В статье рассматриваются проблемы совершенствования системы информационной безопасности в органах государственной власти РФ, проанализирована система информационной безопасности, полномочия органов государственной власти в сфере обеспечения информационной безопасности.
Ключевые слова: информационная безопасность, обеспечение информационной безопасности, органы государственной власти.
The article examines the problems of improving the information security system in the government bodies of the Russian Federation, analyzed the information security system, the powers of state authorities in the field of information security.
Key words: information security, information security, state authorities
В российском законодательстве в 1995 г. был принят федеральный закон (сейчас утратил силу), регулирующий информационные процессы в стране и направленный на создание определенных органов и подразделений, отвечающих за информационную систему государственного управления. Этот закон — «Об информации, информатизации и защите информации» определил термин информатизации, где она означала одновременно социальное, экономическое и научное явление, благодаря которому возникают такие условия, которые способствуют потаканию правам и потребностям граждан или органов государственного и муниципального управления, связанных с информационными процессами [1].
Все основные информационно-технологические новинки в аппарате информатизированного управления государством носят целостный характер и несут в себе и за собой одновременно взаимодействующие факторы, связанные с информацией, организацией управления, правовым обеспечением, социально-психологическим портретом общества, структурой рабочих кадров, техническим оснащением. Совокупность этих факторов подразумевает единую, слаженно работающую систему, качественно новую для уровня развития нашего общества, и связанную с ней совокупность управленческих процессов.
Отдельно важным стоит отметить укрепление в общественном строю особой системы информационно содержания: она позволит принимать в процессе государственного управления взвешенные и точные решения. Информационную безопасность обеспечивают все органы государственной власти, где каждый орган имеет определенные полномочия по приоритетным направлениям контроля и законотворчества.
Так же есть уполномоченные федеральные органы исполнительной власти, которые непосредственно принимают участие в обеспечении информационной безопасности.
В соответствии с Указом Президента Российской Федерации от 9 марта 2004 г. № 314 «О системе и структуре федеральных органов исполнительной власти» вместо существовавшей Государственной технической комиссии при Президенте Российской Федерации была создана Федеральная служба по техническому и экспортному контролю Российской Федерации.
В полномочия данного органа исполнительной власти входит обеспечение безопасности применяемых информационных технологий, противодействие техническим разведкам и техническая защита информации.
12 мая 2008 г. было создана Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — федеральный орган исполнительной власти России в ведении Минкомсвязи России.
В дальнейшем был принят проект поправок, расширяющих полномочия Федеральной службы безопасности Российской Федерации для борьбы с угрозами информационной безопасности.[1]
С момента принятия поправок ФСБ занимается защитой правительственных информационных систем, информационных систем ряда различных организаций, а так же СМИ. В структуре ФСБ существует Центр информационной безопасности ФСБ России.
В связи с повышением уровня недоверия к иностранным продуктам призванным защищать информацию — иностранные программные продукты в области обеспечения информационной безопасности в данный момент находятся под запретом к использованию в органах власти.
На Российском рынке существует несколько программных продуктов, предоставляющих возможность обеспечить сетевую и кибернетическую безопасность организации. К разрешенным к использованию в органах государственной власти относятся такие продукты как «Антивирус Касперского», «Доктор Веб» и другие.
«Лаборатория Касперского» в качестве решения предлагает следующий набор программных средств:
1. Развертывание ОС и приложений — позволяет удаленно устанавливать операционную систему из «образа» или архива.
2. Управление лицензиями — контролирует правомерность использования того или иного продукта на компьютере.
3. Мониторинг уязвимостей — автоматическая проверка программ.
4. Управление установкой исправлений — анализирует актуальность и важность установки обновлений для программ.
5. Контроль доступа в сеть (NAC).
6. Защита от потери данных — блокировка и регистрация документов содержащих конфиденциальную информацию.
7. Защита от киберугроз — комплексная защита.
8. Защита от вредоносного программного обеспечения.
9. Сетевой экран (Firewall).
10. Контроль программ — разрешает или запрещает запуск программ на основании черных и белых списков.
11. Контроль устройств и Веб–Контроль.
12. Шифрование данных
13. Защита от программ–шифровальщиков
14. Управление мобильными приложениями и устройствами.
Существует так же вопрос о переходе на свободное программное обеспечение в органах власти связанный как с обеспечением информационной безопасности, так и с экономией бюджетных средств [3].
Например, иностранные государства, такие как Германия и Голландия на данный момент активно используют свободное программное обеспечение в органах власти.
Таким образом, анализируя отечественный опыт обеспечения информационной безопасности можно сделать выводы: с развитием информационных технологий органы государственной власти все больше вовлекаются в процесс информатизации, что в свою очередь влечет за собой увеличение рисков в информационной безопасности. Развиваются как методы борьбы с кибернетическими угрозами, так и программно-технические средства противодействия. Активно внедряются программные решения, основанные на свободном программном обеспечении.
Необходимо регулярно проводить информирование сотрудников организации о содержании нормативных документов и законодательных актов в области информационной безопасности, таких как федеральные законы, указы Президента РФ, постановления Правительства РФ, нормативные документы ФСТЭК, нормативные документы ФСБ, нормативные документы Роскомнадзора.
В данный момент на рынке средств защиты информации существует множество различных решений. Но требования регуляторов, таких как ФСТЭК или ФСБ, заставляют госорганы использовать лишь ограниченный круг СЗИ. Однако распространённые (во многом благодаря закону о Персональных данных) в том числе и на небольшие коммерческие компании, создали огромное многообразие таких средств, выбрать одно из которых довольно сложно.
В качестве основы построения системы защиты информации при органах исполнительной власти будут рассмотрены решения VipNet.
Для того, чтобы понять правильность выбора продукта необходимо:
- Выделить из общего числа решений на рынке решения, отвечающие требованиям законодательства.
- Сравнить по общим параметрам продукты российских производителей с решениями ИнфоТеКС.
- Выделить основные преимущества решений ИнфоТеКС над конкурентами.
В настоящий момент прямых запретов на использование зарубежного СЗИ в России нет. Однако ФСБ предписывает всем государственным структурам пользоваться лишь сертифицированными средствами защиты. Асертификацию в России проходят далеко не все зарубежные средства защиты информации, поскольку эта процедура сложна и часто требует предоставления исходных материалов и алгоритмов. Так же из-за сложности получения сертификата и коммерческого интереса, зарубежные фирменные СЗИ имеют высокую стоимость.
Лидером среди средств защиты информации для органов государственной власти является продукция VipNet. Она полностью соответствует российскому законодательству и требованиям регуляторов, имеет необходимые сертификаты и гарантирует надежную защиту данных. Программный комплекс ViPNet Custom позволяет сформировать среду безопасного обмена информацией по общедоступным каналам связи различных типов. Это достигается путем создания логических контуров сети, защищенных криптографическими средствами высокой надежности. Контуры сетей могут быть двух типов:
1. Сеть ViPNet для организации электронного документооборота (частный вариант). 2. Сеть ViPNet со всеми функциями VPN.
VipNet Client — программный модуль, реализующий на рабочем месте персональный сетевой экран, который позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети. Персональный сетевой экран позволяет системному администратору или пользователю (при наличии присвоенных ему полномочий):
1. Управлять доступом к данным компьютера из локальной или глобальной сети.
2. Определять адреса злоумышленников, пытающихся получить доступ к информации на Вашем компьютере.
3. Обеспечить подключение режима с другими с помощью покрытых область сетевых узлов локальной или глобальной сети, только по инициативе пользователя, с компьютера пользователя является «невидимым” для открытого узла LAN и WAN, что исключает возможность запуска по их инициативе различных программ «шпионов”.
4. Формировать «черные» и «белые» списки узлов открытой сети, соединение с которыми соответственно «запрещено» или «разрешено».
5. Осуществлять фильтрацию трафика по типу сервиса для адреса открытой сети, или диапазона адресов, что позволяет, в случае необходимости, ограничить использование «опасных”, служебных, «сомнительные” открытых узлов сети.
6. Осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов.
7. Мониторинг активности сетевых приложений на компьютере, на котором установлен клиент ViPNet, что позволяет время обнаруживать и блокировать деятельность не санкционирована установки и запуска программы «шпионское программное обеспечение”, которые могут передавать злоумышленникам информацию об информации, обрабатываемой на компьютере (пароли, идентификаторы данных кредитных карт для доступ к корпоративным базам данных, и т. п.).
8. Организуйте схему безопасного использования различных веб-приложений, в том числе Web-трейдинга, Web-заказа, Web-хостинга и т. д., с доступом к веб-платформе, на которой ViPNet Client, только определенный список участников VPN. Эта схема позволяет пользователям и корпорациям гибкое и безопасное использование всех видов веб-приложений, как наиболее простых и доступных средств совместной работы корпорации и ее партнеров.
9. Для защиты и далее разрешения связи между местными, мобильными и удаленными пользователями, оснащенными ViPNet Client и серверова корпоративных приложений, баз данных, SQL-Server, также оснащен Client ViPNet. Это открывает возможности для безопасного внедрения ERP-систем, финансовых систем, работающих в системах реального времени, та-ких как «Клиент-Банк”, «Интернет-банкинг», CRM (управление взаимоотно-шениями с клиентами) систем и других приложений, где с одной стороны собирает конфиденциальную информацию, которая требует совместного соблюдения политик информационной безопасности и контроля доступа, а с другой стороны, требует совместной работы с приложениями в сетях разных категорий пользователей.
10. Использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации. Кроме того, этот модуль позволяет установить безопасное соединение с другими компьютерами. Использование защищенного канала связи позволит устранить угрозы, связанные с доступом к данным из вне. Для решения оставшейся угрозы, физической подмены пользователя, используем организационно — правовые меры. Специальным распоряжением по подразделению введем запрет на установку дополнительного оборудования в АРМ и назначим людей имеющих физический доступ в помещение канцелярии, так же указав лиц имеющих право на использование механизма автоматизации [4].
Контроль за доступом осуществляет руководитель подразделения и начальник канцелярии. Стоимость пересылки документов для одного подразделения представлена в таблице 1.
Таблица 1
Стоимость пересылки на бумажном носителе
Наименование |
Цена за шт, руб. |
Норма расхода на единицу продукции, ед. |
Итоговая стоимость, руб. |
Обычные письма |
30 |
2400 |
72 000 |
Ценные письма |
150 |
300 |
45 000 |
Бандероли |
74 |
300 |
22 000 |
Итог |
139 000 |
||
В настоящий момент, при передаче документов между подразделениями с помощью почты России 80 % документов передаются обычным письмом, 10 % которых ценные. Если вес сформированного документа больше 100 грамм, то он считается бандеролью. При весе одного листа А4 в 10 грамм, документ содержащий от 10 листов будет передаваться, как бандероль. И таких документов порядка 10 % от общего количества. В среднем одно подразделение передает 3000 документов в год. Количество документов передаваемые обычным письмом равно 2400 шт. Количество ценных писем равно 300 шт. Количество документов передаваемых бандеролью равно 300 шт. Среднее подразделение тратит на услуги почты России порядка 139 000 рублей в год.
Таблица 2
Стоимость средств защиты информации
Наименование |
Норма расхода на единицу продукции, ед. |
Цена, руб./шт. |
Сумма продукции, руб. |
МодульVipNet Client |
1 |
7790 |
7790 |
Модуль VipNet Administrator |
1 |
77800 |
77800 |
Антивирус ESET NOD32 |
1 |
1000 |
1000 |
Итог |
86 590 |
||
Суммарные разовые и ежегодные расходы на установку комплекса составляют 86 590 рублей для одного подразделения.
Расходы на ввод в эксплуатацию, и последующие эксплуатационные расходы не много выше ежегодных расходов на почту России. Выигрыш во времени доставки одного документа составляет от 3 до 10 дней. Устанавливая данный комплекс, мы добиваемся снижения цены в долгосрочной перспективе, выгоды во времени и удобства обработки. Что позволяет существенно ускорить исполнение государственных функций в рассмотренных подразделениях.
Данный программный комплекс отвечает всем предписаниям законодательства и может быть использован в различных сферах жизни общества, а не только в федеральных органах исполнительной власти. Он поможет не только сократить финансовые и временные затраты на передачу и обработку документов, но и сделает данные процессы более простыми для освоения. Программный комплекс является лишь первой ступенью, далее при усложнении топологии сети, а также при компиляции различных сетей данный программный комплекс будет развиваться. Причем стоимость усложненного развития будет снижаться, так как некоторые модули устанавливаются в единственном экземпляре на внутреннюю сеть, а иногда и на целое объединение сетей. Любая организация должна понимать выгоду защищенного электронного документооборота, и на некотором этапе своего развития, должна начать им пользоваться.
Литература:
- Федеральный закон от 20 февраля 1995 года N 24-ФЗ «Об информации, информатизации и защите информации» (Собрание законодательства Российской Федерации, 1995, N 8, ст. 609)
- Свободное программное обеспечение в госорганах [Электронный ресурс] — Режим доступа. — URL: http://minsvyaz.ru
- ФСБ займется обеспечением информационной безопасности. [Электронный ресурс] — Режим доступа. — URL: http://www.securitylab.ru/news/447592.php4
- Официальный сайт. Безопасность информационных систем и защита данных [Электронный ресурс] — Режим доступа. — URL: https://infotecs.ru/
[1] ФСБ займется обеспечением информационной безопасности. [Электронный ресурс] – Режим доступа. – URL: http://www.securitylab.ru/news/447592.php