Безопасность банков данных физических лиц - безопасность информационного пространства России

__________________________________________________

Б.П. Смирнов



Дана характеристика автоматизированных систем с массовым количеством объектов — первоисточников информации, указаны их основные особенности. Приведены пути решения первоочередных задач в области обеспечения информационной безопасности человека.

Человек — основа государства и объект его непреходящего интереса.

Информационное пространство человека (информация о человеке) — образующий элемент информационного пространства государства.

Информационная безопасность человека — есть защита его информационного пространства в информационном пространстве государства.

Не затрагивая философской сущности понятия информационного пространства государства, исходя из того, что наличие, состав и характеристики информации являются определяющими факторами для взаимодействия источников и потребителей информации, информационное пространство, с точки зрения информационной технологии как "конвейера" обработки информации, может рассматриваться как совокупность знаний, разнесенных в пространстве и времени, в банках данных автоматизированных систем.

При таком подходе информационное пространство государства разбивается на совокупности знаний, обрабатываемых и не обрабатываемых в рамках информационных технологий, и может быть представлено как совокупность информационных пространств взаимодействующих автоматизированных систем (АС).

Тогда ключевое место в таком пространстве занимают автоматизированные системы с массовым количеством объектов-первоисточников информации, своего рода "информационными колодцами", т. е. теми объектами системы, с которых начинается формирование и ведение информационного пространства системы через извлечение информации из среды (совокупности знаний) и первоначальную загрузку баз данных физических лиц.

Именно здесь, на нижнем уровне иерархии автоматизированных систем, объектов происходит преобразование неформализованных знаний в отструктурированные и закодированные формализованные знания, предназначенные и пригодные для компьютерной обработки.

Именно здесь концентрируется персональный учет людского ресурса страны.

К рассматриваемым системам относятся, в первую очередь, автоматизированные системы, содержащие банки данных физических лиц на районном уровне административно-территориального деления Российской Федерации: Министерства социальной защиты населения, Федеральной службы занятости, Пенсионного фонда, Министерства здравоохранения, Федеральной миграционной службы, Министерства внутренних дел, Министерства обороны и т. д.

Некоторые особенности этих систем:

1. Персональный и по этой причине, объемный, с большим количеством атрибутов-признаков (до 100 и более), учет людских ресурсов ("физических лиц"), который ведется на нижнем (районном) уровне системы.

На следующих уровнях, как правило, ведется обобщенный учет.

2. Конфиденциальность баз данных.

3. Массовость объектов-первоисточников информации (например, только военных комиссариатов более 2000) и, как следствие, физическая невозможность одновременного оснащения объектов системы комплексами средств автоматизации и проведения первоначальной загрузки баз данных, что делает АС протяженной во времени "врастания" в автоматизируемую (компьютеризируемую) среду.

4. Географически объекты системы разнесены по всей территории Российской Федерации, что делает эти системы протяженными в материальном пространстве.

5. Динамика информационного обеспечения (баз данных, классификаторов, массивов нормативно-справочной информации и документооборота) в материальном пространстве и времени.

Формирование и ведение информационного пространства таких систем является крайне сложной задачей, в первую очередь, из-за динамики содержания атрибутов-признаков объектов концептуальных моделей баз данных, а также динамики нормативно-правовой базы автоматизируемой среды.

Так, формирование информационного пространства АС во времени (по мере ввода в действие новых объектов и загрузки их баз данных) приводит к тому, что учитываемые при первоначальной загрузке баз данных изменения классификаторов и нормативно-справочной информации делают невозможным без соответствующего преобразования информации взаимодействие на уровне массивов информации баз данных, загруженных в разное время. Объекты-первоисточники информации (элементы информационного пространства) в этом случае начинают "расходиться" в информационном пространстве системы и возникает проблема "выравнивания" информационного пространства объектов-первоисточников информации, разнесенных во времени.

Если этого не сделать, система "рассыплется" на множество автономных банков данных.

В системе координат информационного пространства появляется координата времени.

Проблема усугубляется тем, что постулировавшийся ранее и в принципе верный подход к автоматизации, в первую очередь, процесса, привел к перекосу внимания в сторону различных механизмов управления вычислительным процессом, базами данных, телекоммуникацией и т. д., оставив на периферии внимания главный, с точки зрения практики управления, фактор самой информации, фактор первоисточника, без которого верхний уровень системы оказывается просто "обесточенным", а без реальной информации нет управления.

Хотя о фактическом наличии действующих систем, обеспечивающих взаимодействие на уровне массивов баз данных источников и потребителей информации, за исключением единичных случаев, говорить пока рано, отношение к человеку, как носителю системной информации, вызвало в последние пять лет лавинообразный процесс создания банков данных персонального учета физических лиц.

Практически все население района, основной единицы административно-территориального деления страны, по большому числу параметров (например, "клиент" федеральной службы занятости имеет их более 60) заносится по принадлежности в банки данных различных министерств и ведомств, а также негосударственных организмов ( различные фонды, страховые компании и т. д.).

Проведенные исследования показали, что человек, как объект концептуальной модели баз данных районного уровня упомянутых выше систем с различными атрибутами-признаками, многие из которых совпадают; присутствует в этих банках данных с разной степенью соответствия хранящейся информации реальной. Связано это в основном с тем, что информация о себе предоставляется человеком как по обязанности (в этом случае она менее точна), например, в автоматизированных системах силовых структур, так и по личной заинтересованности (наиболее полная информация), например, в АСУ Федеральной службы занятости.

По грубой оценке, количество таких банков данных учета физических лиц исчисляется уже тысячами, если не десятками тысяч.

Накапливаются неконтролируемые государством колоссальные объемы информации, фактически на человека формируются и ведутся досье, не имеющие правовой основы, не контролируемые и не защищаемые государством. Это делает возможным их использование заинтересованными силами как против человека, так и против государства.

В результате, несмотря на то, что в России до сих пор формально нет Федерального регистра населения, фактически он существует, будучи реализованным через банки данных персонального учета физических лиц на районном уровне, формируясь бессистемно, бесконтрольно и безответственно.

Происходит "расползание" конфиденциальной информации о человеке, есть единичные случаи хищения банков данных.

Информация о человеке становится оружием, неподконтрольное владение которым и применение которого опасно для устоев государства.

Огромное количество этих банков данных, масса лиц, имеющих доступ к ним, минуя самого человека, и пользующихся информацией о человеке, невозможность контроля этого процесса со стороны самого человека делают для него проблему индивидуальной информационной безопасности практически нерешаемой без помощи государства. Если государство 'окажется не в состоянии обеспечить решение этой проблемы, оно не сможет обеспечить и свою безопасность.

Человек является носителем системной информации, элементом информационного пространства государства, и проблема информационной безопасности его — часть проблемы защиты информационного пространства государства, проблемы безопасности государства.

В свете изложенного, информационная безопасность человека — это защита банков данных персонального учета физических лиц в системах рассматриваемого класса.

Как показали проведенные исследования и накопленный опыт эксплуатации такой системы, особого внимания требует защита системных классификаторов, специфичной для данной АС части классификаторов и нормативно-справочной информации (общегосударственных, ведомственных, системных, локальных классификаторов и временно неклассифицируемой информации). Защита системных классификаторов позволяет упростить проблему защиты информации, передаваемой по каналам связи, поскольку при взаимодействии баз данных на уровне массивов информации сами классификаторы по каналам связи не передаются.

Учитывая место и роль личности в силовых организмах государства, Министерство обороны России в своих заказах промышленности автоматизированных систем рассмотренного выше класса предусматривает разработку и -защиту основного элемента информационного пространства — банка классификаторов и нормативно-справочной информации, как того элемента автоматизированной системы, без которого она лишается содержания.

Так, заданная промышленности в разработку автоматизированная система информационного обеспечения борьбы с преступностью в Вооруженных Силах России (АСИОБП), призванная обеспечить автоматизированный сбор, обработку, обобщение и обмен статистической и оперативной информацией о состоянии, структуре, динамике, причинах преступлений и происшествий в Вооруженных Силах и выработки рекомендаций по мерам их профилактики, предусматривает, что первоисточниками информации в системе должны стать, в том числе, и банки данных персонального учета физических лиц, попавших в зону интересов соответствующих служб.

В основу закладывается использование разработанной, внедренной и оправдавшей себя на практике технологии формирования и ведения защищенного информационного пространства одной из автоматизированных систем Министерства обороны в части персонального учета физических лиц в банках данных объектов-первоисточников информации.

Для решения изложенной выше проблемы информационной безопасности человека необходимо решение следующих первоочередных проблем.

1. В кратчайшие сроки провести инвентаризацию наличия и правовой основы банков данных учета физических лиц различных министерств и ведомств, а также других юридических и физических лиц.

2. Систематизировать и проанализировать концептуальные модели баз данных персонального учета физических лиц, обратив особое внимание на кодируемые атрибуты-признаки объектов концептуальных моделей баз данных в целях последующего создания единого банка классификаторов и нормативно-справочной информации (КНСИ) через банки КНСИ автоматизированных систем.

3. Разработать и утвердить концепцию и требования к системе защиты банков данных учета физических лиц с учетом создания информационно-телекоммуникационной системы в интересах органов государственной власти.

4. Ввести сертификацию средств формирования, ведения и защиты указанных банков данных с учетом реалий информационной борьбы.

5. Создать государственную инспекцию по контролю за формированием, ведением, защитой и использованием банков данных учета физических лиц.

6. Утвердить на уровне президентской (с последующим принятием закона) программу формирования и ведения информационного пространства государства в части банков данных персонального учета физических лиц, предусмотрев в ней:

перечень юридических и физических лиц, имеющих право на формирование, ведение и использование указанных банков данных;

права и ответственность физических лиц, имеющих доступ к указанным банкам данных за использование информации;

права и ответственность контролирующих органов.

7. Поручить одному из федеральных органов, призванных заниматься вопросами информатики, например, Роскоминформу, ФСБ, ФАПСИ и т.д., сформулировать и организовать решение изложенной выше проблемы, как объективно объединяющей усилия этих органов.

По уровню значимости для безопасности государства изложенный вопрос должен входить в компетенцию Совета Безопасности РФ.


Статья поступила в редакцию
в июле 1996 г.
Научно-технический центр информационных
региональных систем НИИ автоматической
аппаратуры им. акад. В.С. Семенихина


© Информационное общество, 1996, вып. 4, с. 56-60.