Обзор подготовлен при поддержке

КРОК

ИТ-безопасность: госорганы надеются на "авось"

Информационная безопасность, в силу недостаточного понимания руководителей госорганов всей сложности ее обеспечения, является слабым звеном ИТ-обеспечения госвласти. Существует ряд системных проблем, они связаны с нормативной правовой базой, системой стандартов по обеспечению информационной безопасности, необходимостью использовать ПО иностранного производства, подготовкой государственных служащих и рядом других факторов. Все эти проблемы требуют неотложного разрешения.



Нормативная база так и не готова

Основным барьером в сфере обеспечения информационной безопасности федеральных органов государственной власти является неполнота и противоречивость нормативной базы в этой области, в частности: отсутствует четкое разделение полномочий между Федеральной службой по техническому и экспортному контролю — ранее Государственная техническая комиссия при президенте России — и ФСБ; устаревшие — принятые много лет назад — правила ввоза телекоммуникационного оборудования и средств обеспечения безопасности, не соответствующие внутрироссийским законодательным инициативам, разрешающим сертификацию средств защиты, которые нельзя импортировать в Россию; отсутствие прозрачной и единой системы сертификации средств обеспечения информационной безопасности, сконцентрированной в одном ведомстве; отсутствие единой классификации информации и большое число видов тайн, ссылки на которые разбросаны по сотням законодательных актов; ограничения на использование международных стандартов в области информационной безопасности, что сдерживает развитие информационных систем организаций, обеспечение их взаимодействия, в том числе и в сфере противодействия террористическим организациям.

Существует потребность в подготовке и принятии ряда федеральных законов, необходимых для обеспечения эффективной защиты государственных информационных систем, в том числе, законодательных актов, регулирующих использование электронных документов и персональных данных, конфиденциальной информации. Большинство отечественных ГОСТов, руководящих документов, требований разработанных в период 1992 — 1996 гг, не учитывают международные стандарты и опыт, и не обеспечивают комплексного подхода к проблеме защиты информации. Нуждаются также в обновлении основные акты, регламентирующие вопросы безопасного использования информационных технологий в федеральных органах государственной власти. Отсутствует единый порядок и методика категорирования информационных систем и ресурсов (за исключением вопросов, касающихся защиты государственной тайны).

Практически полностью отсутствуют требования по разработке и сертификации современных компонентов информационных технологий, которые могут использоваться в федеральных органах государственной власти (электронный документооборот, создание интернет-порталов и сайтов, электронной почты и др.), предназначенных для обработки информации различных категорий, а также типовые проектные решения по защите таких компонент. Так же отсутствуют сертифицированные в установленном порядке продукты информационной безопасности, базирующиеся на международных защищенных протоколах и использующие криптографические средства, созданные в соответствии с российскими требованиями. А многочисленные аппаратные и программные средства обеспечения информационной безопасности, представленные на отечественном рынке, мало совместимы.

Что делать с иностранным ПО?

Эти проблемы переплетаются с другими, возникающими при использовании программных продуктов иностранного производства. Последнее приводит к значительным сложностям, как при обеспечении информационной безопасности, так и с получением соответствующих заключений и сертификатов на создаваемые государственные информационные системы. Открытие исходных кодов, осуществляемое рядом иностранных компаний, не решает проблему по существу. Последнее связано с тем, что необходим надежный способ проверки программного обеспечения с большим объемом исходного кода на наличие недекларированных возможностей. Не решает проблемы полностью и сертифицикация иностранных программных продуктов. Она дает гарантию безопасности лишь в отношении конкретной версии программного продукта, но не более того.

Использование сети интернет для получения справочной информации и организации взаимодействия с гражданами и организациями также сопровождается рядом нерешенных проблем, а именно: отсутствует единая система мониторинга и предупреждения компьютерных атак; действующие в сети интернет официальные сайты и информационные системы органов государственной власти, как правило, не обеспечивают даже минимального необходимого уровня информационной безопасности.

Про угрозы просто не знают

Более того, для многих федеральных органов государственной власти обеспечение информационной безопасности не является приоритетной задачей. А зачастую задача защиты информации при создании автоматизированных и прикладных систем не ставится вообще. Как следствие, отсутствует единая политика обеспечения информационной безопасности, специальные подразделения и квалифицированные сотрудники, ответственные за эту сферу, финансирование данной области, а также программные, программно-аппаратные и другие технические средства защиты информации.

Так, по мнению Тагира Яппарова, председателя совета директоров компании «АйТи»: «Угрозы, сопутствующие применению тех или иных информационно-технологических решений, изначально оцениваются неадекватно. Хотя в последнее время наблюдается тенденция к более адекватному восприятию угроз информационной безопасности».

Еще одним серьезным барьером является низкая квалификация и отсутствие обучения рядовых пользователей правилам и основам информационной безопасности. Большинство государственных служащих имеют слабое представление о вопросах информационной безопасности и особенностях работы с государственными информационными системами и ресурсами. Число квалифицированных специалистов в области информационной безопасности невелико, а в подавляющем большинстве органов власти они практически отсутствуют.

Но в последнее время «наблюдается положительная динамика в изменении отношения к проблеме обеспечения информационной безопасности в государственных организациях», — считает Гарри Кондаков, управляющий директор «Лаборатории Касперского». Так, в 2004–2005 гг. ряд министерств и ведомств модернизировали существующие системы ИБ в связи с появлением новых технических решений.

CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS