Обзор подготовлен При поддержке корпорации При участии
CNewsAnalytics Парус Журнал Форум IT

Защита информации в органах государственной власти: сильные и слабые стороны

Защита информации в органах государственной власти: сильные и слабые стороны

Данные, циркулирующие в сетях министерств и ведомств, в большинстве случаев носят закрытый характер. Обеспечение защиты информации и ее целостности — одно из важнейших условий развития ИТ в государственных структурах.



Сильные стороны государственных информационных систем

К сильным сторонам государственных информационных систем России, безусловно, можно отнести их автономность. В первую очередь это касается тех систем, в которых циркулирует информация, содержащая сведения, составляющие государственную тайну. Подключение таких систем к глобальным информационным сетям категорически запрещено. И это абсолютно оправдано.

В середине 70-х годов, когда был изобретен протокол TCP/IP, США начали активно объединять свои закрытые информационные ресурсы в единое информационное пространство, при этом конфиденциальность информации и ее защиту удавалось обеспечить на соответствующем уровне.

С течением времени эти объединенные информационные ресурсы превратились в общедоступную глобальную информационную систему, появились пользователи системы, которые вопреки ограничениям все же пытались получить доступ к закрытым информационным ресурсам и зачастую их попытки заканчивались успехом. Так началось противостояние между «нападением» и «защитой». Соединенные штаты потратили на защиту информации в глобальных информационных сетях сотни миллионов долларов, однако обеспечить абсолютной защиты закрытой информации так и не удалось, нападение идет на шаг впереди. В связи с возросшей угрозой атак именно на государственные информационные системы, США решили отключить фрагменты своих закрытых информационных ресурсов от глобальной информационной системы.

Слабые стороны государственных информационных систем

Специалисты в сфере защиты информации к одной из слабых сторон отечественных ИТ-систем, используемых в нуждах государства, относят распространенность иностранного аппаратного и программного обеспечения. Это и неудивительно — ведь российский рынок в буквальном смысле наводнен продукцией западных разработчиков.

Экспертам в сфере защиты информации известны попытки государства создать отечественную вычислительную технику, которая могла бы конкурировать с иностранной. Также предпринимались попытки создать процессор, который мог бы конкурировать с процессорами известных зарубежных производителей. До сих пор предпринимаются попытки создать национальную операционную систему, которая вытеснила бы Windows с российского рынка. Однако пока что эти устремления не увенчались успехом.

Основной причиной «топтания на месте» является то, что российские производители пытаются воспроизвести то, что уже находится в обиходе, а разрабатывалось, соотвественно, лет пять назад. И когда мы получаем какой-то собственный продукт, на рынок выходит иностранный продукт, который на порядок превосходит отечественный по характеристикам и на столько же дешевле по цене.

Другой слабой стороной государственных информационных систем является недостаточное внимание к защите информации, которая в соответствии с Перечнем сведений, утвержденным Указом Президента РФ от 6 марта 1997 г. № 188, отнесена к сведениям конфиденциального характера.

Ярким примером этого может служить наличие в свободной продаже на различных компьютерных рынках баз данных ГИБДД, баз телефонных номеров, анкетные данные граждан и т.д., которые содержат сведения конфиденциального характера, и распространение которых должно быть пресечено.

В настоящее время ситуация начинает меняться в лучшую сторону. В 2002 году впервые в России появился документ — «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) — регламентирующий порядок технической защиты конфиденциальной информации. До этого времени порядок технической защиты конфиденциальной информации был никем не определен и соответственно, структуры, работающие с информацией подобного рода, не обращали на это никакого внимания, экономя на этом денежные средства.

Теперь Государственная техническая комиссия при Президенте Российской Федерации, как федеральный орган, отвечающий в стране, в том числе за защиту информации, начинает брать ситуацию под свой контроль. Организации и структуры, использующие в своей деятельности сведения конфиденциального характера, будут вынуждены привести все в соответствие с требованиями упомянутого выше документа. Примечателен тот факт, что эти новшества заденут не только государственные структуры, но и коммерческие, поскольку коммерческая тайна относится к конфиденциальной информации.

Еще одной слабой стороной государственных информационных систем специалисты называют т.н. «человеческий фактор». Благосостояние чиновника никак не зависит от качества и уровня защиты государственной информации. Фактически, чиновникам безразлично, как именно организована подобная защита — ведь речь идет не об их личной информации. В коммерческих структурах ситуация несколько иная. Держась за свое рабочее место, сотрудник, занимающийся вопросами информационной безопасности, что называется, выкладывается на все 100%, поскольку это непосредственно влияет на его личное благосостояние.

К слабым сторонам государственных ИТ-систем в России можно также отнести и то, что защита информации в них осуществляется только в соответствии с существующими руководящими и нормативно-методическими документами, которые жестко определяют порядок действий и фактически исключают инициативный подход. Большая инерционность государственной машины в плане совершенствования законодательной и нормативно-методической базы, регламентирующей вопросы информационной безопасности, может в худшую сторону влиять на качество защищенности государственных информационных ресурсов.

ПО с открытым кодом (ОС Linux) в органах государственной власти

У программного обеспечения с открытым кодом есть перспективы с точки зрения его использования в органах государственной власти. Прежде всего, использование такого ПО госструктурами упрощает процесс его сертификации на соответствие требованиям по безопасности информации. Ведь сейчас практически все операционные системы, находящиеся на российском рынке, имеют сервис защиты, который позволяет организовать разграничение доступа и осуществить защиту информации. Однако из-за отсутствия исходных текстов ПО не удается провести сертификацию сервиса защиты, который есть в составе операционной системы. И чтобы обойти это отечественные производители разработали и активно производят изделия, сертифицированные Гостехкомиссией России, которые практически дублируют сервис защиты операционных систем.

Если посмотреть на вопрос использования ПО с открытым кодом с другой стороны, можно отметить, что подобное ПО может свободно модернизироваться или к нему может дописываться дополнительный сервис «продвинутыми» программистами. Однако проконтролировать распространение модифицированного продукта невозможно. И это одна из главных проблем программного обеспечения с открытым кодом с точки зрения информационной безопасности. Противостоять этому системы сертификации вряд ли смогут, а соответственно они должны быть адаптивны по отношению к динамично развивающемся программным продуктам.

В настоящее время корпорация Microsoft, в частности, пошла на то, чтобы предоставить в Гостехкомиссию России исходные тексты своего программного обеспечения с целью его дальнейшей сертификации. Однако, инерционность государственной машины, большой объем работ по сертификации ПО и высокая частота обновления ПО корпорацией Microsoft может свести все усилия на «нет».

Что касается операционных систем, исходные тексты которых опубликованы, то у них не большие перспективы. И в первую очередь ограничивать их распространение будет консерватизм. Ведь Windows присутствует на российском рынке с начала 90-х годов. И победить приверженность пользователей к отлаженному продукту будет очень трудно. К тому же, вопросы информационной безопасности в органах государственной власти в России, к сожалению, беспокоят очень незначительное количество человек.

Кроме всего прочего, внедрение новых программных продуктов требует больших финансовых вложений и в первую очередь на переподготовку пользователей этих продуктов, а это в настоящее время проблематично.

Алексей Лавров / НПП «Гамма»

Конфиденциальная информация — информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с Российским законодательством.

Перечень сведений конфиденциального характера
(утвержден Указом Президента РФ от 6 марта 1997 г. № 188)

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.



Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS