архив

Особенности защиты информации в госструктурах

Екатерина Дербенцева,
Менеджер отдела маркетинга решений по направлению информационной безопасности компании «Энвижн Груп»

2007-01-30

Ни для кого не секрет, что защите информации в государственных структурах всегда уделялось особое внимание. Вероятно, все согласятся и с тем, что информация, имеющая ценность для государства, действительно критичный элемент, требующий самого бережного отношения. Видимо, именно по этой причине принцип максимального запрета — «враг не пройдет, но и друг тоже» — прочно укоренился в подходе к построению системы защиты информации в госструктурах. Использование такого подхода, тем не менее, не способствует успешному взаимодействию и обмену информацией между различными государственными ведомствами. В данной статье рассматриваются проблемы, с которыми сталкиваются госструктуры при построении систем защиты информации по устаревшим принципам, и те положительные тенденции, которые дают надежду на улучшение ситуации в будущем.

Если исходить из положений Концепции информационной безопасности для органов государственной власти, то ее основные постулаты используют общие принципы для организации системы информационной безопасности как в государственных, так и коммерческих структурах. Положения Концепции отражают цели, которые должны быть достигнуты в части защиты информации:

  • целостность
  • доступность
  • конфиденциальность
  • возможность установления авторства электронных документов

Следом за целями указаны задачи, посредством решения которых они достигаются:

  • защита информации от несанкционированного доступа или изменения
  • организация защищенного доступа в открытые сети связи, в том числе в Интернет или по другим каналам
  • защита от воздействия компьютерных атак и вирусов

Основной особенностью подхода к защите ИС в госструктурах является обязательное применение сертифицированных средств, преимущественно отечественных производителей — лицензиатов федеральных органов власти.

Сертифицированные средства — палка о двух концах

Использование сертифицированных средств, с одной стороны, обеспечивает конфиденциальность передаваемой информации (в первую очередь это касается информации, содержащей гостайну) и соблюдение законодательства — что, вне всякого сомнения, важно и необходимо. С другой стороны, разработчики таких средств часто отталкиваются от требований, которые предъявляет сертифицирующий орган, забывая при этом про функциональность, что приводит к серьезным неудобствам при обработке информации. Кроме этого, время, затраченное разработчиком на сертификацию, также играет не на пользу функциональности — получившее сертификат средство может изначально быть устаревшим с точки зрения поддерживаемых платформ и т. д.

В качестве наиболее характерного примера можно привести средства криптографической защиты, получившие широкое распространение в госструктурах. Для обработки информации, содержащей гостайну, в госструктурах используются СКЗИ, которые сертифицирует ФСБ России. Интерфейс, возможности управления коллективной работы с такими средствами на порядок отстают от их западных аналогов.

Взаимодействие между различными государственными ведомствами

Так сложилось, что информационные системы различных ведомств разрабатывались обособленно, в результате унифицированные и стандартизированные правила взаимодействия между различными госструктурами выработаны не были. Разработка схемы взаимодействия с другими госструктурами каждым из государственных ведомств в отдельности — дорогостоящий процесс, и его эффективность зависит в том числе и от факторов, на которые можно повлиять лишь косвенно либо нельзя повлиять вовсе.

Например, электронное взаимодействие с другими ведомствами может быть ограничено возможностями информационных систем данных ведомств и применяющимися регламентами по защите информации. Кроме того, дифференциация в финансировании статей бюджета на информационную безопасность для различных государственных организаций влечет за собой и ощутимую разницу в применяемых решениях и технологиях.

Решение этой проблемы можно ожидать не ранее, чем будет принят стандарт для системы взаимодействия между государственными ведомствами, предусматривающий систему унифицированного документооборота между госструктурами и единые требования к обеспечению информационной безопасности при взаимодействии между государственными ведомствами.

Не в деньгах счастье, но все же…

Сегодня в государственных организациях актуальной остается проблема недостаточного финансирования, предназначенного для обеспечения безопасности информации. Но ситуация постепенно меняется, и во многих госструктурах эта проблема успешно решается, но существует еще немало организаций, которых она касается самым непосредственным образом. В результате организации пытаются «сэкономить», и последствия такой «выгоды» очевидны.

Так, проектирование системы информационной безопасности проводится собственными силами, без привлечения сторонних специалистов. Это зачастую приводит к тому, что решения по защите сложных информационных систем берутся «с потолка» и при выборе архитектуры решения руководствуются не реальными задачами, а соблюдением формальных требований. Кроме того, знания кадровых работников многих госструктур, отвечающих за информационную безопасность, не достаточны. Как правило, такие сотрудники наиболее компетентны в области обязательных требований к средствам защиты информации — в итоге информационная безопасность сводится к формальному соблюдению законодательства и регламентов. Тогда как реальная информационная безопасность — гораздо более широкое понятие.

Внутренний враг

Еще одной проблемой является расстановка приоритетов — куда именно должны быть направлены усилия по обеспечению ИБ и насколько сильно следует «закручивать гайки», чтобы обеспечить необходимый уровень защищенности. Сегодня в СМИ много говорится о проблеме внутренней информационной безопасности, но статистика свидетельствует о том, что на этом направлении имеются большие пробелы. Если на вредоносные программы и хакерские атаки всегда реагируют как на угрозу, от которой необходимо защищаться, то внутренние враги (или инсайдеры), хотя и воспринимаются как столь же опасные, однако меры защиты от них применяются не всегда, не везде и в недостаточной степени.

К сожалению, нет четких данных о том, в какой мере защита от внутренних угроз внедрена именно в государственных организациях. Впрочем, достаточно показательны итоги опроса компании InfoWatch, около 10% респондентов которого составили государственные министерства и ведомства.

Как можно видеть из статистических данных, все организации, хотя и признают внутреннюю угрозу одной из наиболее опасных, защите от утечек информации уделяют недостаточное внимание. Что касается ситуации с внутренней безопасностью в госструктурах, средства по разграничению доступа и контролю утечки информации способны охватывать далеко не все каналы утечки, и для того, чтобы их применение было эффективным, желательно пересматривать политику информационной безопасности в части каналов передачи данных, которые могут быть доступны пользователям. Так, использование интернет-пейджеров, по данным InfoWatch, влечет за собой порядка 85% утечек, а через мобильные устройства (далеко не все из них контролируются средствами обеспечения внутренней безопасности) в некоторых организациях может «уходить» до 91% от всех утечек критичной, и в том числе конфиденциальной, информации.

Оценка эффективности системы ИБ

На завершающем этапе — после того, как решены вопросы что, от кого и каким образом защищать, внедрены средства и применены политики и регламенты, — необходимо оценить эффективность всех применяемых методов и средств. На практике часто выходит так, что именно последний этап проводится спустя рукава либо не реализуется вовсе. В результате недоделки тянутся из года в год, мешая развитию и успешному функционированию системы информационной безопасности.

Приходится констатировать, что информационную безопасность в госсекторе пока не удалось полностью избавить от перечисленных выше проблем, однако существуют возможности, используя которые, государственные организации в состоянии вывести защищенность своих информационных систем на более высокий и прогрессивный уровень.

Тенденции и рекомендации

Можно не изобретать велосипед, а обратиться к опыту построения систем информационной безопасности в государственных структурах на Западе. Мировым рекордсменом по нормативной базе и стандартам, регулирующим создание подобных систем, вне всякого сомнения, являются США. Среди нормативных актов можно назвать Закон о контроле за информационной безопасностью США, California Senate Bill № 1386, акт Sarbanes-Oxley. Все организации, как государственные, так и коммерческие, могут использовать положения этих нормативных документов (часть из них носит обязательный, а другая — рекомендательный характер), чтобы построить систему информационной безопасности в соответствии с проверенной методологией.

Хотелось бы акцентировать внимание на некоторых тенденциях, которые можно наблюдать сегодня при организации защиты информационных систем в госструктурах. Наиболее прогрессивные государственные ведомства начинают ориентироваться на концептуальный подход к защите информации, основанный не на внедрении отдельных средств защиты, а на разработке системного подхода к обеспечению информационной безопасности. Подобный подход включает предварительное проектирование системы, анализ рисков и последующую оценку эффективности всех применяемых мер.

Ключевым элементом системы ИБ является система управления рисками. Это подразумевает аудит информационной системы и определение наименее защищенных ресурсов, потенциальных рисков и способов защиты. Как показывает практика, не стоит слепо верить в жизнеспособность инфраструктуры ИС и уповать на счастливый случай или приобретенные и установленные средства защиты, а больше доверять системному подходу к решению задачи, процедурам и апробированным методологиям — тогда и эффективность затраченных на информационную безопасность средств будет выше.

Примером одного из международных стандартов, уже нашедших применение в России, может служить BS ISO/IEC 27001:2005 (BS 77992:2005). Его применение помогает значительно улучшить качество информационного обмена наряду с повышением уровня защищенности информационной системы. Пока использование данного стандарта в государственных структурах не получило широкого распространения, хотя интерес к такой методологии есть и, более того, некоторые госструктуры уже начали применять данный стандарт. В частности, его используют в качестве основы для разработки собственной методологии построения системы управления ИБ. Но «необязательность» этого стандарта и упомянутые выше проблемы финансирования IT-бюджетов являются сдерживающими факторами для более широкого его внедрения.

Вместе с тем наметилась положительная тенденция к улучшению ситуации с финансированием государственных организаций. Хочется верить, что госструктуры смогут воспользоваться этой ситуацией себе во благо и начать действия по реорганизации своих информационных систем, используя современные и проверенные на практике подходы.