УДК 004.056.5
Д. В. ТИТОВ
старший преподаватель кафедры информатики и математики инженерно-экономического факультета ВИПЭ ФСИН России, кандидат технических наук, подполковник внутренней службы
Вологда
DMITRY V. TITOV
Senior Lecturer of the Department of Informatics and Mathematics of the Faculty of Engineering and Economics of VILE of the FPS of Russia, Candidate of Technical Sciences, Lieutenant Colonel of the Internal Service
Vologda
Реестр отечественного программного обеспечения как элемент информационной безопасности
Register of domestic software as an element of information security
#
Аннотация. Рассматриваются перспективы перехода государственных органов и учреждений на использование отечественного программного обеспечения в целях обеспечения информационной безопасности.
Ключевые слова: реестр, программное обеспечение, программный продукт, операционная система, база данных, информационная безопасность, ФСИН России.
Annotation. The author considers the prospects for the transition of state bodies and institutions to the use of domestic software for information security.
Key words: register, software, software product, operating system, database, information security, FPS of Russia.
#
В настоящее время актуальными становятся вопросы экономической безопасности государства в части замещения (импортозаме-щения) зарубежной продукции отечественными аналогами. Также это касается программного обеспечения (далее - ПО), баз данных, ресурсов локальных и глобальных компьютерных сетей. Ожидаемым результатом внедрения отечественных программных продуктов в государственные информационные системы является обеспечение их независимости от использования зарубежных программных кодов и платформ.
В доказательство правомерности и актуальности вышесказанного приведем отрывок из выступления Председателя Правительства Российской Федерации Д. А. Медведева на совещании, посвященном развитию отечественных программных продуктов от 12.01.2019:
«Российские государственные организации по-прежнему во многом зависят от импортного программного обеспечения и эту ситуацию нужно менять». По мнению Дмитрия Медведева, в настоящий момент наблюдается серьезная зависимость государственного и коммерческого сектора от иностранного софта. Это создает риски для
Ведомости уголовно-исполнительной системы № 1/2020
65
развития 1Т-отрасли и экономики государства в целом, особенно в свете ограничительных мер, вводимых некоторыми странами в отношении России. «Обеспечение должной независимости в цифровом пространстве, создание современной, новой цифровой экосистемы в стране, ее полноценная защита - это вопрос национальной безопасности. В связи с этим надо активно развивать собственное программное обеспечение. У нас талантливые программисты - это ни для кого не секрет. Они составляют достойную конкуренцию иностранным коллегам. Российские разработчики выпускают софт, который по своим техническим характеристикам часто абсолютно не уступает зарубежным аналогам. Все это хорошо, но этого мало», - сказал глава правительства.
«Мы довольно неплохо справляемся с импортозамещением в целом ряде других отраслей. Теперь эту задачу надо решить и в сфере информационных технологий. Для этого будем стимулировать разработку отечественного программного обеспечения», -продолжил Д. А. Медведев. Он подчеркнул, что правительством в рамках госпрограммы «Цифровая экономика» планируется создание дополнительных мер поддержки отечественных разработчиков программного обеспечения и на эти цели предусмотрены деньги из федерального бюджета. По словам премьер-министра, к 2024 году доля российского программного продукта в государственных структурах должна превысить 90 %, а в государственных компаниях - составить не менее 70 % [1].
Информационная безопасность государственных структур представляет собой сложную модель, которая включает в себя следующие составляющие:
а) графоаналитическую структуру взаимодействия отделов и служб в целях обмена данными в электронной форме;
б) аппаратную часть системы защиты (серверы баз данных электронных документов с возможностью удаленного доступа);
в) систему контроля и управления доступом (СКУД) с возможностью аутентификации пользователей системы;
г) программную часть защиты (брандмауэр, программу разграничения учетных записей пользователей, программу шифрования файлов, алгоритмы защиты и тому подобное);
д) систему безопасности и контроля персонала.
Как следует из вышесказанного, построение модели защиты будет опираться в основном на системное ПО, сюда войдут сетевые операционные системы, а также прикладное ПО.
Информационная безопасность представляет собой систему, состоящую из нескольких важнейших элементов. Представим ее в виде блочной структуры так, как показано на рисунке 1.
Единый реестр ПО содержит продукты, прошедшие все ступени сертификации и тестирования на соответствие требованиям ГОСТ Р 56939-2016. Таким образом, реестр можно считать элементом общей структуры информационной безопасности, а точнее, элементом подсистемы организационно-правового обеспечения.
Необходимо отметить, что весь перечень используемого ПО должен соответствовать требованиям по защите информации.
В сфере обеспечения информационной безопасности регулятором данного вида деятельности выступает Федеральная служба безопасности Российской Федерации и Федеральная служба по техническому и экспортному контролю. Нормативными документами, которыми руководствуется ФСБ России при проведении плановых проверок выступают следующие акты:
1. Приказ ФСБ Росси от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с ис-
66
[email protected] www.or.fsin.su
Блок 1. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
■ Организационные и технические меры по обеспечению защиты информации в государственных структурах
■ Сертификация и стандартизация программного обеспечения
■ Ответственность за нарушение норм защиты информации
■ Регламентация работы с элементами системы защиты информации
■ Анализ соответствования требованиям ГОСТ Р 56939-2016
_I_
Блок 2. БЕЗОПАСНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
■ Обеспечение информационной безопасности в операционных системах
■ Аутентификация и разграничение доступа к защищаемым объектам
■ Обеспечение безопасности баз данных
■ Обеспечение безопасности компьютерных сетей, сетевых протоколов, ресурсов локальных и глобальных сетей
■ Средства программной защиты от угроз, атак, анализ уязвимостей
■ Тестирование модели «потенциального нарушителя»
_А_
Блок 3. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
■ Требования к средствам криптографической защиты информации
■ Основные алгоритмы шифрования электронных документов
■ Симметричные криптосистемы, хэш-функции
■ Ассиметричные криптосистемы, управление ключами
■ Электронная подпись, удостоверяющий центр
■ Криптоанализ и исследование атак на криптосистемы
■ Криптографические методы в системах защиты информации
и
Блок 4. ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
■ Анализ технических каналов утечки информации
■ Исследование сигналов различной природы и анализ влияния сигналов-помех на аппаратную часть систем защиты
■ Предотвращение утечки информации по каналам связи
■ Анализ пассивных угроз, защита от несанкционированного доступа и копирования информации, содержащей государственную тайну
■ Анализ активных угроз, моделирование действий «потенциального нарушителя» и тестирование системы защиты информации
Рисунок 1. Поэлементная структура информационной безопасности
пользованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» [2];
2. Приказ ФСБ РФ от 9.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуа-
тации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» [3];
3. Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным
Ведомости уголовно-исполнительной системы № 1/2020
67
доступом, не содержащей сведений, составляющих государственную тайну» [4];
4. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждены руководством 8 Центра ФСБ России 31.03.2015 № 149/7/2/6-432) [5] .
Проверка проводится на соответствие заявляемых критериев информационной безопасности в деятельности как коммерческих структур, так государственных бюджетных и казенных учреждений. Список требований выглядит следующим образом:
1. Обеспечение организационных мер защиты персональных данных. Криптографические меры защиты информации;
2. Наличие разрешительной и эксплуатационной документации на средства криптографической защиты информации (СКЗИ). СКЗИ - это программа, которая обеспечивает шифрование и дешифрование электронных документов посредством использования алгоритмов электронной цифровой подписи.
3. Соответствие персонала требованиям, необходимым для допуска к работе со СКЗИ;
4. Порядок эксплуатации СКЗИ, оценка соответствия применяемых СКЗИ в организации или учреждении согласно разрешительным функциям.
На сегодняшний день разработан и внедряется в эксплуатацию единый реестр отечественного ПО, основная цель создания которого - обеспечить рост доли ПО российской разработки на информационном рынке [6].
Формирование реестра осуществляется Министерством связи и массовых коммуникаций Российской Федерации посредством принятия решений о включении сведений о
ПО в реестр или об исключении сведений о ПО из реестра. В настоящий момент в реестр входят более четырех тысяч программных продуктов отечественной разработки.
Распределение программных продуктов в реестре выглядит так: основная доля зарегистрированных программных продуктов - прикладные программы. Системные программы, в том числе операционные системы, занимают второе место.
По значимости функций программных продуктов, входящих в единый реестр в настоящий момент, можно выделить следующие:
1. Система управления базами данных «Ред База Данных». Продукт используется в более чем 30 органах государственной власти и государственных учреждениях, а наиболее крупным пользователем продукта является Федеральная служба судебных приставов;
2. Операционные системы «Альт Ли-нукс», «Альт Сервер», «Базальт Рабочая станция» позволяют запускать приложения, работать с большими массивами данных с возможностью удаленного управления рабочими станциями. В арсенале имеется программно-реализуемый механизм мультизадачности, а также быстрый доступ к приложениям и настройкам. По уровню проработки и методам защиты информации данные операционные системы оказались не ниже, чем известные системы платформы Microsoft Windows.
Необходимо отметить, что в государственных закупках программного обеспечения для органов власти, госкомпаний, федеральных бюджетных и федеральных казенных учреждений могут участвовать программные продукты, сведения о которых официально внесены в единый реестр российских программ для электронных вычислительных машин и баз данных.
Регистрация отечественных программных продуктов в реестре осуществляется, исходя из требований законодательства:
68
[email protected] www.or.fsin.su
1. Федерального закона от 29.06.2015 № 188-ФЗ «О внесении изменений в Федеральный закон ,,Об информации, информационных технологиях и о защите информации"» [7];
2. Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» [8];
3. Постановления Правительства Российской Федерации от 16.11.2015 № 1236 (ред. от 30.03.2019) «Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации» [9];
4. Порядок подачи заявления для включения сведений о программном обеспечении в единый реестр российских программ для электронных вычислительных машин и баз данных, утвержденный приказом Мин-комсвязи России от 20.09.2018 № 46 [10].
Реестр можно представлять в виде нескольких больших классов ПО, исходя из его прикладного назначения:
1. Операционные системы и системные утилиты для обеспечения функционирования компьютерных сетей;
2. Системы управления процессами организаций и учреждений;
3. Системы управления базами данных, основанных на использовании архитектуры «клиент-сервер»;
4. Сервисы для обеспечения облачных и распределительных вычислений;
5. Средства виртуализации информации;
6. Поисковые машины, системы мониторинга и управления;
7. Инструментарий для обеспечения информационной безопасности организации;
8. Офисные программы и приложения;
9. Системы сбора, хранения, обработки, анализа и моделирования массивов данных;
10. Системы управления проектами, исследованиями, разработкой, проектированием и внедрением, лингвистическое ПО.
Приведем краткий перечень ПО российской разработки, направленного на решение прикладных задач, включенного в единый реестр за последнее время:
1. «Р7-Офис. Профессиональный. Деск-топная версия». Новый продукт включен в единый реестр российского программного обеспечения 26.02.2019. Содержит профессиональные редакторы текстовых документов, электронных таблиц и презентаций для госучреждений и образования с возможностью полной замены пакета Microsoft Office.
2. «Конфигурация для учреждений ФСИН» для 1С БГУ 8 включена в реестр 10.01.2019. Представляет собой многофункциональный программный продукт, предназначенный для ведения учета по специфике учреждений УИС, реализованный на платформе «1С: Предприятие 8.2» с использованием нового плана счетов. В конфигурацию входят следующие функциональные блоки:
а) учет осужденных и их личных денег. Формирует отчеты: «Карточка личных денег осужденных», «Обороты личных денег осужденных», «Ведомость магазина», «Выплата осужденным», «Карточка исполнительных листов» по каждому осужденному;
б) учет ценностей осужденных. Учет ценностей осужденных, которые поступают в учреждение на время заключения;
в) учет вещевого обеспечения. Автоматизированный оперативный и бухгалтерский учет вещевого довольствия и другое.
2. «Комплексная система электронного документооборота (КСЭД) 3.0» внесена в реестр 03.12.2018. Позволяет объединить в единой среде документооборот, сопровождающий десятки процессов государственных организаций. Здесь используется электронная подпись, что упрощает ведение входящей/исходящей корреспонденции, подготовку и согласование до-
Ведомости уголовно-исполнительной системы № 1/2020
69
кументов, управление организационно-распорядительной документацией организации, межведомственный документооборот, контроль выполнения поручений, проведение процедур государственных закупок.
В заключение можно сделать вывод, что использование государственными ор-
ганами власти ПО, входящего в единый реестр, позволит поднять уровень информационной безопасности, упорядочить процессы государственных закупок ПО, будет способствовать выполнению государственных задач в сфере информационно-технического обеспечения и области защиты информации.ф
1. О развитии отечественных программных продуктов. Вступительное слово Дмитрия Медведева // Правительство России : [сайт]. 10.01.2019. URL: http://government.ru/news/35323/ (дата обращения: 06.12.2019).
2. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности : приказ ФСБ России от 10.07.2014 № 378. Доступ из СПС «Гарант».
3. Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) : приказ ФСБ РФ от 09.02.2005 № 66. Доступ из СПС «Гарант».
4. Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну : приказ ФАПСИ от 13.06.2001 № 152 (Зарегистрировано в Минюсте РФ 06.08.2001 № 2848). Доступ из СПС «КонсультантПлюс».
5. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности: утверждены ФСБ России от 31.03.2015 № 149/7/2/6-432. Доступ из СПС «КонсультантПлюс».
6. Единый реестр российских программ для электронных вычислительных машин и баз данных. URL: https://reestr.minsvyaz.ru/reestr/ (дата обращения: 05.09.2019).
7. О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статью 14 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» : федер. закон от 29.06.2015 № 188-ФЗ. Доступ из СПС «КонсультантПлюс».
8. О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд : федер. закон от 05.04.2013 № 44-ФЗ. Доступ из СПС «КонсультантПлюс».
9. Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд (вместе с «Правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации», «Порядком подготовки обоснования невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранных государств (за исключением программного обеспечения, включенного в единый реестр программ для электронных вычислительных машин и баз данных из
70 [email protected] www.or.fsin.su
государств - членов Евразийского экономического союза, за исключением Российской Федерации), для целей осуществления закупок для обеспечения государственных и муниципальных нужд») : пост. Правительства Рос. Федерации от 16.11.2015 № 1236 (ред. от 20.12.2017). Доступ из СПС «КонсультантПлюс».
10. Об утверждении методических рекомендаций по переходу государственных компаний на преимущественное использование отечественного программного обеспечения, в том числе отечественного офисного программного обеспечения : приказ Минкомсвязи России от 20.09.2018 № 486 (ред. от 18.04.2019). Доступ из СПС «КонсультантПлюс».
1. On the development of domestic software products. Opening speech of Dmitry Medvedev //Government of Russia : [website]. 10.01.2019. URL: http://government.ru/news/35323/ (access date: 06.12.2019).
2. On the approval of Structure and the maintenance of organizational and technical measures for safety of personal data at their processing in personal data information systems with use of the means of cryptographic information security necessary for implementation of the requirements to protection of personal data established by the Government of the Russian Federation for each of security levels: the order of FSS of Russia from 10.07.2014 № 378. Access from LRS «Garant».
3. On approval of the Regulation on Development, Production, Sale and Operation of Encryption (Cryptographic) Means of Information Protection: the order of FSB of the Russian Federation from 9.02.2005 № 66. Access from LRS «Garant».
4. On the approval of the Instruction about the organization and safety of storage, processing and transfer for communication channels with use of means of the cryptographic information security with limited access which does not contain the state secret data : the order FAGCI from 13.06.2001 № 152 (It is registered in the Ministry of Justice of the Russian Federation 06.08.2001 № 2848). Access from LRS «ConsultantPlus».
5. Methodical recommendations about development of the regulations defining the threats to security of personal data relevant at processing of personal data in information systems of the personal data operated at implementation of the corresponding types of activity : are approved by FSS of Russia 31.03.2015 № 149/7/2/6-432. Access from LRS «ConsultantPlus».
6. Unified Register of Russian Programs for Electronic Computers and Databases // URL: https: //reestr.minsvyaz.ru/reestr/ (access date: 05.09.2019).
7. On introduction of amendments to the Federal law «On Information, Information Technologies and on Information Security» and Article 14 of the Federal law «On a Contract System in the Sphere of procurement of Goods, Works, Services for Ensuring the State and Municipal Needs»: Fed. Law from 29.06.2015 № 188-FL. Access from LRS «ConsultantPlus».
8. On the contract system in the field of procurement of goods, works, services for the provision of state and municipal needs: Fed. Law № 44 of FL from 05.04.2013. Access from LRS «ConsultantPlus».
9. On Prohibition of Admission of Software Originating from Foreign States for Procurement Purposes for State and Municipal Needs (Together with «Rules for Formation and Maintenance of a Unified Register of Russian Programs for Electronic Computers and Databases and a Single Register of Programs for Electronic Computers and Databases from the Member States of the Eurasian Economic Union, Except for the Russian Federation», «Procedure for Preparing Justification for Impossibility of Compliance with the Ban on Admission of Software Originating from FOREIGN (Excluding software included in the unified register of programs for electronic computers and databases from the member states of the Eurasian Economic Union, excluding the Russian Federation), For procurement purposes for State and municipal needs»): enactment of the Government of the Russian Federations from 16.11.2015 № 1236 (access date: 20.12.2017). Access from LRS «ConsultantPlus».
10. On approval of methodological recommendations on transition of state companies to preferential use of domestic software, including domestic office software: the order of the Ministry of Communications of Russia from 20.09.2018 № 486 (access date: 18.04.2019). Access from LRS «ConsultantPlus».
Ведомости уголовно-исполнительной системы № 1/2020 71