Защита информационных систем в органах государственной власти: сильные и слабые стороны

Сильные стороны государственных информационных систем

В России государственные информационные системы имеют одну очень сильную сторону — это автономность и независимость.

Полностью автономными являются информационные системы, в которых обрабатывается  и хранится информация, содержащая сведения, составляющие государственную тайну.Есть категорический запрет на подключение подобных систем к глобальным информационным сетям. И он вполне оправдан.

В США всегда старались объединить свои государственные информационные ресурсы в единую вычислительную сеть. Для этого в середине 70-х годов был разработан протокол TCP/IP. В начале данного процесса удавалось обеспечить защиту и  конфиденциальность информации  на соответствующем высоком уровне.

Сегодня эти объединенные ИТ-системы слились в общедоступную глобальную информационную вычислительную сеть.  Как следствие, некоторые пользователи сети стали, вопреки ограничениям, все же делать шаги, чтобы получить информацию из закрытых информационных ресурсов.  Иногда их попытки приводили к  успеху.

Таким образом, возникла борьба между «нападением» и «защитой». Соединенные штаты инвестируютв защиту информационных систем в глобальных вычислительных сетях сотни миллионов долларов. Но до сих пордобитьсястопроцентнойзащиты закрытой информации пока не удалось.Атаки на информационные системы всегда идут на шаг впереди.

Сейчас в США стали блокировать часть своих закрытых информационных ресурсов от глобальной сети, поскольку угроза атак на государственные системы, постоянно растет.

Слабые стороны государственных информационных систем

В России многие эксперты в сфере защиты информации слабой стороной отечественных ИТ-систем, называют повсеместное использование зарубежного программного и аппаратного обеспечения.

Сегодня  российский рынок заполнен продукцией западных стран, которые ушли вперед в своем технологическом развитии.

Наше  государство предпринимало  попытки вести разработки по созданию отечественной вычислительной техники, которая должна составить конкуренцию иностранным производителям. Пробовали такжеразработатьроссийскийпроцессор, который обладал бы вычислительной производительностью сопоставимой с  работой аналогичных устройств, выпускаемых лидирующими зарубежными производителями. Также делаются попытки разработать национальную операционную систему. По задумке авторов, она должна вытеснить Windows с российского рынка. Но все  эти устремления не дали положительных результатов.

Аналитики уверены, что главная причина «топтания на месте» заключается в том, что отечественные разработчики хотят воспроизвести то, что уже находится на рынке.  Получается, что отставание составляет лет пять.

В итоге разработка собственного продукта сильно отстает, а на рынок постоянно выходят иностранные продукты. Западные новинки по своим характеристикам на порядок превосходят отечественные и дешевле по цене.

Еще одной слабой стороной государственных информационных систем является недостаточное внимание к контролю данных, которые, в соответствии с Перечнем сведений, утвержденным Указом Президента РФ от 6 марта 1997 г. № 188, отнесены к информации конфиденциального характера.Например, на многих компьютерных рынках продают базы данных ГИБДД, телефонных номеров,которые содержат закрытую информацию.Все попытки распространениятаких баз должны быть пресечены.

Несмотря на вышесказанное, сегодня ситуация начинает понемногу улучшаться.В 2002 году разработан новый документ — «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), определяющий регламент и порядок защиты конфиденциальныхданных, совершенно отсутствующий ранее. Причиной этого было то, что все государственные структуры, работающие с секретной информацией подобного рода, не уделяли должного внимания этому вопросу, чтобы сэкономить бюджетные денежные средства. Но всем известно, что скупой платит дважды — экономия на безопасности приводила к утечке информации.

Сегодня при Президенте Российской Федерации создана государственная техническая комиссия, которая отвечает за защиту информации  в стране. Государственные структуры и организации, которые работают с  конфиденциальной информацией, должны привести все свои рабочие процессы в соответствие с требованиями упомянутого выше документа.

Многие аналитики также называют «человеческий фактор», в качестве еще одной слабой стороны государственных информационных систем. Зарплата многихгосударственных служащих никак не зависит от качества и уровня защиты государственной информации. В итоге получается, что сотрудникам безразлично, как именно осуществляется подобная защита — ведь речь идет не об их личной информации.  В последнее время в этом направлении также осуществляются шаги, чтобы повысить ответственность рядовых сотрудников. Например, во многих организациях специалисты должны проверять все письма на наличие вирусов.

Часть экспертов считают, что к слабым сторонам государственных  информационных систем в России можно также отнести и то, что защита данных в них осуществляется только в соответствии с существующими руководящими и нормативно-методическими документами. Эти документычетко описывают порядок работы,а инициативный подход не предусмотрен.  Государство имеет большую инерционность в плане совершенствования законодательной и нормативно-методической базы, регламентирующей вопросы информационной безопасности, что может ухудшить качество защищенности государственных ресурсов. Например, при выходе новых технологий необходимо оперативно менять регламенты по защите информации.

Слабые и сильные стороны ПОс открытым кодом (ОС Linux)

В органах государственной власти есть перспективы использования программного обеспечения (ПО) с открытым кодом. Прежде всего, внедрение такого ПОгосструктурамиделает более простым процесс его аттестации на соответствие требованиям по информационной безопасности. Сегодня всесуществующие операционные системы, представленные на российском рынке, имеют встроенные функции разграничения прав доступа, которыедают возможностьнастраивать доступ пользователей к папкам и файлам, а такжеосуществлять защиту данных на дисках компьютера. Но у многих программных продуктов, входящих  в состав операционных системы,  отсутствуют исходныекоды, поэтому  нет возможности провести их сертификацию. Поэтому отечественные разработчикисоздаютпрограммные продукты с открытым кодом,  которые могут получить сертификатв Гостехкомиссии России.

Программное обеспечение  с открытым кодом может свободно дорабатыватьсяи к нему могут быть созданы дополнительныемодули «продвинутыми» разработчиками. Однако невозможно осуществлять контроль наддоработкамитакого программного обеспечения. И это является главной проблемойПОс открытым исходным кодом с точки зрения информационной безопасности.

Компания Microsoft в настоящее время, пошла на то, чтобы передать в Гостехкомиссию России исходные коды своего программного обеспечения, чтобы провести егосертификацию. Однако, медлительность государственныхструктур, большой объем работ по сертификации ПО и большая частота обновления ПО корпорацией Microsoft может свести все усилия на «нет».

Что касается операционных систем, исходные тексты которых доступны в открытом доступе, то у них не большие перспективы. И, в первую очередь, ограничивать их распространение будет консерватизм. Ведь Windows находится на российском рынке с начала 90-х годов и победить приверженность пользователей к привычному для них продукту будет очень сложно. К тому же, вопросы информационной безопасности в органах государственной власти в России, к сожалению, беспокоят очень небольшоечисло людей.

Кроме всего прочего, использование в работе новых программных продуктов требует значительных финансовых вложений и, в первую очередь, на обучение пользователей этих продуктов, а это в настоящее время проблематично.