Защита информации при реализации государственных информационных проектов
В последние годы проблемам развития и защиты информационных ресурсов во всем мире, а особенно в нашей стране уделяется достаточно много внимания. Одним из неоспоримых достижений является встраивание России в международное информационное пространство и определение ее позиции, что способствует интеграционному объединению и совершенствованию механизмов управления международными и внутренними процессами.
С другой стороны, некоторые развитые страны предпринимают попытки создания структуры международных отношений, основанной на своем лидерстве, и любые международные проблемы (споры) пытаются решить путем навязывания своей точки зрения с позиции силы, в том числе на информационном поле. Они используют информационно-телекоммуникационные сети, в частности Интернет, выходы во вновь образованные информационные государственные и муниципальные массивы, которые функционируют с использованием ИТ, в обход основополагающих норм международного права.
Можно прогнозировать, что дальнейшее развитие международных отношений будет сопровождаться обострением конкуренции в экономической, политической, научно-технической и информационной сферах. Последние события, происходящие вокруг Украины, подтверждают правильность данного прогноза. Анализируя общедоступные глобальные информационные ресурсы, напрашивается вывод, что усилия ряда государств направлены на ослабление позиций России в информационной, политической, экономической, военной и других областях.
Уязвимости ГИС
С развитием процессов информатизации во всех сферах общества ущерб от нарушения функционирования ИТ-систем, разрушения, искажения, блокирования и утраты самой информации повышается многократно. Уязвимость сложных телекоммуникационных, информационных систем, связывающих огромные накопленные массивы сведений и баз данных, отнесенных к государственным, муниципальным ресурсам, возрастает в геометрической прогрессии. Исследование различных видов, процессов, механизмов, принципов воздействия на средства информации, понимание, прогнозирование и просчитывание возможных рисков для государства с точки зрения информационных технологий при воздействии на информационные системы в «нужном» направлении позволило сформулировать новое направление при решении спорных вопросов – информационное.
Объектом информационного воздействия являются государственные, муниципальные и любые другие информационные ресурсы, в том числе различных негосударственных структур.
Особенностью информационного противодействия является то, что доступ, в том числе несанкционированный, к накапливаемой и обрабатываемой в государственных и муниципальных информационных системах и, на первый взгляд, незначимой информации может привести к скрытому накоплению односторонних преимуществ и последующему изменению соотношения военно-экономического и научно-технического потенциала не в пользу России. Последствия информационного воздействия проявляются в нанесении государству неприемлемого экономического ущерба, а также утрате средствами информатизации способности к функционированию в условиях чрезвычайных ситуаций.
Угрозы и риски ИБ
Защита информации является составной частью обеспечения национальной безопасности и включает в себя комплекс правовых, организационных и технических мероприятий, обеспечивающих предотвращение несанкционированного доступа к сведениям, содержащимся в государственных, муниципальных и любых других информационных массивах, в том числе негосударственных структур, а также их защиту от разрушения, искажения, блокирования и утраты самой информации, исключение нарушений функционирования информационных и управляющих систем.
К сожалению, при реализации таких ИТ-проектов, как электронное правительство, электронный муниципалитет и т. п., не всегда уделяется должное внимание вопросам построения качественной системы защиты информации (далее СЗИ), обладающей такими необходимыми свойствами, как гибкость и адаптивность, связанными с возможным изменением угроз как внешнего, так и внутреннего характера. В основном классические требования к построению системы защиты предусматривают разработку некой модели угроз на базе типовой и описание известных возможных каналов снятия и утечки информации. И ни в коей мере не закладываются проблемы, возникающие при изменении условий, направлений, принципа атаки на защищаемые информационные массивы, системы управления и обработки баз данных. Зачастую под такое видение проблемы не закладываются ресурсы операционной системы, в частности объем памяти, быстродействие и другие свойства, которые влияют на качество защищенности системы.
СЗИ должна обладать таким качеством, как максимально быстрая адаптация и изменение в случаях возникновений возмущений во внешней и внутренних средах без потери своей устойчивости.
Человеческий фактор
Одним из слабых звеньев при реализации правовых и организационных мероприятий, связанных с защитой информации, являются вопросы подбора, обучения и инструктирования сотрудников. Как показывает практика, часто эти специалисты имеют достаточно общие понятия о методах и принципах построения и работы СЗИ. Для них все сводится к наличию антивирусной защиты, встроенных или дополнительно поставленных систем обнаружения вторжения и межсетевых экранов. Зачастую ответственные лица не могут аргументированно, в деталях объяснить, чем регламентируются класс и технические характеристики тех или иных аппаратных, программных, аппаратно-программных средств защиты информации и каким образом определяется достаточность правовых, организационно-административных и технических мероприятий, осуществляемых при построении СЗИ информационной системы. А на стадии рассмотрения ИТ-проекта даже не задумываются о необходимости изучения вопросов на совместимость применяемых средств, систем и элементов защиты информации между собой и с тем программным продуктом, который используется в информационно-телекоммуникационных системах и технологиях, считая, что различные элементы защиты можно набирать как конструктор «Лего».
В ряде случаев знания в сфере информационной безопасности носят поверхностный, не системный характер. Как показывает практика, в большинстве своем при решении проблем, связанных с вопросами проектирования, построения, модернизации систем защиты государственных или муниципальных информационных сетей, отвечающие за данный вопрос лица обращаются к интернет-ресурсам или к своим знакомым, считающим себя специалистами в области защиты информации, хотя зачастую не имеют ни профильного образования, ни практических навыков. В результате вновь созданные и запускаемые информационные ресурсы, в частности системы электронного документооборота, нередко требуют доработки с точки зрения наличия уязвимостей, таких как несанкционированное ознакомление с информацией на различных участках технологического процесса, невозможность определения и идентификации при прохождении определенного промежутка времени, обезличенность (то есть когда, кем и на каком основании внесены изменения в электронный документ).
Информационное воздействие
Хотелось бы обратить внимание заинтересованных лиц на такой аспект информационной безопасности, как информационное воздействие на сотрудников. Исходя из анализа имеющихся данных, можно сделать вывод, что через информационно-телекоммуникационные системы идет массированная информационная обработка, которая может повлиять и уже влияет на информационную безопасность государственных и муниципальных информационных массивов с точки зрения неактуальности защиты содержащейся в них информации и якобы наличия такого рода сведений в других общедоступных источниках.
Ниже приведены несколько, связанных с формированием, реализацией и внедрением ИТ-проектов.
При разработке и запуске проектов, связанных с информатизацией общества уделяйте больше внимания процессам, связанным с информационной безопасностью, закладывая в бюджет необходимые для этого средства как на стадиях формулирования технического задания, предпроектной подготовки и проведения экспертизы, так и на стадии проектирования любой информационной системы.
Обучайте ваших технических сотрудников, задействованных в реализации и обслуживании информационных проектов по линии информационной безопасности, прививайте им грамотность и культуру в данной сфере.
Обращайте усиленное внимание на такие принципы реализации системы защиты информации, как адаптивность и гибкость, в обязательном порядке закладывая их при проектировании информационных проектов, наряду с построением модели угроз.
Корректируйте политику безопасности при развертывании и эксплуатации вновь создаваемых и существующих информационных систем в соответствии с изменяющимися нормативно-правовыми актами в данной области и требуйте ее выполнения от всех лиц, имеющих допуск к государственным, муниципальным информационным ресурсам, по возможности исключив формальный подход.
Опубликовано 16.06.2015