ПРОБЛЕМЫ ВНЕДРЕНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ Уранова Н.А.

Московский городской университет управления Правительства Москвы


Номер: 7-1
Год: 2016
Страницы: 215-219
Журнал: Актуальные проблемы гуманитарных и естественных наук

Ключевые слова

система защиты информации, органы государственной власти, information security system, government departments

Просмотр статьи

⛔️ (обновите страницу, если статья не отобразилась)

Аннотация к статье

В статье исследуются проблемы правового, организационного и технического характера, возникающие при внедрении систем защиты информации в органах государственной власти Российской Федерации

Текст научной статьи

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать [1]. Органы государственной власти имеют дело с такими видами информации, как служебная тайна и персональные данные, которые в соответствии с [2], относятся к сведениям конфиденциального характера. Следовательно, в соответствии с законодательством РФ, органы государственной власти должны принимать меры по защите такой информации от разглашения, утечки по техническим каналам и несанкционированного доступа посредством организационно-правовых, инженерно-технических, криптографических мер. Защита информации - прямая обязанность государственных органов, но при этом именно в госорганах доля утечек по всему миру, и в России в том числе, остается стабильно высокой. Построение и внедрение системы защиты информации (СЗИ) в целом является трудоёмкой задачей, так как на этапе разработки требуется отследить все взаимосвязи между процессами управления информационной безопасностью (ИБ), а также сконструировать большое количество процессов таким образом, чтобы они заработали эффективно. Проблемы, препятствующие внедрению системы защиты информации и её эффективному функционированию, можно разделить на три уровня: - правовые; - организационные; - технические. При этом необходимо учитывать, что данные уровни взаимно влияют друг на друга. Первый уровень - правовой. Он связан с соблюдением этических и юридических норм при передаче и обработке информации. Российское законодательство в области защиты информации и персональных данных подчиняется общим принципам законодательства в любой области, а значит можно установить следующую иерархию нормативных правовых актов: 1. Федеральные законы. 2. Указы Президента. 3. Постановления Правительства. 4. Акты регуляторов. Основными регуляторами в области защиты информации и персональных данных являются Федеральная служба по техническому и экспортному контролю России и Федеральная служба безопасности России [3]. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) [3]. Законодательство Российской Федерации в области защиты информации довольно обширное, но при этом далеко от совершенства. Существует очевидный перекос в сторону защиты персональных данных в ущерб всем остальным видам информации ограниченного доступа. Зачастую требования по защите информации не выделены в отдельный блок, а распределены по всему тексту документа или дублируются в различных актах, что создаёт путаницу и делает определение требований, которым должны удовлетворять органы государственной власти, далеко не очевидной задачей. В связи, с чем в органах исполнительной власти возникают следующие проблемы: 1. Чаще всего сотрудники не хотят вникать в правовые тонкости требований к защите информации. 2. Нормативная правовая база является драйвером для создания СЗИ. Внедрение СЗИ является самоцелью и осуществляется формально. ОГВ защищаются от проверок регуляторов, а не от реальных угроз и атак. 3. Сами органы государственной власти заинтересованы в этом только с точки зрения освоения бюджета, нет адекватного финансирования работ по защите информации. Финансирование, чаще всего, осуществляется по остаточному принципу, и если выделенного бюджета не хватает на проведение комплексных работ по защите информации во всём ОГВ, то, вследствие особого отношения к персональным данным со стороны закона, информационные системы персональных данных выделяют в обособленный сегмент и защищаются отдельно. Данные проблемы частично переносятся и влияют на следующий уровень - организационный. Он представляет собой мощный барьер на пути незаконного использования информации. Никакой другой уровень защиты информации от несанкционированного доступа не может эффективно работать без соответствующей организационной поддержки, но и административные меры не могут работать сами по себе, без опоры на правовые нормы, без технического и программного обеспечения. Внедрение систем защиты информации в организациях неразрывно связано с необходимостью выполнения определенных правил или регламентов, выполнение которых обязательно для всех категорий сотрудников. Безусловно, любые правила могут на каком-то этапе «конфликтовать» с принятой на предприятии технологией проведения работ. Это приводит к препятствию внедрения СЗИ со стороны заказчика, проявляющееся в отсутствии поддержки со стороны персонала, связанном с нежеланием брать на себя дополнительную ответственность и выполнять «лишнюю» работу. Из-за этого на этапе предпроектного обследования уходит много времени на выяснение текущей обстановки, т.к. ответственные лица затягивают с предоставлением необходимой информации. Так же временные потери возможны на стадии подготовки ОГВ к внедрению СЗИ, т.к. отсутствуют процессы и регламентирующие их документы, которые должны и могут быть внедрены без проведения работ специализированными организациями. К таким проблемам относятся: 1. Отсутствие технического паспорта и описания системы и информационных потоков. 2. Отсутствие модели угроз. 3. Не организован доступ к защищаемой информации. Официально не утверждено, кто и какую информацию имеет право обрабатывать в связи с должностными обязанностями, права и обязанности работников, их компетенция и ответственность. 4. Свободное использование съёмных носителей информации. 5. Наличие прав локального администратора у обычных пользователей. 6. Отсутствие лиц, ответственных за информационную безопасность в ОГВ. Другая причина проблем, связанных с реализацией подобных проектов, кроется в их выполнении различными специалистами. В противоположность проектам разработки программного обеспечения (осуществляемым специализированными фирмами) в проекты внедрения вовлекаются не только специалисты по информационной безопасности, но и работники всех сфер деятельности предприятия, охватываемых внедрением автоматизированной информационной системы (как правило, доля именно этих специалистов оказывается преобладающей). По этой причине, при планировании информационных мероприятий всегда необходимо принимать во внимание необходимость участия в них работников объекта (и, как следствие, готовить инфраструктуру проекта с учётом участия в нём таких работников) [6, 45]. Возникают проблемы различной природы: - коммуникационные - информатики часто общаются на специфическом профессиональном языке, непонятном для «непосвящённых»; - организационные - в проектном коллективе объединяются лица, подчиняющиеся различным работодателям и т.п. Так же немаловажной проблемой на организационном уровне является отсутствие квалифицированного персонала. ИТ-подразделения успешно справляются с поддержанием информационной структуры в работоспособном состоянии и могут иногда самостоятельно решать задачи проектно-прикладного характера, но не обладают требуемой компетентностью в сфере внедрения больших специализированных систем информационной безопасности. Зачастую таким работникам поручается реализация таких (заведомо невыполнимых их силами) проектов без какой-либо поддержки со стороны привлечённых экспертов [6, 20]. Еще одна распространённая проблема при внедрении организационных мер защиты - создание ими неудобств для пользователей. И если объем дискомфорта будет чрезмерным, то эффективность любых административных мер будет стремительно сведено на нет. При этом важно не забывать, что административные меры защиты могут породить у сотрудников организации ощущение ущемления их гражданских прав и принуждения выполнять дополнительную работу за ту же зарплату, что негативным образом скажется как на общей продуктивности работы, так и на внутреннем климате. Образцово внедренная система защиты информации на объекте обязана оставаться «незаметна» пользователям, а создаваемые ей неудобства должны быть сведены практически к нулю. Ряд правил и связанных с реализацией СЗИ процедур, разумеется, придется выполнять. Поэтому прежде чем вводить административные ограничения крайне важно найти и внедрить рациональные побудительные причины для их исполнения [5, 78]. В первую очередь, это качественно разработанная политика безопасности организации, учитывающая все особенности технологического процесса, а также угрозы, возникающие при его реализации. Во-вторых, это наличие подготовленного и квалифицированного персонала, которому предстоит непосредственная реализация политики безопасности. И последнее по списку, но не последнее по значению условие - это соответствие созданной системы защиты информации требованиям политики безопасности и, в первую очередь, решаемым предприятием функциональным задачам. Выполнение вышеперечисленных условий можно обеспечить только с привлечением квалифицированных специалистов и организаций, оказывающих услуги по защите информации. В целом результатом реализации политики безопасности должны стать упорядочивание работы персонала, экономия трафика, и, как следствие, затрат на эксплуатацию системы, снижение (или даже полное исключение) возможности поражения сетей вредоносными вирусами и спамом. Третий уровень - технический. Технический аспект защиты информации требует разностороннего рассмотрения. Первый аспект - это защита информации, находящейся в технических системах (точнее, в организационно-технических), ведь технические средства информационного обмена представляют собой основное по сложности, стоимости и, возможно, по уязвимости наполнение большинства организационных структур [4, 55]. Другая сторона - это защита информации посредством специальных технических средств. Здесь возникают следующие проблемы: - проблема совместимости внедряемого решения и существующей инфраструктуры вследствие использования устаревшего оборудования и старых версий драйверов; - проблема нехватки портов на коммутационном оборудовании для подключения средств защиты периметра сети или серверной фермы; - использование большого количества разнообразных платформ; - использование нелицензионного программного обеспечения. Однако, самое уязвимое место любой аппаратной защиты - сотрудники. Персонал часто отказывается от использования любого рода дополнительных средств защиты, особенно если последние способны создавать им неудобства в работе. И именно поэтому применение аппаратных средств защиты рискует стать не эффективным без организационной поддержки. Системный подход к построению СЗИ в ОГВ обеспечивает адекватную многоуровневую защиту информации, рассматриваемую как комплекс организационно-правовых и технических мероприятий. Кроме того, при реализации механизмов защиты должны использоваться передовые, научно обоснованные технологии защиты, обеспечивающие требуемый уровень безопасности, приемлемость для пользователей и возможность наращивания и модификации СЗИ в дальнейшем. Объёмы и сложность решаемых задач требуют слаженной работы целой команды специалистов. При внедрении СЗИ необходимо организовать рабочую группу, которая будет включать в себя специалистов в разных областях: специалиста по ИБ, владельцев бизнес-процессов (как правило, это линейные руководители подразделений), специалистов по информационно-технологической поддержке, специалистов по кадрам, представителей финансового подразделения и т.д. Помимо этого необходимо не забывать про роль высшего руководства в этом процессе. Выводы В работе были рассмотрены три уровня проблем, возникающих при внедрении систем защиты информации в органах государственной власти: - правовые, связанные с соблюдением юридических норм при организации обработки и защиты информации; - организационные, связанные с соблюдением внутренних правил, обеспечивающих защиту информации, а также с организацией взаимодействия различными группами людей, участвующими в процессе внедрения системы защиты; - технические, связанные с применением технических средств защиты информации. Для минимизации последствий и вероятности возникновения данных проблем при внедрении систем защиты информации в органах государственной власти целесообразно применение проектного подхода, который позволит: 1. Эффективно выстроить взаимодействие между всеми вовлекаемыми группами людей, как со стороны заказчика, так и со стороны исполнителя. 2. Контролировать возникающие технологические и организационные риски. 3. Учитывать временные, бюджетные и технические ограничения.

Научные конференции

 

(c) Архив публикаций научного журнала. Полное или частичное копирование материалов сайта возможно только с письменного разрешения администрации, а также с указанием прямой активной ссылки на источник.