CC BY
41
Вера ОСТАПЕНКО
РЕГИОНАЛЬНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ В РОСТОВСКОЙ ОБЛ.
В настоящее время в России главным стратегическим национальным ресурсом, основой экономической и оборонной мощи государства становится информация и информационные технологии. Недостаточная защищённость информационных ресурсов приводит к утечке важнейшей политической, экономической, научной и военной информации.
Information and informational technologies nowadays have been becoming one of the main strategic national resources, the basis of the state economic and defense power in Russia. Insufficient defense of the information resources leads to the leak of important politic, economic, science and military information.
Ключевые слова:
защита информации, информационная безопасность региона, органы исполнительной власти, лицензирование в области защиты информации, аттестация объектов информатизации; information’s defense, informational security of the region, executive authorities, licensing in the sphere of information’s defense, certification of objects of informatization.
Острота проблемы обеспечения информационной безопасности определяется состоянием социально-экономической и общественно-политической обстановки в субъектах и в стране в целом; соотношением возможностей средств защиты и средств несанкционированного сбора, обработки и доступа к информационным ресурсам; наличием чётких правил взаимодействия субъектов информационных отношений с учётом степени важности и секретности информации.
С целью повышения эффективности принимаемых региональными органами исполнительной власти управленческих решений администрация Ростовской обл. с 1995 г. занимается созданием на своей территории региональной системы защиты информации, которая решает задачи по следующим направлениям.
1. Создание на территории региона сети специализированных организаций и предприятий, проводящих практические работы (оказывающих услуги) в области защиты информации по всем её направлениям.
В частности, одним из таких специализированных предприятий на территории Ростовской обл. является региональный экспертноаттестационный центр «Эксперт», созданный по инициативе администрации Ростовской обл. 20 декабря 1995 г. для осуществления специальных экспертиз предприятий при их допуске к проведению работ с использованием сведений, составляющих государственную тайну, и оказания услуг по её защите. Вопросами информационной безопасности занимаются два отдела — отдел защиты информации и отдел защиты конфиденциальной информации.
Основными направлениями деятельности отдела защиты информации являются проведение первичного обследования объектов информатизации; разработка моделей потенциальных нарушителей и угроз конфиденциальной информации; разработка рекомендаций по созданию комплексных систем безопасности; поставка, монтаж, наладка технических, программных, программноаппаратных средств защиты информации; первичная подготовка персонала объекта информатизации, методическая помощь и консультационные услуги; ежегодный контроль эффективности системы защиты.
Отдел защиты конфиденциальной информации создан в 2006 г. в связи с возрастающим интересом к вопросам защиты конфиденциальной информации. Основная деятельность этого отдела на-
ОСТАПЕНКО Вера Сергеевна — аспирант кафедры политологии и этнополитики СКАГС
правлена на определение объёма и содержания сведений конфиденциального характера и юридическое обеспечение их защиты, исследование уровня защищённости информации, выявление уязвимых мест, анализ рисков и проведение аттестации объектов информатизации.
2. Создание в органах исполнительной власти, учреждениях, организациях и на предприятиях области служб (отделов), назначение лиц, ответственных за защиту информации. В администрации Ростовской обл. в январе 1996 г. созданы совет по вопросам защиты информации при главе администрации (губернаторе) области и постоянно действующая техническая комиссия по защите государственной тайны (ПДТК). Основными функциями ПДТК являются: выработка рекомендаций, направленных на обеспечение установленного режима секретности; выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну; организация и обеспечение противодействия иностранным техническим разведкам, защита информационных систем; совершенствование системы физической и технической защиты администрации области, направленной на обеспечение её безопасности; проведение экспертиз материалов, предназначенных для открытого опубликования.
В рамках обеспечения информационной безопасности органов исполнительной власти Ростовской обл. в августе 2007 г. создана корпоративная сеть телекоммуникационной связи областных органов государственной власти и административных центров муниципальных образований области.
3. Создание региональной системы лицензирования организаций и предприятий на право проведения работ (оказания услуг) в области защиты информации.
Вопросами лицензирования в сфере информационной безопасности на территории Ростовской обл. с 1997 по 2003 г. занималась Лицензионная палата Ростовской области. Постановлением администрации Ростовской области от 31 января 2003 г. Лицензионная палата области была ликвидирована. Этим же постановлением был определён перечень областных органов исполнительной власти, осуществляющих лицензирование отдельных видов деятельности, среди которых не был
указан орган, ответственный за лицензирование организаций и предприятий на право проведения работ (оказания услуг) в области защиты информации. По нашему мнению, это очень затруднило процесс информатизации органов исполнительной власти Ростовской обл., а также внесло изменения в механизм обеспечения их информационной безопасности.
В настоящее время лицензирование организаций и предприятий на право проведения работ (оказания услуг) в области защиты информации осуществляется Управлением ФСТЭК России по Южному федеральному округу, основным направлением деятельности которого является обеспечение безопасности информации в системах информационной и телекоммуникационной инфраструктуры, а также обеспечение защиты информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения и блокирование доступа к ней. Управление является государственным органом лицензирования организаций и предприятий на право проведения работ в сфере информационной безопасности на территории Ростовской обл.
4. Создание региональной системы подготовки (переподготовки) кадров для работы в области защиты информации. Данная система включает в себя шесть государственных образовательных стандартов и разработанных на их базе основных образовательных программ по специальностям: «Криптография», «Компьютерная безопасность», «Организация и технология защиты информации», «Комплексная защита объектов информатизации», «Комплексное обеспечение информационной безопасности автоматизированных систем», «Информационная безопасность телекоммуникационных систем».
В систему входят государственные высшие учебные заведения, находящиеся на территории Ростовской обл., которые ведут или готовятся вести образовательную деятельность по подготовке специалистов по указанным специальностям и входят в состав учебно-методического объединения по образованию в области информационной безопасности.
В 1999 г. Межведомственной комиссией по защите государственной тайны принято решение о введении федерального компонента по вопросам защиты государственной тайны в Государственные образовательные стандарты высшего профессионального образования. В последующем в программу дисциплины «Информатика» («Математика и информатика») всех направлений и специальностей высшего профессионального образования введен раздел по основам информационной безопасности и защиты государственной тайны.
5. Создание системы государственной аттестации объектов информатизации по требованиям защиты информации.
В состав такой системы входит уже названный выше региональный экспертноаттестационный центр «Эксперт». Центр осуществляет такие функции, как формирование экспертных комиссий и представление их состава на согласование в ФСТЭК России; планирование и проведение работ по специальной экспертизе заявителей; систематизирование отчётов лицензиатов и ежегодное представление сводного отчёта в государственный орган по лицензированию; участие в работе государственного органа по лицензированию при рассмотрении спорных вопросов, возникающих в процессе экспертизы орга-низаций-заявителей, и фактов некачественной работы лицензиатов.
В систему государственной аттестации объектов информатизации входит и Управление ФСТЭК России по Южному федеральному округу, которое «организует проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры»1, а также совместно с Управлением ФСБ России по Ростовской обл. участвует в проведении специальных экспертиз по допуску организаций к проведению работ, связанных с использованием сведений, составляющих государ-
1 Указ Президента Российской Федерации от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» // Справочно-правовая система «КонсультантПлюс».
ственную тайну, а также принимает участие в проведении государственной аттестации руководителей организаций, ответственных за защиту указанных сведений.
6. Создание системы государственного учёта и регистрации банков и баз данных государственных и иных информационных ресурсов и электронных изданий на территории области с определением их собственности, стоимости, практической и иной ценности, конфиденциальности, правил хранения и доступа как основы безопасности региональных информационных ресурсов.
На территории Ростовской обл. функционирует государственная система автоматизации функций работников администраций поселений Ростовской обл.2, автоматизированная система ведения государственного земельного кадастра и государственного учёта объектов недвижимости в Ростовской обл.2
7. Создание в области действующих механизмов правовой, юридической, судебной, процессуальной, доказательной, оперативно-следственной поддержки региональной системы защиты информации и безопасности информационных ресурсов.
Для создания действующих механизмов поддержки системы информационной безопасности ведётся работа с Ростовским юридическим институтом МВД России, ГУВД области по отработке методик оперативно-следственных мероприятий, порядка судебной доказательной базы — с юридическим факультетом РГУ, Управлением ФСБ России по Ростовской области, прокуратурой.
8. Создание региональной системы сертификации средств защиты информации по требованиям информационной безопасности.
Одним из элементов этой системы на территории Ростовской обл. является ФГУП «Ростовский центр стандартизации, метрологии и сертификации», которое находится в ведении Федерального агентства по техническому регулированию и метрологии. Центр проводит сертификационные испытания средств защиты информации и по их результатам
2 Постановление Администрации Ростовской области от 5 июня 2007 г. № 230 «О государственной системе автоматизации функций работников администраций поселений Ростовской области» // Справочно-правовая система «КонсультантПлюс-Регион».
оформляет заключения и протоколы, которые направляет в соответствующий орган по сертификации средств защиты информации и изготовителям. Центр несёт ответственность за полноту испытаний средств защиты информации и достоверность их результатов.
В региональную систему сертификации средств защиты информации по требованиям информационной безопасности входит Ростовский центр сертификации «Донтест».
9. Организация научной и научно-технической работы в области информационной безопасности. Этим занимаются созданное в сентябре 1992 г. научно-производственное объединение «Центр технических средств контроля «Кордон», Ростовский филиал ФГУП «Научно-производственное предприятие «Гамма» (создано в 1991 г.).
Таким образом, можно говорить о том, что на территории Ростовской обл. областной администрацией на сегодняшний день созданы все необходимые институты региональной системы защиты информации. Однако для завершения работы по созданию самодостаточной региональной системы информационной безопасности Ростовской обл. необходимо решить следующие важные вопросы.
1. Создание региональной системы экспертной поддержки борьбы с преступлениями в сфере высоких технологий. Здесь работа должна осуществляться в двух направлениях — законодательно-правовом и организационно-техническом. Законодательно-правовое направление заключается в создании системы законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов по обеспечению безопасности информации региональных органов исполнительной власти и региональной законодательной базы в области защиты региональных информационных ресурсов. Организационно-техническое направление представляет собой комплекс взаимокоординируемых мероприя-
тий и технических мер, реализующих практические механизмы защиты.
2. Создание региональной системы контроля международного информационного обмена. Основной задачей такого органа должно стать обеспечение требований по технической защите информации при осуществлении различными организациями, органами государственной власти и местного самоуправления Ростовской обл. международного информационного обмена, международного сотрудничества и внешнеэкономической деятельности, а также при реализации международных научных и научно-технических программ и проектов Ростовской обл., в ходе реализации которых осуществляется размещение и использование иностранных технических средств наблюдения и контроля.
3. Создание в области регионального лицензионного центра защиты информации, а также органа по регистрации баз и банков данных. Региональный лицензионный центр защиты информации должен стать органом, занимающимся экспертной проверкой и подготовкой организаций и предприятий области к получению лицензии ФСТЭК России на ведение работ и оказание услуг в области защиты информации. Регистрация баз и банков данных государственных и иных информационных ресурсов на территории Ростовской обл. должно стать основой для превращения информации в настоящий ресурс, имеющий свою конкретную цену и денежную стоимость, регулирования правил обращения с информацией, доступа к ней, решения информационных споров, привлечения к уголовной и административной ответственности по информационным преступлениям.
Однако самая главная задача — сделать всё необходимое для изменения правового сознания общества в его отношении к информационным ресурсам, к защите информации, добиться доверия населения к действиям органов власти, правоохранительных структур в данной области.
