандарты, регламентирующие совместимость программных продуктов, позволяют получать информацию из нескольких источников в различных форматах и делать ее доступной для пользователей [7]. Исследования позволяют утверждать, что, как правило, специалисты в крупных правительственных учреждениях обычно хорошо владеют тактикой реализации требований кибербезопасности, но они не так хорошо решают задачи управления информационными рисками на корпоративном уровне.
Процесс управления рисками должен начинаться в высших эшелонах государственного учреждения или организации, поскольку именно на первой линии защиты могут быть применены наиболее эффективные инструменты. «Однако оптимальной точки зрения на решение проблем информационной безопасности никогда не бывает, где бы ее ни пытались найти, - заявляет R. Team,
- успехи на этом пути во многом определяются возможностью идентифицировать уязвимости сети или системы,
но причины этих проблем и их окончательное решение находятся в совершенствовании практики управления 1Т-системой в начале ее жизненного цикла» [10].
Есть несколько особенностей в обеспечении ИТ-безо-пасности. Если что-то произошло в сфере информационной безопасности сегодня, идентичное или близкое к тому, что случилось вчера, и это может повториться завтра, то чаще всего такую информацию персонал не доводит до тех, кто в ней нуждается (т.е. присутствует фактор латентности). Слишком часто сигналы и предупреждения о нарушениях информационной безопасности и инцидентах появляются значительно позже, что хорошо для последующей экспертизы, но обусловливает низкий уровень безопасности.
Рассмотрим возможные решения для более эффективного использования существующей информации, выявления уязвимостей, смягчения угроз и управления информационными рисками. Прежде всего, отметим, что не бывает простых решений для кибербезопасности, и вряд ли можно надеяться на расширение возможности государственных учреждений высокоэффективно использовать развивающиеся технологии для борьбы с эскалацией информационных рисков и угроз. Для этого необходима выработка согласованных руководств по безопасности информации на правительственном уровне, внедрение единой системы национальных стандартов и контроля, что поможет установить соответствующие уровни безопасности информации [5]. Руководство организаций должно больше внимания уделять непрерывному мониторингу ИТ-систем, большей их адаптации к применению новых средств защиты и более агрессивным кибератакам. Необходимо применять такие методы гибкой обороны, которые могут поднять расходы нападающих и ограничить последствия в случае успешной кибератаки, что способствует поддержанию эффективного управления информационными рисками. Настоящим фундаментом для этого должны стать стандартизация и совместимость [9].
Актуальность рассматриваемой проблемы во многом обусловлена устойчивым ростом количества кибератак на информационные системы органов государственной власти, что по-прежнему представляет собой потенциально разрушительные угрозы для информационных
систем и осуществляемых операций. Все более возрастающая зависимость учреждений органов власти от применения автоматизированных систем для выполнения самых необходимых повседневных операций делают их уязвимыми для кибератак и информационных рисков. Таким образом, госучреждениям и организациям необходимо иметь эффективные программы информационной безопасности и управления информацией в целях защиты своих систем [9].
Ранее опубликованные материалы о развитии киберугроз в государственных информационных системах и инфраструктуре свидетельствуют, что такие риски и угрозы продолжают расти и развиваться [1; 4]. Они могут быть непреднамеренного или преднамеренного характера, целевыми или нецелевыми, поступать из различных источников, в том числе от преступников, террористов, и спецслужб иностранных государств, а также хакеров, недовольных сотрудников (внутренних саботажников). Потенциальные злоумышленники используют самые различные приемы, имеющиеся в их распоряжении, которые могут значительно улучшить реализацию противоправных действий. Так, киберпреступники могут не находиться физически близко к своей цели, реализуемые ими атаки пересекают государственные и национальные границы, а кибернападающие нередко сохраняют анонимность [3; 8]. Кроме того, растущие взаимосвязи между информационными системами, Интернет и другие инфраструктуры представляют более широкие возможности для таких атак.
Информация об имевшихся инцидентах свидетельствует о наличии серьезных недостатков в системах безопасности, контроля над государственными информационными системами. Особую тревогу вызывают инциденты в сфере безопасности систем, обрабатывающих критически важную информацию. В частности, организации не всегда должным образом последовательно осуществляют политику аутентификации пользователей, чтобы предотвращать несанкционированный доступ к системам, не используют методы шифрования для защиты конфиденциальных и приватных данных и журналов, а также аудит и мониторинг состояния информационной безопасности.
Основная причина этих недостатков в том, что во многих организациях отсутствуют или не в полной мере и эффективно осуществляются имеющиеся политики и программы информационной безопасности, которые требуют постоянно осуществлять оценку и управление информационными рисками. Факты реализации киберугроз свидетельствуют в ряде случаев о слабой работе подразделений информационной безопасности и отдельных сотрудников. Разработка и внедрение политики безопасности и процедур, сопряженных с этим, повышение осведомленности в вопросах безопасности и обучение персонала, мониторинг адекватности контроля уровню безопасности, осуществление соответствующих мер по исправлению положения - все это создает определенные возможности для повышения кибербезопасности.
Имеющаяся в стране нормативно-правовая и методическая база по вопросам информационной безопасности позволяет осуществлять координацию деятельности по обеспечению кибербезопасности, регламентации и четкого выполнения обязанностей службами информационной безопасности и специально выделенными для этого специалистами, наращивать и развивать потенциал
для защиты критических инфраструктур и конфиденциальной информации.
Поддержание на высоком уровне информационной безопасности особенно важно для государственных учреждений, реализующих программы внедрения электронного правительства, что позволит обеспечивать конфиденциальность, целостность и доступность информации и информационных систем [2]. Неэффективное управление информационной безопасностью может привести к значительному риску для широкого круга органов государственного управления и активов. Примерами таких рисков могут быть следующие:
- потери ресурсов, платежей, налогов и сборов, которые могут быть похищены;
- имеющиеся ресурсы могут быть использованы в несанкционированных целях или для нападения на другие компьютеры;
- конфиденциальные данные о налогоплательщиках, социальном обеспечении, медицинские записи, документы интеллектуальной собственности, бизнес-информация и подобные данные могут быть неправильно раскрыты, несанкционированно просматриваться, копироваться в целях кражи или совершения других преступлений;
- нарушение операций, которые поддерживают критическую инфраструктуру, что особенно относится к деятельности правоохранительных органов, аварийноспасательных служб, затрагивает интересы обороны;
- несанкционированное добавление, изменение или удаление информации в целях мошенничества или по другим корыстным соображениям;
- срыв реализации задач, поставленных перед государственным органом из-за возникших информационных инцидентов, что приводит к снижению уверенности граждан в способности органов власти проводить операции и выполнять свои обязанности.
Кратко рассмотрим причины и содержание этих угроз. Так, непреднамеренные угрозы могут быть вызваны невнимательными или неподготовленными сотрудниками, нарушением правил обновления программного обеспечения, технического обслуживания, отказов оборудования, что нарушает работу системы или повреждает базы данных. Преднамеренные угрозы включают в себя целенаправленные и нецеленаправленные кибератаки. Целевыми можно назвать атаки, когда имеются групповые или отдельные нападения на конкретную систему или критическую инфраструктуру. Непреднамеренное нападение происходит тогда, когда цель атаки неопределенная, например когда происходит заражение вирусами, червями и другим вредоносным программным обеспечением, «гуляющим» по сети Интернет без какой-либо конкретной задачи.
НасймБт относится к политически мотивированным кибератакам на общедоступные веб-страницы или серверы электронной почты путем перегрузки серверов электронной почты и взлома веб-сайтов с целью отправки политических сообщений. Недовольные инсайдеры, работая внутри организации, служат основным фактором компьютерных преступлений. Часто они не нуждаются в информации о методике компьютерных вторжений, так как их знание особенностей защиты системы позволяет им получить неограниченный доступ к информации, нанести повреждение системе или осуществить кражу данных из нее. Внутренние угрозы нередко связаны с персоналом подрядчиков (обслуживание и ремонт техники и т.п.).
Террористы стремятся разрушить, вывести из строя или использовать критически важные объекты инфраструктуры, чтобы угрожать национальной безопасности, привести к массовым жертвам, ослабить экономику страны, нанести ущерб общественной морали и доверию граждан к власти. Прогнозируется, что кибертеррористы в дальнейшем будут применять как традиционные методы атаки, так и киберугрозы, которые будут более технически совершенными за счет привлечения новых, более подготовленных участников. Кибератаки могут проводиться автоматически, на высокой скорости, одновременно может быть атаковано огромное количество жертв; растущая связь между информационными системами, через Интернет и другие инфраструктуры создает возможность для атак и разрушения каналов телекоммуникации, электроэнергии и других стратегически важных направлений.
С учетом того, что правительство, частный сектор и граждане в своей повседневной деятельности продолжают движение к активному использованию сетевых операций, поскольку цифровые системы имеют чрезвычайно широкие возможности, беспроводные системы становятся повсеместным явлением, а проектирование, производство, применение и обслуживание информационных систем перешагнуло государственные границы, угрозы в информационной сфере продолжают расти, становятся более целенаправленными и опасными. Особо опасны эти инциденты из-за возможности утраты конфиденциальной информации, разглашения личной информации граждан, что потенциально влечет утрату конфиденциальности, совершению финансовых и иных преступлений. Имеющиеся факты кибератак и непреднамеренных инцидентов, связанных с критическими инфраструктурами, демонстрируют, что такие нападения могут иметь особо разрушительный характер.
Для защиты от попыток вторжения и предупреждения будущих угроз могут быть реализованы инициативы, которые включают в себя разведывательные, оборонительные, наступательные, научно-исследовательские разработки, а также совершенствование государственно-частного партнерства. Кратко рассмотрим основные направления кибербезопасности .
1. Усиление анализа киберугроз и выработка мер предупреждения возможности их реализации. Атрибутами анализа киберугроз и их предупреждения могут быть:
- слежение за сетевой активностью для обнаружения аномалий;
- анализ информации и исследование аномалий с целью определения содержащихся угроз;
- своевременное предупреждение соответствующих должностных лиц в целях принятия мер по минимизации последствий угроз и выработки адекватного реагирования и ответа на угрозы, например, путем разработки и своевременного распространения широкого спектра уведомлений.
2. Улучшение кибербезопасности систем путем усовершенствования управления ИТ-инфраструктурой.
3. Укрепление способности оперативно восстанавливать деятельность из-за сбоев Интернета и кибератак посредством разработки планов, которые полностью отвечают всем установленным критериям в сфере ИТ- безопасности .
4. Сокращение организационной неэффективности эксплуатации ИТ-систем.
5. Повышение эффективности защиты внутренних информационных систем в учреждениях и организациях.
Таким образом, чтобы реализовать задачу обеспечения кибербезопасности органов государственной власти в условиях повсеместного внедрения информационных технологий путем улучшения управления информацией, необходимо разработать мероприятия, которые должны быть положены в основу улучшения стратегии кибербезопасности на национальном уровне.
1. Развитие национальной стратегии, которая ясно определит стратегические цели, цели и приоритеты в сфере защиты информации.
2. Установление ответственности органов власти за продвижение и наблюдение за реализацией национальной политики кибербезопасности.
3. Утверждение структуры управления реализацией политики и стратегии кибербезопасности.
4. Придание публичности проблемам кибербезопасности, формирование понимания в обществе их важности и серьезности.
5. Создание ответственной эксплуатационной организации для практического решения задач в сфере кибербезопасности.
6. Поддержание усилий общественных и частных структур в сфере кибербезопасности, выработка стимулов для реализации этой деятельности.
7. Сосредоточение внимания на исследовании глобальных аспектов кибербезопасности.
8. Полная реализация всех предусмотренных законом мер по пресечению умышленных и противоправных действий в киберпространстве.
9. Уделить больше внимания научным исследованиям кибербезопасности, включая рассмотрение того, как лучше координировать усилия власти и частного сектора по противодействию рискам и угрозам.
10. Наращивание работы по подготовке профессионалов для работы в сфере кибербезопасности.
11. Разработка для сотрудников органов власти алгоритмов действий в условиях реализации различных киберугроз.
Полагаем, что выполнение этих рекомендаций позволит надежно защитить информацию, накапливаемую и обрабатываемую информационными системами органов государственной власти, сделать ее менее уязвимой для рисков и угроз.
1. Джакер П.Т., Томпсон K.M. Электронное правительство в мире: уроки, проблемы, и будущие направления правительственной информации / пер. с англ. М., 2003.
2. Инструментальные средства для анализа рисков и управления рисками. иР1-:Ь|Нр://\«\«\«//Ар.гтс8.<^ера|1теп1/е88/ Ьбб (дата обращения: 10.03.2010 г.).
3. Кононов А.А., Черешкин Д.С. Организация контроля безопасности региональной информационно-телекоммуникационной инфраструктуры // Информационное общество. 2002. Вып. 1.
4. Овчинников С.А., Гоишин С.Е. Комплексный подход к рассмотрению теории управлением рисками при внедрении информационных технологий // Вестник СГСЭУ. 2011. № 2 (36).
5. Овчинников С.А., Гоишин С.Е. Причины и условия неудач внедрения электронного правительства // Вестник СГСЭУ. 2011. № 4 (38).
6. Овчинников С.А., Гоишин С.Е. Формирование культуры кибербезопасности в обществе - актуальная задача современности // Вестник СГСЭУ. 2011. № 3 (37).
7. Овчинников С.А, Семенов В.П. Проблемы стандартизации, совместимости и взаимодействия органов государственной власти, бизнес-процессов и граждан в условиях широкого внедрения информационных технологий // Информационнокоммуникационные технологии в сфере культуры: сб. мат. Международ. науч.-методич. конф. (19 - 24 сентября 2011 г., Саратов). Саратов, 2011.
8. Резолюции Генеральной Ассамблеи ООН от 30 января 2004 г. по докладу Второго комитета (Л/58/481/Л<^<12)58/199. Создание глобальной культуры кибербезопасности и защита важнейших информационных инфраструктур от 23 января
2002 по докладу Третьего комитета (AI56I574) 56і121. Борьба с преступным использованием информационных технологий. URL:http:IIwww:ifap.ru (дата обращения: 23.10.2010 г.).
9. EUROPA - Europe's information Society Thematic Portal. URL:http:IIwww. europa. eul scadplusI glossaryI.htm (дата обращения: 25.10. 2011 г.).
10. URL: http:llwww.defense.govlhomelfeaturesl2010l0410_cy-bersec Idocsl d10 230t. pdf (дата обращения: 25.10. 2011 г.).
11. URL: http:llwwwllgcn.comlarticlesl2010l06l30lnist-releases-security-assessm- ent- guides (дата обращения: 25.10. 2011 г.).
УДК 005:004 С.А. Овчинников,
С.Е. Гришин
ИНФОРМАЦИОННО-ЭТИЧЕСКИЕ ПРОБЛЕМЫ ПОСТРОЕНИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА
Рассматриваются актуальные инфоэтические проблемы, наиболее характерные для современных процессов информатизации. Авторы предпринимают попытку взглянуть через призму сложившихся классических представлений об этике на новую среду, обусловленную формированием информационного общества, общества знаний. Вхождение человечества в информационную эпоху было столь стремительным, что в формировании многих специфических для нее инфоэтических принципов произошло заметное отставание от реальности, что в ряде случаев приводит к нарушению конституционных прав человека, угрожает стабильности государственной и общественной жизни. Не только в информационно-техническую среду, но и в сугубо гуманитарную этико-нравственную сферу информатизация привнесла новые вызовы и угрозы. Множество инфоэтических вопросов возникает в связи с тем, что сеть является социальным объектом, где происходит общение людей.
Ряд вопросов инфоэтики распространяется и на обеспечение безопасности Интернета, и весьма наглядным примером применения подходов инфоэтики является проблема так называемого сетевого этикета, или вежливости-лайн. Авторы затрагивают следующие дискуссионные вопросы: действительно ли Интернет и информационное общество существуют в соответствии с принципами свободы, кто несет ответственность по защите авторских прав в сети.
Ключевые слова: инфоэтические проблемы, процессы информатизации, классические представления об этике, доверие граждан к электронному правительству, права собственности и ценности информации, неприкосновенность личной жизни, конфиденциальность и информационная безопасность, доступ к информации, сетевой этикет, вежливость-лайн, защита авторских прав, регулирование Интернета.
S.A. Ovchinnikov, S.Ye. Grishin
IT-ETHICAL PROBLEMS OF INFORMATION SOCIETY DEVELOPMENT
The paper considers topical IT-etical problems that are typical of modern processes of informatization. The authors examine a new environment shaped by an information society characterized as a society of knowledge from a viewpoint of classical ideals of ethics. The advent of information epoch happened so quickly that formation of many specific IT-ethical principles lagged behind, thus threatening constitutional rights of people and stability of public life. The informatization caused many disruptions not only in information and technical environment but also especially in humanitarian ethical and moral sphere. A lot of IT-ethical issues arise due to the fact that the Network is a social platform where people communicate. Some IT-ethical issues also concern IT security. A good example of IT-ethical problem is an issue of network etiquette or on-line politeness. The authors discuss debatable questions whether the Internet and information society really operate according to the principles of freedom and who bears the responsibility for protection of copyrights in the Net.
Key words: IT-ethical problems, processes of informatization, conventional ideas of ethics, trust of citizens to electronic government, property rights and value of information; inviolability of private life, confidentiality and information security, access to information, network etiquette, copyright protection, politeness, regulation of the Internet.
