2.2. Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации
Как отмечалось, в системе национальной безопасности России особая роль принадлежит обеспечению ИБ, безопасности информации и защиты информации. По нашему мнению, их следует рассматривать как комплекс мер (правовых, организационных, технических), принимаемых федеральными органами власти, органами власти субъектов РФ по выявлению, предупреждению и противодействию разноплановым угрозам.
Ниже рассматриваются примеры, которые могут послужить введением в существо проблемы.Информационные технологии в настоящее время используются во всех сферах жизнедеятельности общества. Без них практически невозможно создать продукт, оказать услугу и, тем более, обеспечить информационную безопасность, безопасность информации и защиту информации. Необходимо отметить, что особая роль в этом вопросе отводится органам власти, которые являются основными «производителями» информации в России. И, как справедливо отмечают некоторые авторы [1], «именно информация, идущая от них, представляет собой самый важный ресурс, необходимый для жизни каждого гражданина и для деятельности всех участников рынка», поэтому, продолжают они, «...органы исполнительной власти обязаны постоянно использовать новые технологии для распространения информации, необходимой обществу...», и, в частности, «...необходимо облегчить их доступ (общества - прим. Е.А.) в органы исполнительной власти через российский сегмент международной ассоциации сети Интернет», так как сайты обозначенных органов «...содержат всю общест- венно значимую информацию об их структуре, задачах, функциях и текущей деятельности».
В федеральной щелевой; программе «Электронная! Россия (2002 - 2010 годы)» [36] (ФЦП «Электронная^ Россия»), которая рекомендована; к реализации органам исполнительной власти субъектов-РФ; отмечается, что по мере развития; и проникновения информационных и коммуникационных технологий во все-сферы;общественной жизни органы власти все чаще используют их для организации' эффективного- управления своей, деятельностью и повышениям качества предоставляемых.услуг населению.
Использование таких технологий в со- врсменном информационном обществе является необходимым условием: обеспечения, соответствйягосударственного управления ожиданиям и потребностям населения..Вместе с тем, ФЦП; «Электронная Россия»- [36] преследует своей целью обеспечение защиты, и безопасности данных, используемых, для; целей государственного управления, нрав граждан на защиту персональных данных- и реализацию их законных интересов: при информационном, взаимодействии с органами; власти, так. как; не: сформирована инфраструктура; обеспечивающая ИБ электронных форм;взаимодействия органов власти между собой, с населением и организациями. И,, как, справедливо отмечает Мирошниченко М.В; [27], сегодня «система, обеспечения национальной безопасности России не справляется? с постояннымростом источников опасностей, их качественным изменением, растущим разнообразием угроз; и их комбинаций), а также с оценкой интегрального состояния безопасности и выработкой решений по блокированию угроз». Мы по-, лагаем, что данное высказывание можно отнести и к системе обеспечения ИБ, так как она является неотъемлемой частью национальной безопасности России.
На наш взгляд, следует также согласиться с мнением Идрисова РФ; [18] о том, что защита информации;должна носить комплексный характер, поскольку при постоянно меняющейся международной обстановке «...деятельность технических разведок развитых иностранных государств по добыче...» информации «...не сокращается и эти государства продолжают принимать меры, по по- вышению её эффективности», при этом «...значительный интерес для технических разведок стала представлять не только секретная, но и служебная информация, не относящаяся к категории секретной, но позволяющая путём анализа и сопоставления содержащихся в ней сведений получить важную информацию», порой информацию, содержащую сведения, составляющие государственную тайну. Здесь следует добавить, что такого рода деятельностью занимаются не только иностранные спецслужбы, но и террористические организации, юридические и физические лица (в том числе, государственные служащие), а также криминальные структуры.
Данная проблема особенно актуальна для органов власти субъектов РФ [41], так как по результатам деятельности Управления ФСТЭК России по СЗФО выявляются факты нарушения названными органами требований нормативных правовых актов, нормативно-методических и методических документов в области защиты информации, что предполагает потенциальную возможность утраты, нарушения целостности, доступности и утечки такой информации.
Указание законодателя на необходимость неукоснительного соблюдения данных требований было продиктовано, по нашему мнению, тем, что в органах власти субъектов РФ в связи с активным использованием ИТ значительную часть бумажных информационных ресурсов стали конвертировать, хранить, обрабатывать, передавать с использованием информационных систем. Данные системы изначально строились и эволюционно развивались на условиях открытости, однако в процессе использования этих систем стали накапливаться огромные массивы общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информация ограниченного доступа), разглашение, утрата, нарушение целостности, достоверности которой могли нанести значительный ущерб.При этом вопрос развертывания механизмов ЗИ в органах власти, как правило, не рассматривался, что породило множество проблем, связанных с безопасностью информации, а именно: возможность утечки информации по техническим каналам; несанкционированное уничтожение, искажение, копиро- вание, блокирование информации в системах информатизации; применение не- сертифицированных средств защиты информации, в том числе и криптографической; нарушение правового режима использования массивов, программ обработки информации, обеспечения полноты, целостности, достоверности информации в системах обработки; отсутствие возможности управления процессом обработки и пользования информацией; отсутствие статистического учёта фактов нарушения режима защиты информации.
Именно поэтому в [33] отмечено, что защита информации в системах и средствах информатизации и связи является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах власти и на предприятиях, располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайнам.
Согласно п.п. 2 п. 4 ст. 6 [63] обладатели информации при осуществлении своих прав обязаны принимать меры по ЗИ, под которыми* понимается организация и реализация правовых мер, основанных на федеральных и региональных нормативных правовых актах; организационных мер, определяющих стратегические, долгосрочные решения по организации системы защиты информации, обязательные для исполнения не только учреждениями, но и всеми организациями и предприятиями, независимо от их подчиненности, так или иначе сталкивающихся (обрабатывающих, передающих или пользующихся) с информационными ресурсами органов власти субъектов РФ; технических мер, определяющих конкретные решения по организации защиты элементов технических средств.
По мнению Фатьянова А.А.
[37], «...на рубеже 90-х годов XX века окончательно прояснилась ситуация, при которой дальнейшая автоматизация средств телекоммуникации и управления неизбежно делает их более уязвимыми от негативных последствий, в результате которых возможны катастрофиче- J ские последствия для экономики и обороны страны».На наш взгляд, на нынешней стадии развития информационного общества «информационные технологии» представляют собой орудие труда, а предме- тами труда являются «информация» и «знания», а, по мнению Ю.Г. Просвир- нина [40], общественные отношения в постиндустриальном обществе «...во многом определяются именно этим обстоятельством», соответственно «...экономика общества ориентирована на производство прежде всего продуктов информационной и интеллектуальной деятельности, связанных с получением новой информации и новых знаний, и реализацией этих продуктов». Развивая свою мысль, автор утверждает, что «...государственные структуры призва- , ны решать задачи по созданию эффективной системы обеспечения прав граждан и социальных институтов...».
Мы солидарны с данной позицией, однако, следует добавить, что в соответствии с Конституцией РФ неотъемлемое право граждан - право на безопасность, а обеспечивать безопасность - одна из основных функций любого государства, которая, носит комплексный, собирательный характер.
Для достижения выше обозначенной цели в ФЦП «Электронная Россия» [36] предполагается сформировать систему стандартов и методических рекомендаций по управлению внедрением информационных и коммуникационных технологий в государственное управление, по разработке и внедрению государственных информационных систем. В рамках указанных мероприятий предполагается разработать прежде всего единые требования к информационным и коммуникационным технологиям, используемым для организации процессов государственного управления, и требования к программным решениям и технологиям, используемым для создания государственных информационных систем и обеспечения их информационного взаимодействия, а также процедуры установления соответствия программных решений и технологий для создания государственных информационных систем сформированным требованиям.
Отражение такой идеологии мы находим в «Концепции региональной информатизации до 2010 года» [47], основной целью которой также является обеспечение ИБ региональных и муниципальных информационных систем, информационно-телекоммуникационной инфраструктуры на территории субъек- ' тов РФ.
Сама же государственная политика в сфере региональной информати- зации основывается на принципе обеспечения безопасности информационных систем, их защиты, сохранности, целостности и достоверности.- /
В целях обеспечения информационной открытости деятельности органов власти субъектов РФ, органов местного самоуправления, а также информирования населения о результатах социально-экономического развития региона и отдельных муниципальных образований в рамках электронного правительства региона предусматривается создание в сети Интернет сайтов органов власти субъектов РФ и органов местного самоуправления. Информация, размещаемая на данных сайтах, является открытой, общедоступной, однако, собственник (обладатель, оператор информационной системы) должен обеспечить её защиту.
В целях обеспечения защиты электронного правительства региона, его - отдельных подсистем, региональных информационных систем и информационного обмена от несанкционированного доступа, изменения и хищения, а также в целях борьбы с компьютерными вирусами и предотвращения утечек информации должна быть сформирована единая политика обеспечения ИБ и реализована соответствующая подсистема.
Политика обеспечения ИБ должна устанавливать общую модель угроз в сфере ИБ электронного правительства региона, классификацию объектов электронного правительства региона по необходимому уровню обеспечения ЗИ и общие требования к ним, критерии отнесения объектов системы электронного
/
правительства региона к системам, требующим защиты, и перечень необходимых мер по обеспечению их защиты, порядок согласования требований к отдельным подсистемам электронного правительства региона, а также аттестации объектов электронного правительства региона, порядок доступа к подсистемам электронного правительства региона.
Подсистема обеспечения ИБ электронного правительства региона включает функции осуществления доступа к подсистемам, регистрации и учёта действий пользователей при работе с системой, мониторинга нарушений в области
ИБ, обеспечения антивирусной защиты, а также обеспечения ЗИ при её передаче и обработке с использованием сертифицированных средств.
Как видно из вышеизложенного, разработка модели угроз и их анализ является приоритетным элементом обеспечения защиты электронного правительства региона, его отдельных подсистем, региональных информационных систем и информационного обмена.
Тем более, что применение новых безопасных ИТ и С в органах власти РФ многообещающе и перспективно «...как в плане повышения эффективности работы органов исполнительной власти, так и в плане совершенствования их отношений с гражданами...».
Применение же самих технологий и систем «... облегчают и ускоряют связь между гражданами и органами исполнительной власти; ликвидируют ограничения, налагаемые расписанием работы или географической1 удаленностью (или другими факторами) органов исполнительной власти, и обеспечивают: доступность информации (возможность ее использования в установ- ' ленном режиме); подлинность информации (получение информации в полном виде, без посредников); обязательность коммуникационных процессов (надежность, законность); конфиденциальность (информация используется только теми, кто имеет на это право) и другие условия» [1].Применение ИТ и С «...позволяет сделать исполнительную власть более «прозрачной» и более эффективной в отношениях с гражданами, для которых «открытость» органов исполнительной власти - ключевой вопрос демократии» [1]. Поэтому применение средств адекватной защиты таких ИТ и С является неотъемлемой частью их жизненного цикла.
В любом случае «...технология рано или поздно становится технологией информационной: если не целиком, то по крайней мере отдельные ее компоненты имеют отношение к ИТ» [20], так как ИТ и С — прежде всего' инструмент, который служит для достижения поставленных целей путем координации производственных процессов. Обладание таким инструментом в совокупности со знаниями знание составляют основу здоровой, растущей экономики.
ИТ и С — это ядро, т.е. единство аппаратного (Hardware), программного (Software), алгоритмического (интеллектуального) обеспечения (Brainware, knoware) и сети поддержки, направленное на достижение определенной цели. «Если отсутствует хоть один из компонентов или он неадекватен, мы не может говорить об ИТ и С, по крайней мере в сфере бизнеса, что бы ни утверждали по этому поводу специализированные журналы или эксперты» [20].
Правомерно возникает вопрос, почему же ИТ и С, а не информационные технологии? Информационные технологии в отличие от технических информационных технологий не могут существовать сами по себе. Информационная технология реализуются только тогда, когда имеется взаимосвязь с другими информационными технологиями, объединенными в сети или системы. Таким образом ИТ и С - означает не только ядро и сеть поддержки, но и слияние различных сетей в более крупные системы (системы технологий), на основе которого (слияния) вырастают экономические показатели.
В [63] под «информационными технологиями» понимаются - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения' информации и способы осуществления таких процессов и методов; а под «информационной системой» - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Однако следует согласиться с мнением А.В. Нестерова [28] о том, что определение «информационные технологии» определением не является, так как содержит в себе только совокупности элементов, которые входят в обеспечивающую технологию некоторых процессов, и не включает ни структурных, ни функциональных свойств самой технологии. Исходя из предпосылки, что метод - это описание конечной последовательности операций, приводящей к искомому, результату, а способ - описание неопределенной совокупности операций, могущей привести к искомому результату, а вместе они процедура (описание процесса), то тогда мы различаем термины процесс и процедура, что нельзя сказать о Федеральном законе РФ [63]. Сама информационная технология является ча- стью информационной системы, в которую еще входят информация баз данных и технические средства.
В.И. Ярочкин и Я.В. Бузанова дают следующее определение «информационной системы» - это организационно-информационная совокупность информационных ресурсов, технических средств, технологий, реализующих информационные процессы в традиционном и автоматизированных режимах для удовлетворения информационных потребностей [72].
Таким образом, мы выяснили, что органы власти в своей деятельности используют ИТ и С как российского производства, так и иностранного производства (в большинстве случаев). К ИТ и С иностранного производства российским законодательством предъявляются особенные («жесткие») требования. Однако недостаток подготовленных специалистов в области защиты информации в органах власти способствует нарушению законодательства в области защиты информации. Это законодательство довольно обширно, существует целый блок нормативных правовых, нормативных методических и методических документов, соблюдение и исполнение требований которых на местах позволит обеспечить надлежащий уровень защиты ИТ и С.
/
Непосредственно вопрос защиты информации органов власти*рассматри- вается в следующем подразделе.