07.09.2011

Электронное правительство с точки зрения ИБ

Попался мне в руки системный проект формирования в РФ инфраструктуры электронного правительства. Весомый документ; аж 89 страниц. Судя по метатегам документ не новый, как минимум прошлогодний. Об этом говорит и то, что именно на его основе строится госпрограмма "Информационное общество 2012 - 2020", которую приняли в конце прошлого года. Но местами в документе встречаются фрагменты еще более древние. Например, приравнивание информации к материальным объектам и распространение на первую вещного права. При этом системный проект ссылается на ст.128 ГК РФ, которую переиначили аж 5 лет назад, в 2006-м году. Да и понятие собственника информации из старого трехглавого закона также фигурирует в системном проекте (а ведь от него тоже отказались в 2006-м году).

Сам раздел по ИБ вполне себе приемлем. Грамотные идеи, грамотные принципы реализации ИБ. Например, принцип дружественности гласит, что "Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей".

Неожиданно для документа, исходящего из госоргана, выглядит принцип оптимальности и разумной однородности - "Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты".

Принцип адаптивности гласит, что "Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации". Главное, чтобы последнее не трактовалось как "давайте заложим требования по максимуму". Я на днях с таким столкнулся в одном проекте. Заказчик говорит - нам нужна СКЗИ КС3. На мой вопрос, зачем, ведь ни в одном нормативном акте (даже ФСБ) такого требования нет, заказчик ответил: "А вдруг ситуация изменится?"

В целом, раздел по ИБ для электронного правительства более чем достоин для изучения, а в ряде случаев и для использования в собственных документах.

Вопрос вызывает только один пункт. Но даже не в контексте его невыполнимости или некорректности. Просто могу предположить, что его трактовать будут вполне очевидным образом, который поставит крест на всех описанных выше принципах. Речь идет о фразе "установить на уровне постановления Правительства Российской Федерации обязательные требования к объектам инженерной инфраструктуры по информационной, технологической безопасности, а также формы оценки соответствия (сертификация, декларирование)". К такой инфраструктуре относится все, кроме АРМов электронного правительства. Зная, как наши регуляторы трактуют фразу "оценка соответствия в установленном порядке", можно предположить, как будет трактоваться это требование ;-(

10 коммент.:

vgarry комментирует...

После прочтения этого документа меня мучает один простой вопрос. Неужели разработчики документа считают достаточным применение паролей и ЭЦП для аутентификации участников взаимодействия? Проблема всего правительства в том, что основным (по численности) его пользователем должны быть граждане, как бы это не хотелось бы создателям правительства. Ирония судьбы в том, что понятия электронной личности в этом документе нет, есть только аутентификация субъекта доступа. А это приведет к тому, что у каждой ИС будет своя система идентификации (а может быть и аутентификации), ну а наличие ЭП, никак не связанной с поражением человека в правах (например), даст еще очень много интересного материала для расследований ;)

Алексей Волков комментирует...

> Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС

Это реально ноу-хау. Я-то, дурак, думал, что дополнительные средства защиты должны дополнять функционал основных систем защиты, а тут вон оно что.

Валентин Хотько комментирует...

Неожиданно для документа, исходящего из госоргана, выглядит принцип оптимальности и разумной однородности - "... Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты".
Какая уж тут неожиданность. Стандартный подход по применению наложенных средств ЗИ. Оптимальности в нем нет.

> Неужели разработчики документа считают достаточным применение паролей и ЭЦП для аутентификации участников взаимодействия?
Обычно дела обстоят еще хуже - нередко Заказчик считает что пароль на вход в систему и антивирус обеспечат ему максимальную защиту.

vsv комментирует...

Только принцип не раумной ОДНОРОДНОСТИ, а разумной РАЗНОродности, а это меняет дело.

Trotsky комментирует...

Разработка типовых требований по обеспечению информационной безопасности персональных данных при их обработке в информационных системах электронного правительства.

Конкурс мин. связи, к концу октября будут согласованные со ФСТЭК требования, любопытно будет почитать=)

Шауро Евгений комментирует...

А я больше всего обратил внимание на принцип дружественности, гласящий, что когда вы строим систему защиты, мы занимаемся вставлением палок оптимальной длины и толщины в колеса бизнеса, тем начинаем меньше дружить со слугами бизнеса(пользователями, администраторами).

Алексей Лукацкий комментирует...

Trotsky: А где объявлен конкурс?

Trotsky комментирует...

Алексей, конкурс уже на этапе рассмотрения заявок. http://zakupki.gov.ru/pgz/public/action/orders/info/commission_work_result/show?notificationId=1237032

По тематике ПДн 2 НИР:

Разработка типовых требований по обеспечению информационной безопасности персональных данных при их обработке в информационных системах электронного правительства (Шифр темы: ЦА/04-11)
Исследование проблем гармонизации нормативной правовой базы Российской Федерации в сфере персональных данных в связи с принятием Государственной Думой в первом чтении проекта федерального закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных» и подготовка необходимых изменений в законодательные акты Российской Федерации (Шифр темы: ЦА/10-11)

Trotsky комментирует...

Алексей, конкурс уже на этапе рассмотрения заявок. http://zakupki.gov.ru/pgz/public/action/orders/info/commission_work_result/show?notificationId=1237032

По тематике ПДн 2 НИР:
Разработка типовых требований по обеспечению информационной безопасности персональных данных при их обработке в информационных системах электронного правительства (Шифр темы: ЦА/04-11)
Исследование проблем гармонизации нормативной правовой базы Российской Федерации в сфере персональных данных в связи с принятием Государственной Думой в первом чтении проекта федерального закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных» и подготовка необходимых изменений в законодательные акты Российской Федерации (Шифр темы: ЦА/10-11)

securityinform комментирует...

А переписывать в соответствии с новыми нормами пока не планируют?