Техническая библиотека CITForum.ru CITKIT.ru - все об Open Source Форумы Курилка
Все новости / Все статьи Деловая газета - шквал(!) IT-новостей :: CITCITY.RU
Первая полоса ИТ-Инфраструктура Телекоммуникации Безопасность BI Интеграционные платформы КИС IT-бизнес Ширпотреб Точка зрения

18.07.2018

Новости:


Все новости

Безопасность

Особенности защиты информации в госструктурах

Ни для кого не секрет, что защите информации в государственных структурах всегда уделялось особое внимание. Вероятно, все согласятся и с тем, что информация, имеющая ценность для государства, действительно критичный элемент, требующий самого бережного отношения. Видимо, именно по этой причине принцип максимального запрета — «враг не пройдет, но и друг тоже» — прочно укоренился в подходе к построению системы защиты информации в госструктурах. Использование такого подхода, тем не менее, не способствует успешному взаимодействию и обмену информацией между различными государственными ведомствами. В данной статье рассматриваются проблемы, с которыми сталкиваются госструктуры при построении систем защиты информации по устаревшим принципам, и те положительные тенденции, которые дают надежду на улучшение ситуации в будущем.

Если исходить из положений Концепции информационной безопасности для органов государственной власти, то ее основные постулаты используют общие принципы для организации системы информационной безопасности как в государственных, так и коммерческих структурах. Положения Концепции отражают цели, которые должны быть достигнуты в части защиты информации:

  • целостность
  • доступность
  • конфиденциальность
  • возможность установления авторства электронных документов

Следом за целями указаны задачи, посредством решения которых они достигаются:

  • защита информации от несанкционированного доступа или изменения
  • организация защищенного доступа в открытые сети связи, в том числе в Интернет или по другим каналам
  • защита от воздействия компьютерных атак и вирусов

Основной особенностью подхода к защите ИС в госструктурах является обязательное применение сертифицированных средств, преимущественно отечественных производителей — лицензиатов федеральных органов власти.

Сертифицированные средства — палка о двух концах

Использование сертифицированных средств, с одной стороны, обеспечивает конфиденциальность передаваемой информации (в первую очередь это касается информации, содержащей гостайну) и соблюдение законодательства — что, вне всякого сомнения, важно и необходимо. С другой стороны, разработчики таких средств часто отталкиваются от требований, которые предъявляет сертифицирующий орган, забывая при этом про функциональность, что приводит к серьезным неудобствам при обработке информации. Кроме этого, время, затраченное разработчиком на сертификацию, также играет не на пользу функциональности — получившее сертификат средство может изначально быть устаревшим с точки зрения поддерживаемых платформ и т. д.

В качестве наиболее характерного примера можно привести средства криптографической защиты, получившие широкое распространение в госструктурах. Для обработки информации, содержащей гостайну, в госструктурах используются СКЗИ, которые сертифицирует ФСБ России. Интерфейс, возможности управления коллективной работы с такими средствами на порядок отстают от их западных аналогов.

Взаимодействие между различными государственными ведомствами

Так сложилось, что информационные системы различных ведомств разрабатывались обособленно, в результате унифицированные и стандартизированные правила взаимодействия между различными госструктурами выработаны не были. Разработка схемы взаимодействия с другими госструктурами каждым из государственных ведомств в отдельности — дорогостоящий процесс, и его эффективность зависит в том числе и от факторов, на которые можно повлиять лишь косвенно либо нельзя повлиять вовсе.

Например, электронное взаимодействие с другими ведомствами может быть ограничено возможностями информационных систем данных ведомств и применяющимися регламентами по защите информации. Кроме того, дифференциация в финансировании статей бюджета на информационную безопасность для различных государственных организаций влечет за собой и ощутимую разницу в применяемых решениях и технологиях.

Решение этой проблемы можно ожидать не ранее, чем будет принят стандарт для системы взаимодействия между государственными ведомствами, предусматривающий систему унифицированного документооборота между госструктурами и единые требования к обеспечению информационной безопасности при взаимодействии между государственными ведомствами.

Не в деньгах счастье, но все же…

Сегодня в государственных организациях актуальной остается проблема недостаточного финансирования, предназначенного для обеспечения безопасности информации. Но ситуация постепенно меняется, и во многих госструктурах эта проблема успешно решается, но существует еще немало организаций, которых она касается самым непосредственным образом. В результате организации пытаются «сэкономить», и последствия такой «выгоды» очевидны.

Так, проектирование системы информационной безопасности проводится собственными силами, без привлечения сторонних специалистов. Это зачастую приводит к тому, что решения по защите сложных информационных систем берутся «с потолка» и при выборе архитектуры решения руководствуются не реальными задачами, а соблюдением формальных требований. Кроме того, знания кадровых работников многих госструктур, отвечающих за информационную безопасность, не достаточны. Как правило, такие сотрудники наиболее компетентны в области обязательных требований к средствам защиты информации — в итоге информационная безопасность сводится к формальному соблюдению законодательства и регламентов. Тогда как реальная информационная безопасность — гораздо более широкое понятие.

Внутренний враг

Еще одной проблемой является расстановка приоритетов — куда именно должны быть направлены усилия по обеспечению ИБ и насколько сильно следует «закручивать гайки», чтобы обеспечить необходимый уровень защищенности. Сегодня в СМИ много говорится о проблеме внутренней информационной безопасности, но статистика свидетельствует о том, что на этом направлении имеются большие пробелы. Если на вредоносные программы и хакерские атаки всегда реагируют как на угрозу, от которой необходимо защищаться, то внутренние враги (или инсайдеры), хотя и воспринимаются как столь же опасные, однако меры защиты от них применяются не всегда, не везде и в недостаточной степени.

К сожалению, нет четких данных о том, в какой мере защита от внутренних угроз внедрена именно в государственных организациях. Впрочем, достаточно показательны итоги опроса компании InfoWatch, около 10% респондентов которого составили государственные министерства и ведомства.

Как можно видеть из статистических данных, все организации, хотя и признают внутреннюю угрозу одной из наиболее опасных, защите от утечек информации уделяют недостаточное внимание. Что касается ситуации с внутренней безопасностью в госструктурах, средства по разграничению доступа и контролю утечки информации способны охватывать далеко не все каналы утечки, и для того, чтобы их применение было эффективным, желательно пересматривать политику информационной безопасности в части каналов передачи данных, которые могут быть доступны пользователям. Так, использование интернет-пейджеров, по данным InfoWatch, влечет за собой порядка 85% утечек, а через мобильные устройства (далеко не все из них контролируются средствами обеспечения внутренней безопасности) в некоторых организациях может «уходить» до 91% от всех утечек критичной, и в том числе конфиденциальной, информации.

Оценка эффективности системы ИБ

На завершающем этапе — после того, как решены вопросы что, от кого и каким образом защищать, внедрены средства и применены политики и регламенты, — необходимо оценить эффективность всех применяемых методов и средств. На практике часто выходит так, что именно последний этап проводится спустя рукава либо не реализуется вовсе. В результате недоделки тянутся из года в год, мешая развитию и успешному функционированию системы информационной безопасности.

Приходится констатировать, что информационную безопасность в госсекторе пока не удалось полностью избавить от перечисленных выше проблем, однако существуют возможности, используя которые, государственные организации в состоянии вывести защищенность своих информационных систем на более высокий и прогрессивный уровень.

Тенденции и рекомендации

Можно не изобретать велосипед, а обратиться к опыту построения систем информационной безопасности в государственных структурах на Западе. Мировым рекордсменом по нормативной базе и стандартам, регулирующим создание подобных систем, вне всякого сомнения, являются США. Среди нормативных актов можно назвать Закон о контроле за информационной безопасностью США, California Senate Bill № 1386, акт Sarbanes-Oxley. Все организации, как государственные, так и коммерческие, могут использовать положения этих нормативных документов (часть из них носит обязательный, а другая — рекомендательный характер), чтобы построить систему информационной безопасности в соответствии с проверенной методологией.

Хотелось бы акцентировать внимание на некоторых тенденциях, которые можно наблюдать сегодня при организации защиты информационных систем в госструктурах. Наиболее прогрессивные государственные ведомства начинают ориентироваться на концептуальный подход к защите информации, основанный не на внедрении отдельных средств защиты, а на разработке системного подхода к обеспечению информационной безопасности. Подобный подход включает предварительное проектирование системы, анализ рисков и последующую оценку эффективности всех применяемых мер.

Ключевым элементом системы ИБ является система управления рисками. Это подразумевает аудит информационной системы и определение наименее защищенных ресурсов, потенциальных рисков и способов защиты. Как показывает практика, не стоит слепо верить в жизнеспособность инфраструктуры ИС и уповать на счастливый случай или приобретенные и установленные средства защиты, а больше доверять системному подходу к решению задачи, процедурам и апробированным методологиям — тогда и эффективность затраченных на информационную безопасность средств будет выше.

Примером одного из международных стандартов, уже нашедших применение в России, может служить BS ISO/IEC 27001:2005 (BS 77992:2005). Его применение помогает значительно улучшить качество информационного обмена наряду с повышением уровня защищенности информационной системы. Пока использование данного стандарта в государственных структурах не получило широкого распространения, хотя интерес к такой методологии есть и, более того, некоторые госструктуры уже начали применять данный стандарт. В частности, его используют в качестве основы для разработки собственной методологии построения системы управления ИБ. Но «необязательность» этого стандарта и упомянутые выше проблемы финансирования IT-бюджетов являются сдерживающими факторами для более широкого его внедрения.

Вместе с тем наметилась положительная тенденция к улучшению ситуации с финансированием государственных организаций. Хочется верить, что госструктуры смогут воспользоваться этой ситуацией себе во благо и начать действия по реорганизации своих информационных систем, используя современные и проверенные на практике подходы.



"Экспресс Электроника"

Комментарии

Страницы комментариев: 1 :: 2 :: следующая

аноним, Tue Jul 1 14:17:29 2008:
Кстати, статья неплоха. Подняты важные проблемы без ненужного углубления в технические подробности.
аноним, Tue Jul 1 13:10:25 2008:
В СССР была хорошая дисциплина, передранная у Американцев, -- сетевое планирование. Сейчас больше на слуху западаная калька -- проектирование и реинжениринг бизнес-процессов. С этого нужно начинать, а не с криптоинтерфейсов и прочих технических подробностей.
аноним, Tue Jul 1 13:07:45 2008:
---
Сегодня в государственных организациях актуальной остается проблема недостаточного финансирования, предназначенного для обеспечения безопасности информации
---
Проблема не в отсутствии денег, а в отсутствии мозгов. Пока нет мозгов денег давать нельзя, всё равно все будут разворованы и спущены впустую.
аноним, Tue Jul 1 12:53:51 2008:
Долго смеялся. И ведь на вот эти "концепции" выбрашено не мало бюджетный средств. Писавший вообще не понимает, что такое информация и тем более нелепа сама поставновка вопроса "Защита информации". Защита от кого и от чего? Разграничение в доступе к информации проектируется и решается административными методами, только затем сформированная схема реализуется в виде различных технических решений, а не борьбой с флэшками и интернет-пэйджерами.
Сергей, Tue Jul 1 12:17:01 2008:
Подскажите, пожалуйста, что это за документ: "Концепции информационной безопасности для органов государственной власти"?
аноним, Mon Mar 12 10:43:17 2007:
Согласен труба гонево! читаеш, а конкретного ничего нету все вокруг да около, полезной информации ровно 0%
Руслан, Mon Feb 5 11:56:44 2007:
...использование интернет-пейджеров ... влечет за собой порядка 85% утечек, а через мобильные устройства (далеко не все из них контролируются средствами обеспечения внутренней безопасности) в некоторых организациях может «уходить» до 91% от всех утечек ... У меня вопрос: как много информации можно передать через мобильный телефон или пэйджер? Не проще спользовать флэшку?
Павел, Thu Feb 1 13:27:58 2007:
...использование интернет-пейджеров ... влечет за собой порядка 85% утечек, а через мобильные устройства (далеко не все из них контролируются средствами обеспечения внутренней безопасности) в некоторых организациях может «уходить» до 91% от всех утечек ... информации.
Ой, как здорово все словами играют!! В том исследовании говорилось не о "использование интернет-пейджеров ... ВЛЕЧЕТ", а что они СЛУЖАТ средством передачи в 85% случаев - есть разница?
Если так перевирать слова, то с уверенностью можно утверждать, что "использование манипулятора мышь и клавиатуры ведет к 95% случайных удалений нужных файлов с диска"
И еще один фетиш - контроль утечки информации. Я считаю - надо голову отрубать - вдруг работник что-то запомнил и унес с собой?
Александр Викторович, Wed Jan 31 11:13:18 2007:
Это что, обязательная статья в рамках плана PR-мероприятий?
Владимир, Wed Jan 31 10:08:02 2007:
Коллеги, а какую вы еще ожидали статью от Менеджера отдела маркетинга решений по направлению информационной безопасности компании «Энвижн Груп» ? (см. заголовок)

Страницы комментариев: 1 :: 2 :: следующая

Комментарии заморожены.

Последние комментарии:

Самое интересное:


© 2004–2009 Проект CITCITY.ru