|
|
Обзор подготовлен
При поддержке
Ситуация с обеспечением безопасности информационных ресурсов органов власти достаточно плачевная. Далеко не всегда данная задача входит в приоритеты руководства, результатом чего является: отсутствие единой политики обеспечения ИБ, специалистов, отвечающих за эту сферу, необходимого финансирования на закупку технических и программных средств на защиту информации.
Обеспечение информационной безопасности невозможно без знания имеющихся в ведомстве ресурсов и грозящих им опасностей, при этом аудит ИБ и анализ рисков в соответствии с принятыми стандартами практически нигде проводится.
Лишь в ряде ведомств разработаны регламентирующие документы, определяющие направления деятельности федерального органа государственной власти в области защиты своих информационных ресурсов.
Между тем, стандарт предписывает определять: перечни информации, подлежащей защите; потенциальные каналы утечки информации и пути ее предотвращения; списки лиц, имеющих доступ к защищаемым ресурсам; перечень лиц, допущенных к работе со средствами международного информационного обмена.
Лишь в редких случаях в госучреждениях имеются подобные перечни.
Основными барьерами в сфере обеспечения информационной безопасности федеральных органов государственной власти являются неполнота и противоречивость нормативной базы, а также низкая квалификация рядовых пользователей и отсутствие их обучения правилам и основам информационной безопасности. Очень часто недооцениваются внутренние угрозы, хотя уже давно известно, что основным источником утечек конфиденциальных данных являются так называемые «инсайдеры». Об этом свидетельствуют примеры с наиболее нашумевшими утечками данных из государственных структур.
Наиболее опасные угрозы информационной безопасности
Источник: Perimetrix, 2008
В тех госструктурах, где информационной безопасности уделяется необходимое внимание, заметна другая крайность – принцип максимального запрета. Зачастую это не спасает от краж конфиденциальных данных (кому надо, тот все равно пройдет), при этом, создавая излишние трудности с доступом к данным тем, кому он разрешен. Благодаря такой политике обмен информацией между различными государственными ведомствами сильно затруднен. Порой складывается парадоксальная ситуация: сотрудникам одного ведомства иногда бывает проще достать необходимую информацию на «черном рынке», чем обратиться с официальным запросом в другое ведомство.
Это говорит о том, что между различными государственными структурами, информационные системы большинства из которых разрабатывались обособленно, не выработаны стандарты взаимодействия. Решение этой проблемы можно ожидать не ранее, чем будет принят стандарт для системы взаимодействия ведомств, предусматривающий систему унифицированного документооборота между госструктурами и единые требования к обеспечению информационной безопасности.
В очередной раз необходимо отметить, что только концептуальный подход к защите информации, основанный не на внедрении отдельных средств защиты, а на разработке системного подхода к обеспечению информационной безопасности, позволит в комплексе решить данную проблему в органах государственной власти.
Создание системы информационной безопасности
Источник: КБ «Союзный»
Подобный подход включает предварительное проектирование системы, анализ рисков и последующую оценку эффективности всех применяемых мер. Это также подразумевает аудит информационной системы и определение наименее защищенных ресурсов, потенциальных рисков и способов защиты.
По данным Ernst&Young, соответствие нормативным требованиям является основным драйвером рынка информационной безопасности. Осенью 2006 года была опубликована новая версия ГОСТа, посвященного практическим правилам управления ИБ – ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология—Практические правила управления информационной безопасностью". Данный нормативный документ содержит перечень мер, необходимых для обеспечения информационной безопасности организаций, включая действия по созданию и внедрению системы управления информационной безопасностью. Система строится на тех же принципах, что и система менеджмента качества, и совместима с ней.
Стандарт охватывает практически весь спектр проблем, связанных с информационной безопасностью. Он указывает на необходимость защиты всех видов информации, а не только компьютерной, в т.ч. документов на «традиционных» бумажных носителях и даже информации, которая находится «в головах сотрудников организации». Достаточно серьезное внимание уделено обеспечению наличия и доступности информации и документов, необходимых организации для деловой деятельности и для защиты своих прав и интересов, а также защите целостности и аутентичности этих документов в ходе нормальной деловой деятельности. Отдельным пунктом вынесено обеспечение непрерывности деловой деятельности в случае непредвиденных обстоятельств и ее восстановления после катастроф.
К сожалению, стандарт является переводом устаревшей версии международного стандарта ИСО 17799 2000 года, причем, по мнению многих экспертов, далеко не лучшего качества. Тем не менее, документ будет очень полезен не только специалистам в области информационных технологий и информационной безопасности, но и представителям кадровых и юридической служб.
Максим Никитин/CNews