ОРГАНИЗАЦИОННЫЕ И ОБЩЕТЕОРЕТИЧЕСКИЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДК 004.9
О СОЗДАНИИ СИСТЕМЫ КОНТРОЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТИЧЕСКИ ВАЖНЫХ ИНФОРМАЦИОННЫХ СЕГМЕНТОВ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ РЕГИОНА
© Овчинников Сергей Александрович
почётный работник высшего профессионального образования Российской Федерации, советник и эксперт Правительства Саратовской области, директор НОЦ «ИНФО ЭПР», доктор исторических наук, профессор, проректор по безопасности, Саратовский государственный социально-экономический университет.
В статье аргументируется необходимость создания комплексной системы информационной безопасности критически важных информационных сегментов в органах государственной власти и органах местного самоуправления, в учреждениях и предприятиях различных форм собственности. Рассмотрен положительный опыт других регионов страны в этом направлении.
Ключевые слова: информационные технологии, органы государственной власти, органы местного самоуправления, комплексная система информационной безопасности, экспертный совет по информационной безопасности.
В регионе происходит постоянное наращивание и интенсивное использование информационных технологий в органах государственной власти и местного самоуправления, в учреждениях, на предприятиях различных форм собственности. Среди них немало таких, деятельность которых связана с обеспечением устойчивости критически важных инфраструктур в управленческой, производственной и деловой сферах, относящихся к обеспечению национальной безопасности [1-8].
Именно поэтому проблема обеспечения безопасности критически важных информационных сегментов в этой сфере должна рассматриваться не только как проблема тех организаций, которые осуществляют применение таких ресурсов в своей практической и повседневной работе.
Этот вопрос должен быть в поле зрения органов региональной исполнительной власти, поскольку согласно п. 110 Стратегии национальной безопасности Российской Федерации до 2020 года «разработка и реализация комплекса оперативных и долговременных мер по предот-
вращению угроз национальной безопасности в федеральных округах проводятся при координирующей роли Правительства Российской Федерации федеральными органами исполнительной власти во взаимодействии с органами государственной власти субъектов Российской Федерации» [9].
Для организации эффективного и постоянного контроля надёжности и достаточности обеспечения безопасности критически важных информационных сегментов необходимо выстроить региональную систему, при этом вполне возможно взять в качестве ориентира положительно зарекомендовавший себя опыт работы администрации Калининградской области [10, с. 23-25], где с 1996 г. довольно успешно ведётся строительство региональной системы защиты информации. При этом поэтапно решены следующие задачи:
- создана сеть специализированных организаций и предприятий для практических работ и оказания услуг в области защиты информации по всем направлениям;
- во всех органах государственной власти, учреждениях, организациях и предприятиях области назначены лица, ответственные за защиту информации, и проведена их учёба;
- учреждена региональная система лицензирования организаций и предприятий на право проведения работ или оказания услуг в области защиты информации;
- на базе высших учебных заведений создана региональная система подготовки и переподготовки кадров для работы в области защиты информации, а также развёрнута научная и научно-техническая работа в области информационной безопасности;
- реализована система государственной аттестации объектов информатизации по требованиям защиты информации;
- внедрена система государственного учёта регистрации банков и баз данных государственных и иных информационных ресурсов и электронных изданий на территории области с определением их собственности, стоимости, практической и иной ценности, конфиденциальности, правил хранения и доступа как основы безопасности региональных информационных ресурсов;
- выработаны механизмы для эффективного взаимодействия правоохранительных органов в целях обеспечения правовой, юридической, судебной, процессуальной, доказательной, оперативно-следственной поддержки региональной системы защиты информации и безопасности информационных ресурсов;
- на региональном уровне разработана и введена система сертификации средств защиты информации по требованиям защиты информации.
По решению администрации области, создано специализированное государственное учреждение - Калининградский государственный научно-исследовательский центр информационной и технической безопасности (далее - Центр), который при поддержке Федеральной службы по техническому и экспортному контролю, ФСБ РФ, Межведомственной комиссии по защите гостайны, НТЦ «Информрегистр», Госстандарта РФ фактически стал стержнем регионального механизма, обеспечивающего на техническом и организационном уровнях решение комплекса задач информационной безопасности. Для практического использования в деятельности системы защиты информации ведутся НИР по финансовой оценке ущерба от утечки или несанкционированного использования информации, по доказательству фактов хищения информации, права собственности на информационные ресурсы и т. п.
На базе Центра, на основании совместного Решения ФСТЭК России и администрации Калининградской области, аккредитован региональный лицензионный центр защиты информации, который проводит экспертную проверку и подготовку организаций и предприятий региона к получению лицензии ФСТЭК России на ведение работ и оказание услуг в области защиты информации.
Для государственной аттестации объектов информатизации по требованиям защиты информации (компьютеры и компьютерные сети, где циркулирует информация, защищаемая государством, а также помещения, в которых они находятся) аккредитован региональный орган по аттестации объектов информатизации - Калининградский аттестационный центр защиты информации.
Регистрация баз и банков данных государственных и иных информационных ресурсов на территории Калининградской области является основой для превращения информации в ресурс, имеющий свою конкретную стоимость, регулирования правил обращения с информацией, доступа к ней, решения информационных споров, привлечения к уголовной и административной ответственности по информационным преступлениям. С этой целью, по представлению администрации области, Госкомитет по связи и информатизации РФ аккредитовал Центр представителем Государственного регистра (НТЦ «Информрегистр») по Калининградской области.
Для решения задачи сертификации средств защиты информации Центр получил лицензию ФСТЭК России на проведение сертификационных испытаний. В целях регулирования вопросов международного обмена государственными информационными ресурсами, администрацией области Центр утверждён Госкомсвязью РФ в качестве регионального центра экспертизы и лицензирования международного информационного обмена.
Межведомственной комиссией по защите гостайны Центр включён в перечень организаций, ведущих подготовку руководителей предприятий и специалистов по защите гостайны в зачёт государственной аттестации.
Таким образом, областной администрацией созданы необходимые институты региональной системы защиты информации: учреждена специальная организация - Калининградский государственный научно-исследовательский центр информационной и технической безопасности, открыт лицензионный центр защиты информации, созданы органы по аттестации объектов информатизации и сертификации по требованиям защиты информации, по регистрации баз и банков данных, ведётся научно-
Научно-практический журнал. ISSN 1995-5731
исследовательская работа по региональным проблемам защиты информации и подготовка кадров в области защиты информации.
Совместно с правоохранительными органами решён вопрос о создании региональной системы экспертной поддержки борьбы с преступлениями в сфере высоких технологий, контроля международного информационного обмена, ведётся усовершенствование региональной законодательной базы в области защиты информационных ресурсов.
Следовательно, ключевым звеном региональной системы управления информационной безопасностью должен стать аналитический центр, который осуществляет сбор и анализ различной информации по вопросам обеспечения информационной безопасности критических сегментов, результат анализа этих данных может стать основанием для принятия организационных решений по обеспечению необходимого уровня информационной безопасности.
Обозначим основные задачи и функции, которые должен выполнять аналитический центр:
- идентификация критических сегментов информационной инфраструктуры;
- моделирование угроз и рисков нарушения информационной безопасности;
- выработка предложений по внедрению комплекса мер и требований по обеспечению информационной безопасности;
- осуществление мониторинг-контроля обеспечения информационной безопасности;
- анализ текущего состояния инфраструктуры защиты информации, поиск путей повышения уровня безопасности, выработка рекомендаций по развитию системы защиты информации.
В состав критически важных информационных сегментов региона должны быть включены:
- системы электронного государственного управления на региональном и муниципальном уровнях, создаваемые базы данных для эффективного взаимодействия и оказания госуслуг в электронном виде, осуществления электронного документооборота и т. п.;
- инфраструктуры, поддерживающие процессы обеспечения региона водоснабжением, электроэнергией, газом и нефтепродуктами;
- финансово-банковская система;
- инфраструктура средств связи;
- транспортная инфраструктура;
- инфраструктуры служб экстренной помощи (полиции, пожарных, медицинских служб, служб спасения и чрезвычайных ситуаций);
- инфраструктуры обеспечения работы особо опасных производств (химия, нефтехимия, трубопроводный транспорт и т. п.);
- сфера научных и научно-исследовательских организаций, осуществляющих работы на приоритетных научных направлениях и по закрытой тематике;
- инфраструктуры предприятий оборонно-промышленного комплекса и другие [11-13].
При этом необходимо иметь в виду: если уровень использования информационных технологий в каких-либо внутренних сегментах указанных инфраструктур настолько высокий, что оказывается критичным для их функционирования, то каждый их элемент должен классифицироваться как критически важный сегмент инфраструктуры. Для любого из них необходимо построение модели угроз, реализация которых может способствовать тем или иным нарушениям в сфере информационной безопасности, в свою очередь, на основе этих моделей могут быть построены модели рисков, возможных при таких нарушениях.
Модель информационного риска включает в себя:
- описание различных вариантов их реализации в зависимости от той или иной конфигурации проявления угроз по отдельным системам;
- экспертные оценки для каждой из угроз, реализация которых может привести к появлению риска;
- оценку ущерба, который может быть нанесён при реализации рисков и угроз;
- степень вероятности возникновения рисковой ситуации и др.
Построение моделей событий рисков в соответствии с моделями угроз способствует определению уровня опасности рисков и угроз, сопоставлению степени критичности отдельных важных информационных сегментов региона, их структурных составляющих.
Аналитическая работа позволяет высказать предложения по реализации комплекса мероприятий, надёжно обеспечить информационную безопасность и снизить риски нарушения безопасности критически важных информационных сегментов региона. Эти предложения должна подкреплять организационно-правовая система, которая призвана осуществлять постоянный контроль за выполнением мер и требований по обеспечению информационной безопасности и добиваться повышения её эффективности.
Анализ текущего состояния защиты критически важных информационных ресурсов способствует значительному снижению возможности возникновения негативных рисков и поднятию уровня выполнения мер и требо-
ваний по защите информации на выделенных участках в максимальном объёме. При этом следует учитывать факторы:
- насколько могут быть эффективны дополнительные меры защиты;
- какова ожидаемая стоимость реализации этих мер;
- имеется ли возможность применения этих мер с учётом наличия материально-технических и кадровых ресурсов, предложений на рынке программно-аппаратных средств защиты, общего состояния и конфигурации инфраструктуры защиты информации, поскольку уровень её развития во многом определяет возможность выполнения системы мер защиты.
Так, развитие инфраструктуры доверия, в том числе внедрение открытых криптографических ключей на базе сертифицированных и доступных криптографических средств позволит значительно снизить в целом расходы на защиту каналов передачи информации, сделает криптографическую защиту доступной для большинства организаций региона, способствуя тем самым развитию безопасных систем электронной коммерции и электронного документооборота.
Создание регионального депозитария резервного хранения носителей информации поможет организациям без излишних затрат выполнять требования территориально-рас-пределённого резервирования и хранения критически важной информации.
Внедрение в регионе системы страхования информационных рисков даст возможность снизить уровень чрезвычайности событий из-за нарушений информационной безопасности, гарантированно компенсировать вероятные потери, усилит контроль выполнения программ безопасности за счёт вовлечения в систему контроля информационных экспертов организаций-страховщиков.
Развитие инфраструктуры доверия позволит органам государственной власти заявлять о гарантиях, что их информация является доступной для всех пользователей как необходимый и первый шаг к улучшению взаимодействия государства с гражданами и бизнесом, а приватная информация граждан и коммерческая тайна бизнеса будут надёжно защищены от несанкционированного доступа и утечки.
Внедрение региональных стандартов по всем направлениям, связанным с информатизацией, направит развитие этих процессов таким образом, что электронный обмен документами, их обработка и хранение будут базироваться на таких форматах, которые позволят этим процессам быть доступными на законной основе для всех заинтересованных сторон, чтобы осуществлять взаимный обмен информацией без
каких-либо ограничений. Это обеспечит возможность для государственных органов, бизнеса и граждан применять широкий диапазон изделий, способных к чтению, письму и управлению документами, стимулируя различные новшества в области обработки документов и защиты документооборота в электронном виде.
Решение задач в сфере стандартизации приведёт к положительным результатам и упрощению деловых процессов, созданию высокой результативности совместных действий в информационных сетях, повысит эффективность защиты информации. Это необходимое условие развития и гарантирования способности к взаимодействию учреждений, организаций, бизнеса и граждан в условиях внедрения электронного правительства.
Разработка административных процессов и процедур, кроме внедрения региональных стандартов, входящая в структуру способности к взаимодействию, рассматривающую, главным образом, семантическую, техническую и организационную способность к взаимодействию, базирующуюся на открытых стандартах, является важным элементом рассматриваемой системы, поскольку учреждения электронного правительства должны быть основаны на хорошо разработанных регламентах, чётко ориентированных на потребности граждан и защиту приватной информации [14].
Несомненно, что в нашем регионе, с учётом особенностей и разнообразия его информационной инфраструктуры, по мере роста интенсивности применения информационных технологий в критических сегментах необходимо так выстроить вертикаль системы информационной безопасности, чтобы она позволяла повсеместно обеспечивать необходимый уровень защиты критически важных информационных сегментов региона, что крайне актуально при создании электронного правительства региона.
Очевидно, что значительная часть задач по контролю и повышению защищённости критически важных информационных сегментов может решаться непосредственно на местах. Однако для повышения эффективности противодействия информационным рискам и угрозам, осуществления скоординированных мер по противодействию им, экономии финансовых и материальных ресурсов, выработки методических рекомендаций в данной сфере необходимо принятие мер на региональном уровне, где концентрируется не только информация, необходимая для эффективного контроля состояния и управления информационной безопасностью, но и решается главная задача - осуществление комплексного подхода к формированию предпосылок к тому, чтобы изменить правосознание
Научно-практический журнал. ISSN 1995-5731
граждан по отношению к информационным ресурсам, защите информации, добиться доверия населения к действиям органов власти в данной области [15].
Как показывает практика, в регионе довольно эффективно ведётся работа в этом направлении. На постоянной, плановой основе работает Совет по защите информации при Правительстве Саратовской области, действует общественный экспертный совет по информационной безопасности, выполнение рекомендаций Координационного совета по информационной безопасности при полномочном представителе Президента РФ в Приволжском Федеральном округе находится под постоянным контролем, что позволяет поддерживать на должном уровне состояние региональной системы информационной безопасности.
Библиографический список
1. Российская Федерация. Законы. О персональных данных [Электронный ресурс] : федеральный закон № 152- ФЗ : [принят 27 июля 2006 г.]. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
2. Российская Федерация. Законы. Об
информации, информационных технологиях и о защите информации [Электронный ресурс] : федеральный закон № 149-ФЗ : [принят 27 июля 2006 г.]. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
3. Российская Федерация. Законы. Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления [Электронный ресурс] : федеральный закон № 8-ФЗ : [принят 9 февраля 2009 г.]. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
4. Российская Федерация. Законы. О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации [Электронный ресурс] : федеральный закон № 7-ФЗ : [принят 13 января 1995 г : по сост. на 12 мая 2009 г.]. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
5. Российская Федерация. Законы. О государственной тайне [Электронный ресурс] : закон РФ № 5485-1 : [принят 21 июля 1993 г.]. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
6. Российская Федерация. Законы. Об
участии в международном информационном обмене [Электронный ресурс] : федеральный закон № 85-ФЗ : [принят 4 июля 1996 г.]. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
7. Об основах государственной политики в сфере информатизации [Электронный ресурс] : Указ Президента РФ № 170 от 20 января 1994 г. -АИПС КонсультантПлюс (дата обращения: 16.12.2011).
8. Доктрина информационной безопасности Российской Федерации [Электронный ресурс] : утв. Президентом РФ 9 сентября 2000 г. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
9. Стратегия национальной безопасности Российской Федерации до 2020 года [Электронный ресурс] : утв. Указом Президента Российской Федерации № 537 12 мая 2009 г. - АИПС КонсультантПлюс (дата обращения: 16.12.2011).
10. Касьянов М. Региональная система защиты информации [Текст] // Политика : журнал Совета Федерации РФ. - 2000. - № 40. - Сентябрь.
11. Гришин С. Е. Формирование культуры кибербезопасности - актуальная задача современности [Текст] // Вестник СГСЭУ. - 2011.
- № 4. - ISSN 1994-5094.
12. Плято С. С. Потенциальные вызовы электронному правительству [Текст] // Вестник СГСЭУ. - 2011. - № 2. - ISSN 1994-5094.
13. Гришин С. Е., Овчинников С. А. Угрозы личности, обществу и государству информационных технологий с учётом перспектив их внедрения для обеспечения «электронного правительства» [Текст] / С. Е. Гришин, С. А. Овчинников // Вестник СГСЭУ. - 2011. - № 3. - ISSN 1994-5094.
14. Овчинников C. А. Проблемы стандартизации, совместимости и взаимодействия органов государственной власти, бизнеса и граждан в условиях широкого внедрения информационных технологий [Текст] / С. А. Овчинников, В. П. Семёнов // Информационно-коммуникационные технологии в сфере культуры. - Саратов, 2011. - ISBN 978-5-4345-0049-4.
15. Овчинников C. А. Подготовка специалистов по защите информации - на уровень современных международных требований [Текст] // Информационная безопасность регионов : научно-практический журнал. - 2007. - № 1(1).
- ISSN 1995-5731.
Материалы поступили в редакцию 10.01.2012 г.