Некоторые аспекты защиты информации при реализации информационных проектов

Дмитрий Едомский | 10.09.2014

Политика безопасности организации — это одно или несколько правил, процедур, практических приемов или руководящих приказов в области безопасности, которыми руководствуется организация в своей деятельности. 
ГОСТ Р ИСО/МЭК 15408-2002

В последние годы проблемам развития и защиты информационных ресурсов во всем мире, а особенно в нашей стране уделяется достаточно много внимания. Одним из неоспоримых достижений является «встраивание» России в международное информационное пространство и занятие определенной позиции в данном направлении, что способствует интеграционному объединению и усовершенствованию механизмов управления различными международными и внутренними процессами. Другой составляющей данного процесса является тот факт, что некоторые развитые страны проявляют попытки создания структуры международных отношений, основанной на своем лидерстве. Любые международные проблемы (споры) пытаются решить путем навязывания своей точки зрения с позиции силы, в том числе на информационном поле, используя информационно-телекоммуникационные сети, в частности Интернет, «выходы» во вновь образованные информационные государственные и муниципальные массивы, которые функционируют с помощью ИТ, в обход основополагающих норм международного права. 

Информационные риски

Можно прогнозировать, что дальнейшее развитие международных отношений будет сопровождаться обострением конкуренции в экономической, политической, научно-технической и информационной сферах. Последние события, происходящие вокруг Украины, подтверждают правильность данного прогноза.

При анализе общедоступных глобальных информационных ресурсов, напрашивается вывод, что усилия ряда государств направлены на ослабление позиций России в информационной, политической, экономической, военной и других областях.

Как никогда прежде актуален вопрос влияния информации на развитие общественных отношений, в том числе и внутри государственных структур. С развитием процессов информатизации, происходящих во всех сферах общества, ущерб от нарушения функционирования информационных технологий, разрушения, искажения, блокирования и утраты самой информации повышается многократно. Уязвимость сложных телекоммуникационных, информационных систем, связывающих огромные накопленные массивы различных сведений и баз данных, отнесенных к государственным, муниципальным ресурсам, возрастает в геометрической прогрессии. Исследуя различные виды, процессы, механизмы и принципы воздействия на существующие средства информации, понимая, прогнозируя и просчитывая возможные риски для государства, с точки зрения информационных технологий при воздействии на информационные системы в «нужном» направлении можно сформулировать новое направление при решении спорных вопросов — информационное. 

По моему мнению, объектом информационного воздействия будут являться государственные, муниципальные и любые другие информационный ресурсы, в том числе различных негосударственных структур.

Информационное противодействие

Особенностью информационного противодействия является то, что доступ, в частности, несанкционированный, к накапливаемой и обрабатываемой в государственных и муниципальных системах на первый взгляд незначительной информации может привести к скрытому накоплению односторонних преимуществ и последующему изменению соотношения военно-экономического и научно-технического потенциала не в пользу России.Последствия информационного воздействия проявляются в нанесении государству неприемлемого экономического ущерба, а также утрате средствами информатизации способности к функционированию в условиях чрезвычайных ситуаций.

В связи с вышеизложенным защита информации является составной частью обеспечения национальной безопасности государства и включает комплекс правовых, организационных и технических мероприятий, обеспечивающих предотвращение несанкционированного доступа к сведениям, содержащимся в государственных, муниципальных и любых других информационных массивах, в том числе различных негосударственных структур, а также их защита от разрушения, искажения, блокирования и утраты самой информации, исключению нарушений функционирования информационных и управляющих систем.

Защита информации в приоритетных проектах

Я считаю, что при реализации таких ИТ-проектов, как электронное правительство, электронный муниципалитет и т. п., имеющих по мнению Правительства РФ, приоритетное значение, в должной степени не уделяется внимание вопросам построения качественной гибкой адаптивной системы защиты информации (далее СЗИ). В основном классические требования к построению системы защиты предусматривают разработку некой типовой модели угроз и описание возможных каналов снятия и утечки информации, однако никак не отражают проблемы, возникающие при изменении условий, направлений, принципа атаки на защищаемые информационные массивы, системы управления и обработки баз данных. Зачастую при таком видении проблемы не закладываются ресурсы для операционной системы, в частности, для объема памяти, быстродействия и других параметров, влияющих на качество защищенности системы. СЗИ должна обладать таким качеством, как максимально быстрая адаптация и изменение в случаях возникновений возмущений во внешней и внутренних средах без потери своей устойчивости. 

Проблемы обеспечения защиты информации

Одним из слабых звеньев при реализации правовых и организационных мероприятий, связанных с защитой информации, являются вопросы подбора, обучения, инструктирования сотрудников, осуществляющих информатизацию нашего общества.

Как показывает практика, часто специалисты в области информационных технологий имеют лишь общие понятия о методах и принципах построения и работы СЗИ. Для них все сводится к наличию антивирусной защиты, встроенных или дополнительно поставленных систем обнаружения вторжения и межсетевых экранов. Зачастую ответственные лица не могут аргументированно и подробно объяснить, чем регламентируется класс и технические характеристики тех или иных аппаратных, программных, аппаратно-программных средств защиты информации и каким образом определяется достаточность правовых, организационно-административных и технических мероприятий, осуществляемых при построении СЗИ. А на стадии рассмотрения ИТ-проекта даже не задумываются о необходимости изучения вопросов совместимости применяемых средств, систем и элементов защиты информации между собой и с тем программным продуктом, который используется в информационно-телекоммуникационных системах и технологиях, считая, что различные элементы защиты можно набирать как конструктор «Лего».

В ряде случаев знания в сфере информационной безопасности носят поверхностный, а не системный характер. Как показывает практика, нередко при решении проблем, связанных с вопросами проектирования, построения, модернизации систем защиты государственных или муниципальных информационных сетей отвечающие за данный вопрос лица обращаются к интернет-ресурсам, своим знакомым, которые считают себя специалистами в области защиты информации, хотя зачастую не имеют ни профильного образования, ни практических навыков. В результате бывает, что вновь созданные и запускаемые информационные ресурсы, в частности системы электронного документа оборота, требуют доработки с точки зрения наличия уязвимостей, таких как несанкционированное ознакомление с информацией на различных участках технологического процесса, невозможность определения и идентификации при прохождении определенного промежутка времени, обезличенность — то есть нельзя узнать когда, кем и на каком основании внесены изменения в электронный документ.

Хотелось бы обратить внимание заинтересованных лиц на такой аспект, как информационное воздействие на сотрудников. Исходя из анализа имеющихся данных, можно сделать вывод, что через информационно-телекоммуникационные системы идет массированная информационная обработка, которая может повлиять и уже влияет на информационную безопасность государственных и муниципальных информационных массивов с точки зрения неактуальности защиты содержащихся сведений и якобы наличие такого рода данных в других общедоступных источниках.

Ключевые вопросы

Исходя из вышесказанного, уверен, что при формировании, реализации и внедрении ИТ-проектов необходимо следующее:
1. При разработке и запуске проектов, связанных с информатизацией общества и ИТ, следует уделять больше внимания процессам, связанным с информационной безопасностью, закладывая в бюджет необходимые для этого средства как на стадии формирования технического задания, предпроектной подготовки и проведения экспертизы, так и при проектировании любой информационной системы. 
2. Осуществлять системное и плановое обучение технического персонала, задействованного в реализации и обслуживании информационных проектов по линии информационной безопасности для привития им грамотности и культуры в данной сфере.
3. Обращать большее внимание на такие принципы реализации системы защиты информации, как адаптивность и гибкость, в обязательном порядке закладывая их при проектировании информационных проектов, реализуемых на территории Республики Коми, наряду с построением модели угроз. 
4. Скорректировать политику безопасности при развертывании и эксплуатации вновь создаваемых и существующих информационных систем в соответствии с изменяющимися нормативно-правовыми актами в данной области и требовать ее выполнения от всех лиц, имеющих допуск к государственным, муниципальным информационным ресурсам, по возможности исключив формальный подход.

Теги: безопасность, государство, внешние угрозы, инсайд

Журнал IT-Manager    [ PDF ]    [ Подписка на журнал ]

Об авторе


Дмитрий Едомский

Дмитрий Едомский

Советник ГАУ РК ЦИТ, Республика Коми


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Сегодня каждое наше шоу снимаем с разрешением 4K, а еще думаем о том, чтобы проводить съемку в 3D.
Возможно, кому-то такое заявление покажется немодным, но облачные технологии часто усугубляют существующие проблемы бизнеса и не приносят ожидаемого сокращения расходов и развития инноваций.

Мероприятия


08.09.2016
Санкт-Петербургский клуб ИТ-директоров «SPb CIO Club» и компания Event House приглашает Вас принять участие во втором Форуме по промышленной автоматизации «Industrial IT-Forum»! Промышленная автоматизация на предприятии – важная область, которой уделяется повышенное внимание. Использование информационных технологий - один из немногих технологически и экономически выгодных способов повышения эффективности подготовки производства. На современных предприятиях автоматизируются по максимуму все возможные участки работ. Новый взгляд на проблемы и тенденции информационных технологий в области промышленной автоматизации будут рассмотрены на II Форуме по промышленной автоматизации «Industrial IT Forum»

14.09.2016
Компания IBM приглашает Вас принять участие в Инфраструктурном Форуме IBM. Опережайте пределы возможного. Дата и место проведения: 14 сентября 2016 г., г. Москва. Подробная информация о месте проведения мероприятия предоставляется при регистрации. Каждый год тема мероприятия диктуется актуальными задачами, стоящими перед бизнесом. В прошлом году мы говорили об инфраструктуре для цифрового бизнеса, в этом году мы призываем выйти за пределы цифрового бизнеса, опередить "статус кво" и расширить инфраструктурные границы до новой эры когнитивного бизнеса.