CC BY
167
Лазарев
Виктор Михайлович
доктор технических наук, профессор
Бурак
Павел Андреевич
1
щ
Николаев
Дмитрий Дмитриевич
О необходимости разработки
усовершенствованной Концепции информатизации
Минюста России с учетом актуальных информационных технологий и нормативно-правовой базы в области защиты информации
Аннотация: в статье обосновывается необходимость дальнейшего развития Концепции информатизации Минюста России с учетом актуальных информационных технологий и нормативно-правовой базы в области защиты информации.
Ключевые слова: информационные технологии, информатизация, информационная безопасность, защита информации, ИТ-инфраструктура, Министерство юстиции Российской Федерации.
В настоящее время в связи с непрерывным развитием информационных технологий, нормативно-методических и законодательных документов, методов и подходов к обработке данных практически для любого государственного учреждения, в том числе для Министерств Российской Федерации, вопросы совершенствования информатизации деятельности являются актуальными.
В целях определения единой системы взглядов и организационно-методической основы для проектирования, эксплуатации и модернизации ИТ-инфраструктуры в рамках крупных государственных учреждений, осуществляющих обработку и хранение данных, взаимодействие с органами законодательной и исполнительной власти, а также трансграничную передачу данных, необходима разработка и периодическая актуализация концепции информатизации и информационной безопасности государственного учреждения.
Целью настоящего исследования являлся анализ Концепции с учетом актуальных технологий, методов и средств обработки данных и требований нормативных документов в области информационных технологий и защиты информации.
По результатам анализа документа «Концепция информатизации Министерства юстиции Российской Федерации» (далее - Концепция) выявлены представленные в таблице 1 основные отрицательные особенности Концепции в связи с тем, что указанный документ утвержден 21 января 2000 г. [1]
Таблица 1 - Основные отрицательные особенности Концепции
Выявленные ключевые особенности, требующие актуализации и/или корректировки Предлагаемый вариант доработки
Термин «информатизация» устарел, о чем свидетельствуют утративший силу Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» и введенный взамен него Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», не содержащий указанный термин Термин «информатизация» заменить на «информация», «ИТ-инфраструктура» и «информационная технология» в зависимости от контекста; «система информатизации» - на термин «информационная система»
Приведены ссылки на неактуальные нормативно-правовые и законодательные документы Осуществить корректировку текста Концепции в части ссылочных нормативно-правовых и законодательных документов
Процесс информатизации представлен с учетом устаревших тенденций - незавершенный процесс становления информации поставлен в один ряд с финансовыми и энергетическими ресурсами Скорректировать описание роли информации и информационных технологий в современном обществе
В Концепции представлены сведения о сопрягаемых информационных системах, в том числе указаны конкретные наименования Представить принципы, технологии и механизмы сопряжения, позволяющие осуществлять взаимодействие с любыми информационными системами, в том числе функционирующими с использованием технологии облачных вычислений и осуществляющими международный информационный обмен
Отсутствуют категории данных (персональные данные, данные критически важных объектов) как категория защищаемой информации Представить категорирование обрабатываемой и защищаемой информации как в информационных системах Минюста, так и в сопрягаемых системах
Модель угроз неактуальна и не учитывает новые угрозы и уязвимости, вызванные использованием технологии облачных вычислений, мобильных устройств и т. п. Разработать модель угроз и модель нарушителя с учетом требований нормативных правовых актов, включая модель угроз конфиденциальности персональных данных
Упоминание «Проблемы 2000» является избыточным, поскольку вышеназванная проблема неактуальна Опустить избыточные сведения
Представлено строгое разграничение информационных технологий, предназначенных для обработки информационных ресурсов баз данных правовых актов и судебных решений, регистров различного назначения, ведения делопроизводства и т. п., а также вопросы информационной безопасности без учета необходимости разработки комплексной информационной системы, реализующей заданный функционал и обеспечивающей защиту обрабатываемой информации Предусмотреть взаимосвязанное развитие технологий, реализующих различный функционал с учетом необходимости обеспечения безопасности обрабатываемой информации во всех подсистемах и областях циркуляции защищаемых данных
Выявленные ключевые особенности, требующие актуализации и/или корректировки Предлагаемый вариант доработки
В качестве элементов защиты указаны только физические электронные вычислительные машины, серверы и каналы связи без учета возможности использования технологии бездисковых терминальных устройств, виртуальных машин и технологии облачных вычислений в целом, мобильных устройств и т. п. Рассмотреть объекты защиты с учетом актуальных информационных технологий
Отсутствуют требования к технологиям реализации информационных систем, используемым операционным средам функционирования, программному обеспечению, средствам структурированного хранения и обработки данных Представить требования к технологиям реализации информационных систем, используемым операционным средам функционирования, программному обеспечению, средствам структурированного хранения и обработки данных
Отсутствует направление взаимодействия с регуляторами в области информационных технологий и защиты информации: ФСТЭК и ФСБ России Представить принципы взаимодействия с регуляторами в области информационных технологий и защиты информации: ФСТЭК и ФСБ России
Результаты анализа схематично отображены на рисунке 1.
Рис. 1.
Таким образом, по результатам анализа Концепции можно сделать вывод о том, что необходима корректировка указанного документа с учетом необходимости отражения следующих ключевых принципов:
> информационная система Минюста должна подвергаться модернизации комплексно с учетом актуальных информационных технологий и технологий, используемых в сопрягаемых системах;
> соблюдение требований Федеральных законов № 149 от 27 июля 2006 г. «Об информации информационных технологиях и о защите информации», № 152 от 27 июля 2006 г. «О персональных данных», указа Президента РФ № 351 от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», нормативных и методических документов ФСТЭК России и ФСБ России, приказы ФСТЭК России № 21 от 18 февраля 2013 г. и № 17 от 11 февраля 2013 г., ГОСТ 50739-95, ИСО/МЭК 15408 и др.;
> разработка подсистемы защиты, отвечающей требованиям документов, указанных выше, а также учитывающей технологию обработки, хранения и передачи информации, актуальные угрозы безопасности информации вновь используемых технологий;
> описание как общих принципов сопряжения с информационными системами и сетями связи, так и указание практической реализации конкретных технологий;
> определение приоритетных направлений развития технической, информационно-лингвистической и организационной составляющих с учетом актуальных технологий организации ИТ-инфраструктур.
Особенно остро, на наш взгляд, стоят вопросы, связанные с защитой информации и обеспечением нормативных требований, предъявляемых по безопасности информации.
Предварительный анализ ключевых особенностей защиты информации методов повышения эффективности ее обработки с учетом актуальных на сегодняшний день нормативных требований по безопасности информации позволит сформулировать следующие предложения [2].
Общие положения
На текущий момент в Российской Федерации в большинстве организаций применяются информационные технологии, причем как в организациях, где работы, связанные с вычислительной техникой и информацией являются основным видом деятельности, так и в организациях, использующих информационные технологии для обеспечения и повышения уровня производства. Постоянно растет ценность информации, определяемая как возможный ущерб от ее разглашения, искажения или утраты. В связи с вышесказанным все большее число организаций уделяет внимание обеспечению безопасности обрабатываемой и хранимой информации. Для ряда организаций, в основном государственных, разработка и внедрение мер по защите информации являются обязательными, поскольку установлены нормативными документами. Часть организаций осуществляет мероприятия по защите информации по инициативе собственного руководства.
На текущий момент можно выделить следующие ключевые моменты, характеризующие состояние информационной безопасности:
1. Обеспечению защиты информации уделяется все большее внимание со стороны организаций, учреждений и предприятий.
2. Средства защиты информации наряду с программно-техническими средствами обработки данных в составе информационных систем непрерывно развиваются. В составе систем защиты информации находят применение зарубежные разработки.
3. Защита информации давно перестала обеспечиваться только представителями специальных служб и только в интересах государства.
Правовые основы защиты информации
Защищаемую информацию условно можно поделить на две категории:
1. Информация, необходимость и меры защиты которой регламентированы законодательными и нормативными правовыми актами Российской Федерации:
- сведения, составляющие государственную тайну;
— персональные данные;
— конфиденциальная информация в государственных информационных системах.
Дополнительно следует упомянуть о законодательно установленной необходимости обеспечения информационной безопасности инфраструктуры критически важных объектов, а также национальной платежной системы.
2. Информация, необходимость и меры защиты которой не регламентированы с правовой точки зрения: конфиденциальная информация в негосударственных информационных системах. В соответствии с законом «О коммерческой тайне» обладатель такой информации самостоятельно определяет необходимые для обеспечения конфиденциальности меры, средства и методы.
Ключевые особенности защиты информации, содержащей сведения, составляющие государственную тайну
Деятельность по обеспечению сохранения государственной тайны является одним из самых давних направлений защиты информации. Можно выделить следующие ключевые особенности указанного вида деятельности.
Положительные:
1. Обеспечивается высокий уровень защищенности информации.
2. Требования по защите информации при ее обработке и хранении четко регламентированы нормативными документами.
3. Существует возможность использования хорошо известных, ранее согласованных и принятых в эксплуатацию средств и методов защиты информации.
Отрицательные:
1. Устаревшие нормативные документы, не учитывающие специфику актуальных средств и подходов к защите информации:
— руководящие документы ФСТЭК России, регламентирующие требования по защите от несанкционированного доступа к информации, утверждены в 1992-1999 гг.;
— специальные требования и рекомендации по защите информации СТР-97 утверждены в 1997 г.;
— государственные стандарты ГОСТ и ГОСТ РВ приняты в 1990-х - начале 2000-х гг.
2. Крайне ограниченный выбор сертифицированных средств защиты информации.
3. Сложности в обосновании использования новых разработок с правовой точки зрения, сложности при модернизации информационных систем и систем защиты информации (невозможность легитимного использования средств электронной подписи, служб удаленного рабочего стола, средств аудио- и видеоконферен-цсвязи; сложности при использовании удаленного доступа при эксплуатации технологии облачных вычислений и веб-технологий).
Ключевые особенности защиты персональных данных
После принятия в 2006 году Федерального закона 152-ФЗ «О персональных данных» информация, относящаяся к физическому лицу, была выделена в отдельную категорию, подлежащую защите. Любые операторы персональных данных, как государственные, так и негосударственные учреждения, были вынуждены принять ряд мер по обеспечению требуемого уровня защищенности персональных данных.18 февраля 2013 г. приказом ФСТЭК России № 21 утвержден документ «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». В области защиты персональных данных можно выделить следующие ключевые особенности.
Положительные:
1. Обеспечивается соответствующий обрабатываемым персональным данным уровень защищенности.
2. В нормативных документах приведено описание требований к разрабатываемой модели угроз.
3. Защите персональных данных уделяется значительное внимание со стороны Правительства Российской Федерации и регуляторов в области защиты информации (ФСТЭК, ФСБ, Роскомнадзор).
4. В 2013 г. утверждены официальные пояснения к приказу ФСТЭК России № 21 от 2013 г.
5. Широкий перечень сертифицированных средств защиты персональных данных.
Отрицательные:
1. Проблемы в толковании ряда требований нормативных документов.
2. Необходимость использования сертифицированных средств криптографической защиты информации при обработке и передаче персональных данных в составе распределенных систем.
3. Требуется разработка большого количества организационных документов, что зачастую превращается в обеспечение формальной стороны вопроса.
Ключевые особенности защиты конфиденциальной информации в государственных учреждениях
11 февраля 2013 г. приказом ФСТЭК России № 17 утвержден документ «Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», регламентирующий требования по защите вновь создаваемых или модернизируемых систем. Можно выделить следующие ключевые особенности указанного вида деятельности. Положительные:
1. Обеспечивается соответствующий модели угроз уровень защищенности конфиденциальной информации.
2. Приведено описание требований к разрабатываемой модели угроз.
3. Приведены требования к современным технологиям, в том числе к технологии облачных вычислений.
4. В 2013 г. утверждены официальные пояснения к приказу ФСТЭК России № 17.
5. Широкий перечень сертифицированных средств защиты конфиденциальной информации.
Отрицательные:
1. Проблемы в толковании ряда требований.
2. Необходимость использования сертифицированных средств криптографической защиты информации при обработке и передаче конфиденциальных данных в составе распределенных систем.
3. Необходимость лицензирования деятельности по технической защите конфиденциальной информации, что является трудно выполнимой задачей для ряда предприятий малого бизнеса.
Выводы по особенностям правового обеспечения защиты информации
Таким образом, при проектировании и вводе в эксплуатацию системы защиты информации необходимо учитывать все стороны правового обеспечения информационной безопасности:
1. Требуются определение перечня обрабатываемой информации и разработка модели угроз.
2. Требуется соблюдение всех законодательных и нормативных правовых актов, касающихся категории защищаемой информации.
3. Невозможность использования несерти-фицированных средств защиты информации, в том числе зарубежных аналогов.
4. Для возможности эксплуатации качественно новых технологий требуется разработка или обновление нормативной документации, поскольку не все средства и технологии защиты регулируются на законодательном уровне.
Текущая ситуация
На текущий момент в большинстве государственных организаций сложилась следующая отрицательная практика: в связи с резким ограничением функциональности и снижением быстродействия программно-аппаратных средств автоматизированные рабочие места из состава систем обработки данных, особенно предназначенных для обработки сведений, составляющих государственную тайну, выполняют роль исключительно средств редактирования текстовых документов, поскольку необходимость использования сертифицированных средств защиты информации накладывает ограничения на используемые программно-технические средства обработки данных [2].
Большинство информационных систем ориентировано, в основном, на локальные (децентрализованные) хранение и обработку данных.
Использование современных технологий
В целях повышения эффективности обработки информации и экономических показателей предлагается адаптация и внедрение следующих современных технологий:
1. Технологии облачных вычислений, позволяющие обеспечить централизованную обработку и хранение данных и выполнить перенос большей части задач
по обработке информации на централизованный сервер (технология «тонких» клиентов) [3].
2. Веб-технологии, предназначенные для организации документооборота и доведения информации.
3. Использование мобильных устройств.
Исследование и адаптация указанных современных технологий с учетом всех актуальных нормативных требований в части обеспечения безопасности обрабатываемой информации, разработки детальной модели угроз, тщательного анализа циркулирующих потоков информации и схемы обработки данных позволят увеличить функциональность информационных систем, повысить скорость обработки и доступность информации без снижения уровня защищенности обрабатываемых данных [4, 5].
Вывод
В целях реализации указанных рекомендаций необходимо комплексное исследование текущей системы информатизации Минюста, анализ актуальной нормативно-правовой базы, оценка возможности реализации новых информационных технологий и средств защиты информации.
Краткий анализ ключевых особенностей защиты информации и методов повышения эффективности ее обработки с учетом актуальных на сегодняшний день нормативных требований по безопасности информации позволяет сделать вывод о целесообразности проведения системной НИР «Исследование построения перспективной системы информационной безопасности Минюста РФ» при головной роли НЦПИ Минюста.
Литература
1. Концепция информатизации Министерства Юстиции Российской Федерации, утв. приказом Министерства юстиции Российской Федерации от 21 января 2000 г. № 10.
2. Официальный Интернет-ресурс ФСТЭК России. Техническая защита информации. [Электронный ресурс]. - Режим доступа: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty, свободный (загрузка). - Загл. с экрана.
3. Окончательная редакция проекта ГОСТ Р «Защита информации. Защита информации при использовании облачных технологий. Общие положения» [Электронный ресурс]. -Режим доступа: http://tk.gost.ru/wps/portal/ tk362?WCM_GLOBAL_CONTEXT = / tk/tk362/main/activity/1387260406652, свободный (загрузка). - Загл. с экрана.
4. Платонов В. В. Программно-аппаратные средства защиты информации: учебник для студентов учреждений высшего профессионального образования [Текст]/ В. В. Платонов, издательский центр «Академия». - М. : 2013 - 336 [6-41] с.
5. Лукацкий А. В. Обзор последних законопроектов и законов, имеющих отношение к информационной безопасности. 04.12.2013 г. [Электронный ресурс]. -Режим доступа: http://lukatsky.blogspot. ru/2013/12/blog-post_4.html, свободный (загрузка). - Загл. с экрана.
