Научная статья на тему 'Вопросы защиты информации при переходе на оказание государственных услуг в электронном виде'

Вопросы защиты информации при переходе на оказание государственных услуг в электронном виде Текст научной статьи по специальности «Право»

CC BY
879
125
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННЫЕ РИСКИ И УГРОЗЫ / ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ / СЕРВИСЫ БЕЗОПАСНОСТИ / ЕДИНАЯ НАЦИОНАЛЬНАЯ ГОСУДАРСТВЕННАЯ ИНФРАСТРУКТУРА ДОВЕРИЯ / ДОВЕРЕННЫЕ СЕРВИСЫ / ДОВЕРЕННЫЕ УДОСТОВЕРЯЮЩИЕ ЦЕНТРЫ / INFORMATION RISKS AND THREATS / ELECTRONIC DOCUMENTATION / SECURITY SERVICES / UNIFIED NATIONAL STATE INFRASTRUCTURE OF TRUST / TRUSTED SERVICES / TRUSTED CERTIFICATE AUTHORITY

Аннотация научной статьи по праву, автор научной работы — Овчинников Сергей Александрович, Ковалёва Елена Валерьевна

В статье рассмотрены основные моменты, несущие риски и угрозы информационного плана при переходе на оказание государственных услуг в электронном виде. Электронный документооборот требует решения по обеспечению сервисов безопасности. Дискуссии о возможных способах построения единой национальной (государственной) инфраструктуры доверия (НИД) продолжаются несколько лет. Инфраструктура НИД должна включать в себя удостоверяющие центры (УЦ), входящие в единый домен цифрового доверия, и обеспечивать единое пространство использования и признания электронной подписи. Отсутствие руководящих указаний привело к тому, что ведомства с разной степенью успешности построили отдельно взятые пространства доверия, которые необходимо связать воедино. Второй важный момент связан с полнотой использования доверенных сервисов ключевых элементов обеспечения безопасности электронного правительства. Необходимо отметить отсутствие стандартов и выверенных требований. К сожалению, недостаточно уделяется внимания рассмотрению угроз безопасности информационного взаимодействия, связанных с вредоносным программным обеспечением.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

INFORMATION PROTECTION DURING THE TRANSITION TO PROVIDING STATE SERVICES ELECTRONICALLY

The paper describes the main points that carry information risks and threats in the transition to providing public services in electronic form. Electronic document management requires service security solutions. Debates about how to design a unified national (state) trust infrastructure have been going on for several years. Unified national (state) trust infrastructure must include certification centers included in a single domain of digital trust and provide a common space for using and recognition of electronic signatures. Lack of guidelines means that the agencies with varying degrees of success have designed separate trust spaces which must be linked together. The second important point is the optimal use of trusted services key elements of the security of e-government. Lack of standards and verified requirement should be mentioned. Unfortunately, not enough attention is paid to addressing threats to security of information exchange associated with malicious software.

Текст научной работы на тему «Вопросы защиты информации при переходе на оказание государственных услуг в электронном виде»

Таким образом, можно сделать следующие выводы.

1. Развитие государственных э-услуг - стимулирующая задача. Важно иметь понятные пользовательские интерфейсы, пригодные к использованию гражданами и другими внешними пользователями. При этом должен быть принят во внимание характер государственных э-услуг. Новые э-услуги должны быть объединены существующей ИКТ-инфраструктурой. Потенциал этого процесса должен рассматриваться при перепроектировании.

2. Используя специальные методы для развития э-услуги, наряду с прочими действиями, необходимо разработать схему для такого развития, выделив пять центральных областей, которые нужно использовать при диагнозе потока электронных документов в ходе реализации проекта э-услуги.

3. Изучение ряда электронных государственных услуг, а также проведение экспертной оценки участвующих в проекте приложений показало, что многие из них довольно сложные и нуждаются в детальном осмыслении в целях определения способов дальнейшего усовершенствования и развития.

4. Научно-исследовательский подход к вопросам оказания электронных государственных услуг состоит в том, чтобы получить научно обоснованную информацию для планирования этой работы с учетом интересов граждан и возможности оценки этой работы персонала,

принимающего участие в развитии электронных государственных услуг.

1. Овчинников С.А., Семенов В.П. Проблемы стандартизации, совместимости и взаимодействия органов государственной власти, бизнес-процессов и граждан в условиях широкого внедрения информационных технологий // Вестник СГСЭУ. 2011. № 2 (Зб).

2. Ancarani A. Towards Quality E-service in the Public Sector: The Evolution of Web Sites in the Local Public Service Sector // Managing Service Quality. 2005. Vol 15 (1).

3. Davenport T.H. Process Innovation. Reengineering Work through Information Technology. BostonHarvard Business School Press, 1993.

4. EC. European Interoperability Framework for Pan-European E-government Services. The European Commision, 2004.5. Goldkuhl G. What does it Mean to Serve the Citizen in E-services? Towards a Practical Theory Founded in Socio-instrumental Pragmatism // International Journal of Public Information Systems. 2007. Vol. 3.

6. Goldkuhl G. The Evolution of a Generic Regulation Model for E-government Development // Proceedings of the 5 Scandinavian Workshop on E-government (SWEG-2008). Copenhagen Business School, 2008.

7. Goldkuhl G. (2009) Socio-instrumental Service Modelling: аn Inquiry on E-services for Tax Declarations // Persson A., Stirna J. PoEM 2009. Berlin: Springer, 2009.

8. Layne K., Lee J. Developing Fully Functional E-government: а Four-stage Model // Government Information Quarterly. 2001. Vol 18 (2).

9. Scandinavian Workshop on E-government (SWEG-2010).

Сергей Александрович Овчинников,

доктор исторических наук, профессор кафедры философии и политологии, проректор, директор НОЦ «Инфо-ЭПР»,

СГСЭУ

Елена Валерьевна Ковалёва,

кандидат политических наук, доцент кафедры документоведения и документационного обеспечения управления,

СГСЭУ

ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕХОДЕ НА ОКАЗАНИЕ ГОСУДАРСТВЕННЫХ УСЛУГ

В ЭЛЕКТРОННОМ ВИДЕ

В статье рассмотрены основные моменты, несущие риски и угрозы информационного плана при переходе на оказание государственных услуг в электронном виде. Электронный документооборот требует решения по обеспечению сервисов безопасности. Дискуссии о возможных способах построения единой национальной (государственной) инфраструктуры доверия (НИД) продолжаются несколько лет. Инфраструктура НИД должна включать в себя удостоверяющие центры (УЦ), входящие в единый домен цифрового доверия, и обеспечивать единое пространство использования и признания электронной подписи. Отсутствие руководящих указаний привело к тому, что ведомства с разной степенью успешности построили отдельно взятые пространства доверия, которые необходимо связать воедино. Второй важный момент связан с полнотой использования доверенных сервисов - ключевых элементов обеспечения безопасности электронного правительства. Необходимо отметить отсутствие стандартов и выверенных требований. К сожалению, недостаточно уделяется внимания рассмотрению угроз безопасности информационного взаимодействия, связанных с вредоносным программным обеспечением.

Ключевые слова: информационные риски и угрозы, электронный документооборот, сервисы безопасности, единая национальная государственная инфраструктура доверия, доверенные сервисы, доверенные удостоверяющие центры.

УДК 004:005 fjSäp [email protected]

S.A. Ovchinnikov, Ye.V. Kovaleva

INFORMATION PROTECTION DURING THE TRANSITION TO PROVIDING STATE SERVICES ELECTRONICALLY

The paper describes the main points that carry information risks and threats in the transition to providing public services in electronic form. Electronic document management requires service security solutions. Debates about how to design a unified national (state) trust infrastructure have been going on for several years. Unified national (state) trust infrastructure must include certification centers included in a single domain of digital trust and provide a common space for using and recognition of electronic signatures. Lack of guidelines means that the agencies with varying degrees of success have designed separate trust spaces which must be linked together. The second important point is the optimal use of trusted services - key elements of the security of e-government. Lack of standards and verified requirement should be mentioned. Unfortunately, not enough attention is paid to addressing threats to security of information exchange associated with malicious software.

Keywords: information risks and threats, electronic documentation, security services, unified national state infrastructure of trust, trusted services, trusted certificate authority.

Перевод государственных услуг в электронный вид еще раз заставляет задуматься о том, насколько надежно будут защищены сведения, предоставляемые государству организациями и отдельными гражданами. К сожалению, на сегодняшний момент однозначного ответа на этот вопрос пока нет.

Доверие граждан и бизнеса к государственным услугам, предоставляемым в электронном виде, напрямую зависит от уровня обеспечения информационной безопасности инфраструктуры электронного правительства и взаимодействующих с ним элементов, поскольку в процессе оказания услуг передаются и обрабатываются не только персональные данные (ПДн) граждан, но и финансовая, а также иная конфиденциальная информация. При этом субъекты информационного обмена должны четко понимать, каким образом и насколько надежно их данные будут защищены, какие гарантии их сохранности дает государство. И если какой-либо инцидент, пусть даже единичный, приведет к нарушению прав граждан или конфиденциальности данных, это может стать предметом обсуждения в СМИ: такая публичная компрометация отрицательно повлияет на темпы внедрения рассматриваемой новой формы взаимодействия граждан и бизнеса с государством.

Для того чтобы выяснить основные, узловые моменты, несущие риски и угрозы информационного плана в рассматриваемой ситуации, приведем упрощенную схему предоставления госуслуг в электронном виде [3]. Для понимания процессов взаимодействия элементов информационного обмена представим схему потоков информации. К основным классам участников электронного правительства относятся граждане (С - Customers), предприятия (B - Business) и органы государственной власти (G - Government). По данным статистики, гражданин обращается к государству (G2C) за различными услугами в среднем 5 - 6 раз в год. Более 90% этих запросов, как правило, адресовано муниципальным и региональным органам власти. Типичными примерами обращений является получение справок, обмен общегражданского или заграничного паспорта, оформление прав собственности и др. Основные потоки запросов поступают в госорганы от предприятий; количество таких обращений в десятки, сотни раз превышает число обращений граждан (хозяйствующий субъект вынужден многократно обращаться, например, только в налоговые органы). При развитой инфраструктуре и массовом переводе взаимодействия в электронный вид, наибольшие потоки возникнут в межхозяйственном общении между

предприятиями и организациями (В2В). Это договоры, счета, платежи, счета-фактуры и т.д. Не менее напряженным по интенсивности будет электронный обмен между уполномоченными лицами разных государственных организаций (323).

Как только во взаимодействии государства, предприятия и гражданина возникает электронный документооборот с возможными правовыми последствиями, появляется необходимость в обеспечении сервисов безопасности. Важнейшим из них согласно Федеральному закону от 6 апреля 2011 г. № бЗ-ФЗ является электронная подпись (ЭП). Ведомства взаимодействуют между собой, отправляя запросы-ответы, которые должны быть подписаны ЭП. Уполномоченное лицо, к которому обратился гражданин, собирает необходимые документы, проверяет их правильность на соответствующих ресурсах. Как только все документы собраны, выдается справка, и данный документ также должен быть заверен ЭП [4]. Однако электронная подпись - это лишь один из многочисленных сервисов безопасности, формирующих национальную инфраструктуру доверия (НИД). Для того чтобы электронный документ мог считаться достоверным, он должен иметь штамп времени и места, а также атрибутный сертификат. Кроме того, уполномоченное лицо, выдающее электронный юридически значимый документ, должно обладать правом выдачи таких документов. Его правовой статус, правомочия, права подписи должны быть зафиксированы в открытом реестре или других электронных учетных системам участников информационного взаимодействия.

Дискуссии о возможных способах построения единой национальной (государственной) инфраструктуры доверия продолжаются несколько лет. Инфраструктура НИД должна включать в себя удостоверяющие центры (УЦ), входящие в единый домен цифрового доверия, и обеспечивать единое пространство использования и признания электронной подписи. Отсутствие руководящих указаний привело к тому, что ведомства с разной степенью успешности построили отдельно взятые пространства доверия, которые необходимо связать воедино. Однако этот вопрос пока не решен.

Второй важный момент связан с полнотой использования доверенных сервисов - ключевых элементов обеспечения безопасности электронного правительства. Для этого можно использовать список доверенных сервисов по аналогии с европейскими списками доверенных удостоверяющих центров (ТЭ1_). Данный вопрос также остается открытым.

Нуждается в рассмотрении и проработке вопрос использования доверенных сервисов при выходе российского бизнеса на международный уровень, что актуально в условиях вхождения России в ВТО.

Необходимо также отметить отсутствие стандартов и выверенных требований. Многие выпущенные в последнее время требования при внимательном рассмотрении в некоторых (в том числе технологических) моментах несовместимы между собой [5].

Остается открытым и вопрос обеспечения электронной услуги по закупкам - открытые аукционы. Существующее законодательство позволяет сгенерировать ЭП и выслать предложение на участие в торгах. И такая заявка обязана быть принятой. А где гарантии, что фирма-заявитель существует на рынке?

К сожалению, недостаточно акцентируется внимание на минимизации угроз безопасности информационного взаимодействия в ЭП, связанных с вредоносным программным обеспечением. Количество вирусов, распространяемых по каналам сети Интернет, увеличивается с каждым днем. Эффективным противодействием этим угрозам является контентная фильтрация трафика. Если не позаботиться о решении этого вопроса, то компьютеры госслужащих, сотрудников предприятий и обычных граждан могут быть заражены, что значительно повысит успешность атак со стороны злоумышленников: подмена ЭП и самих документов, а также возможность их несанкционированной модификации [2].

Не менее важным продолжает оставаться вопрос защиты персональных данных граждан в информационных системах и в процессе информационного обмена. Во всем мире государство является главным владельцем ПДн. По статистике каждого «посчитали» минимум 17 раз: при выдаче свидетельства о рождении, посещении поликлиники и стационара, выдаче общегражданского паспорта, военного билета, при постановке на учет в налоговой службе, пенсионном фонде, фонде соцстрахования и т.д. Насколько надежно защищены реестры, регистры и кадастры, знают только их владельцы и об этом можно судить только по косвенным признакам, хотя факты утечки конфиденциальных сведений за последнее время все более часто становятся достоянием гласности.

Так, по сообщению Lenta.ru от 9 мая 2012 г., «хакеры, называющие себя представителями российского крыла движения "Anonymous", заявили об организации атаки на сайт Кремля. Сайты kremlin.ru и президент.рф по состоянию на 13:00 по московскому времени действительно не открывались. Российские "Anonymous" накануне "Марша миллионов" 6 мая обещали поддержать оппозиционеров хакерскимим атаками. 4 мая хакеры распространили видеоролик, в котором грозились атаковать сайты правительства и премьер-министра России. 6 мая сайты premier.gov.ru и government.ru действительно подверглись нападениям, хотя и не прекращали работу полностью. Между тем 6 мая на хакерские атаки жаловались многие российские СМИ. В частности, днем в воскресенье были недоступны сайты телеканала " Дождь" и интернет-издания Slon.ru, а сайт радиостанции "Эхо Москвы" работал с перебоями» [8].

По сообщению «Ведомостей» от 31 марта 2012 г., в результате утечки данных пострадало до 10 млн держателей пластиковых карт Visa и MasterCard. «Крупнейшие платежные системы - MasterCard и Visa заявили о том, что информация о держателях платежных пластиковых карт может оказаться под угрозой по вине третьей стороны» [7]. Было указано, что утечка информации могла

затронуть все типы пластиковых карт, выпускаемых компанией Visa. СМИ со ссылкой на разные источники приводят цифры от 1 млн до 10 млн пластиковых карт. Утечка произошла по вине процессинговой компании Global Payments, которая обрабатывает данные кредитных и дебетовых карт для банков и торговых точек. Global Payments заявила, что в начале марта заподозрила «несанкционированный доступ к части системы обработки» и проинформировала об этом федеральные правоохранительные органы. После выявления взлома системы процессинговая компания не предоставила банкам достаточно информации, которая могла бы помочь установить оказавшихся в зоне риска владельцев карт. Представители следствия заявили, что это уже вторая утечка данных по вине Global Payments за последние 12 месяцев. Крупнейшая утечка данных о владельцах пластиковых карт произошла в 2008 г. - тогда хакеры взломали компьютерные системы процессинговой компании Heartland Payment Systems и нескольких розничных сетей, похитив информацию о 130 млн пластиковых карт [7].

10 апреля 2012 г. на сайте «Голоса России» появилась информация «Ассанж: Швеция перехватывает 80% интернет-трафика России», в которой сообщалось, что «одна из спецслужб Швеции перехватывает 80% интернет-трафика из России и продает полученные данные своем коллегам в США. Об этом заявил создатель организации WikiLeaks Джулиан Ассанж в интервью, опубликованном британским журналом "New Internationalist": "Мощная экспансия государственных спецслужб представляет собой проблему. Они сейчас отслеживают практически весь поток интернет-трафика", - отметил Ассанж. "Служба радиоэлектронной разведки Швеции, представляющая собой крупное шпионское агентство Швеции, перехватывает 80% российского интернет-трафика и продает его дальше Агентству национальной безопасности США", - сообщает ИТАР-ТАСС» [6].

Таким образом, темпы развития электронного правительства в России в связи с принятием Государственной программы построения информационного общества в России на период до 2020 г. должны заметно увеличиться, и в этих условиях следует серьезно проработать решение проблемы информационной безопасности, что должно повысить доверие граждан и бизнеса к государственным услугам, предоставляемым в электронном виде [1].

1. Овчинников С.А. Проблемы обеспечения информационной безопасности «электронного правительства» // Электронное государственное управление: проблемы и перспективы: сб. матер. междунар. науч.-практ. конф. (г. Саратов, 28 мая 2009 г.). Саратов, 2009.

2. Овчинников С.А., Гришин С.Е. Комплексный подход к рассмотрению теории управления рисками при внедрении информационных технологий // Вестник СГСЭУ. 2011. № 5 (39).

3. Овчинников С.А., Гришин С.Е. Причины и условия неудач внедрения электронного правительства // Вестник СГСЭУ. 2011. № 4 (38).

4. Овчинников С.А., Гришин С.Е. Угрозы личности, обществу и государству при внедрении информационных технологий // Информационная безопасность регионов. 2011. № 2 (9).

5. Овчинников С.А., Семенов В.П. Проблемы стандартизации, совместимости и взаимодействия органов государственной власти, бизнес-процессов и граждан в условиях широкого внедрения информационных технологий // Вестник СГСЭУ. 2011. № 2 (36).

6. URL: http://golos rossii.ru (дата обращения: 15.04.12).

7. URL: http://money.ru.msn.com/news/232803 (дата обращения: 02.04.12).

8. URL: http://old.news.rambler.ru/13860825 (дата обраще-ния:15.05.12).

i Надоели баннеры? Вы всегда можете отключить рекламу.