Дмитриев И.Л.: Реализация комплексных решений по обеспечению информационной безопасности в рамках ГЦП «Электронная Москва»

Реализация комплексных решений по обеспечению информационной безопасности в рамках ГЦП «Электронная Москва»

И.Л. Дмитриев

Информационная безопасность в глобальном информационном обществе становится одной из главных составляющих безопасности экономической, политической, социальной. Разрушение или искажение информации в одной из взаимосвязанных информационных систем может вызвать цепную реакцию отказов и привести к катастрофическим последствиям. Недопустима ситуация, при которой многие из городских информационных систем и ресурсов имеют высокую степень риска быть выведенными из строя на длительный срок или даже быть безвозвратно утерянными в результате стихийного бедствия, террористического акта, компьютерного преступления, неосторожности или умысла обслуживающего персонала.

Городская целевая программа «Электронная Москва», в полной мере осознавая важность этой проблемы, уделяет ее решению самое пристальное внимание. Безопасность, надежность и гарантированная возможность быстрого восстановления информационных систем становятся здесь основополагающими требованиями. В качестве первоочередных мер названо осуществление комплексного подхода к обеспечению требований информационной безопасности, привлечение высокопрофессиональных специалистов к решению задач информационной безопасности, а также ряд других мер.

К основным направлениям обеспечения информационной безопасности в ГЦП «Электронная Москва» можно отнести:

реализацию мероприятий подпрограммы 1.2.3. «Система обеспечения информационной безопасности»;
внедрение и адаптацию определенных в вышеуказанной подпрограмме типовых методик, технологических и технических решений в системы, создаваемые в рамках иных мероприятий ГЦП «Электронная Москва».

В рамках мероприятия «Система обеспечения информационной безопасности» должны быть разработаны и созданы интегрирующие подсистемы – то есть подсистемы «верхнего уровня» для системы информационной безопасности. Также должны быть разработаны и выбраны типовые технологические и технические решения по обеспечению информационной безопасности, применяемые в рамках единой методики при построении информационно-коммуникационных систем в защищенном исполнении. Практика показала, что это экономически эффективно и достаточно оправдано.

В новой городской программе четко сформулированы цели создания системы информационной безопасности. Это:

повышение уровня защищенности населения, предприятий и органов власти города Москвы от преступлений и актов терроризма, совершаемых с использованием ИКТ;
обеспечение целостности, достоверности и конфиденциальности информации, используемой населением, городскими организациями, органами государственной власти и местного самоуправления города.

Реализация поставленных целей позволит решить основную задачу – создание комплексной системы обеспечения информационной безопасности города. При составлении плана действий учитывалось, что выполнение мероприятий Программы, предусматривающих широкий доступ к информационным ресурсам города, невозможно без обеспечения резервирования ресурсов и мониторинга безопасности основных информационных ресурсов, а также создания программно-аппаратных решений, позволяющих контролировать безопасность информационных ресурсов и их резервирование. Поэтому в рамках подпрограммы «Система обеспечения информационной безопасности» предусмотрены следующие мероприятия:

Разработка и реализация мероприятий по обеспечению информационной безопасности города.
Создание и развитие системы удостоверяющих центров города.
Создание системы мониторинга и защиты информационных ресурсов Москвы от внешних и внутренних угроз информационной безопасности.
Создание и развитие защищенного центра резервного хранения данных информационных ресурсов города Москвы.

Остановимся более подробно на том, что конкретно предполагается сделать по каждому пункту.

По пункту 1 запланировано создание нормативно-правовой базы информационной безопасности города Москвы, что включает в себя:

разработку Концепции информационной безопасности г. Москвы;
создание модели угроз информационной безопасности;
разработку Положения об информационной безопасности г. Москвы;
разработку правил и рекомендаций по обеспечению информационной безопасности в деятельности граждан, предприятий и органов власти г. Москвы.

Очевидно, должна быть разработана единая система взглядов, требований и решений, обеспечивающая интегрированность и совместимость решений в области информационной безопасности при реализации конкретных проектов и программ информатизации в городе, с учетом специфики их реализации и функционирования. И должны быть созданы универсальные технические решения и обеспечено их соответствие полному набору требований в части информационной безопасности.

По пункту 2, создание и развитие системы удостоверяющих центров, запланировано проектирование системы удостоверяющих центров города и создание пилотного образца. Далее предусмотрены реализация и развертывание системы.

Здесь четко обозначены требования к реализации данного мероприятия, которые включают, в первую очередь, соответствие Федеральному закону «Об электронной цифровой подписи». Далее, безусловно, должны быть обеспечены универсальность и эффективность использования этой системы как по сервисам (ЭЦП, шифрование, метки времени, аутентификация доступа к информационным ресурсам и т.п.), так и по обслуживаемым подсистемам (иные мероприятия ГЦП «Электронная Москва», различные информационно-коммуникационные технологии). Само собой разумеется, что требуется обеспечить соответствие государственным требованиям, определенным нормативными документами Гостехкомиссии России и ФСБ России, а также Минсвязи России как УФО.

По пункту 3, система мониторинга и защиты информационных ресурсов города Москвы, предусмотрено проектирование системы и реализация работ, связанных с ее созданием. Также определены требования к реализации мероприятий, включающие, в частности, обслуживание всех основных информационных ресурсов города, создание сбалансированной иерархической структуры мониторинга, разработку соответствующей правовой, нормативной и методологической базы. Конечно, должно быть обеспечено соответствие требованиям по информационной безопасности федеральных (Гостехкомиссия России и ФСБ России) и принятых в пункте 1 городских нормативных документов.

По пункту 4, создание защищенного центра резервного хранения, при реализации его мероприятий также должна быть обеспечена возможность обслуживания всех основных городских информационных ресурсов. В качестве обязательных требований названы создание сбалансированной иерархической (трехуровневой) структуры и разработка правовой, нормативной и методологической базы.

Основные требования к выполнению работ по защите информации в информационно-коммуникационных системах включают:

обеспечение соответствия законодательным и нормативным актам Российской Федерации и города Москвы, требованиям нормативно-правовых документов Гостехкомиссии России и ФСБ России (ФАПСИ);
исследование и категорирование информации, циркулирующей в автоматизированной системе, в соответствии с действующим законодательством РФ;
разработку и анализ моделей угроз, уязвимостей информационных систем (ИС);
разработку системы мероприятий по обнаружению, локализации, нейтрализации воздействия угроз безопасности информации и устранению уязвимостей;
определение класса (уровня) защищенности ИС;
проведение аттестации (сертификации) созданной ИС в соответствии с руководящими документами Гостехкомиссии России;
использование сертифицированных средств защиты информации в соответствии с классом защищенности ИС, При исследовании и категорировании информации выбран индивидуальный подход к каждой ИС. Ведь кто, как не владелец информационной системы, может определить, от кого он считает нужным защищаться, от кого не считает, и какая угроза для него является наиболее критичной. Поэтому здесь вместо универсально-обобщенного подхода по принципу единства системы взглядов используется совершенно конкретный и предметный подход к защите конкретной информации и конкретной системы.

Считаю необходимым сказать еще несколько слов о некоторых направлениях взаимодействия ГЦП «Электронная Москва» с Федеральной целевой программой «Электронная Россия». Подчеркиваю, что выбраны не все аспекты этого взаимодействия и многое может показаться спорным. Естественно, я как главный конструктор ГЦП «Электронная Москва» по информационной безопасности хотел бы акцентировать внимание на том, что требует увязки с точки зрения информационной безопасности. На самих механизмах увязки я не буду останавливаться в настоящем докладе, это вопрос достаточно серьезный и глобальный.

Итак, повторяю, коротко остановимся на возможных направлениях взаимодействия «Электронной Москвы» с аналогичной федеральной программой.

1. По направлению «Совершенствование регулирования деятельности в сфере ИКТ». Здесь целесообразно обеспечить согласование мероприятий ГЦП «Электронная Москва» по совершенствованию правового регулирования в области обеспечения информационной безопасности и соответствующих мероприятий ФЦП «Электронная Россия».

2. По направлению «Обеспечение информационной прозрачности и открытости государства для гражданского общества, создание предпосылок для эффективного взаимодействия между государством и гражданами на основе широкого использования ИКТ». Здесь хотелось бы унифицировать не только технологии, но и подход с мероприятием 2.1. ФЦП «Электронная Россия» – «Разработка концепции и реализация практических мер по переводу в открытый доступ информации (за исключением специально запрещенной к распространению законодательством) органов государственной власти на безвозмездной основе, с учетом мероприятий по обеспечению ее целостности и достоверности».

3. По направлению «Модернизация органов власти, государственного и муниципального управления посредством внедрения ИКТ». Это направление целесообразно увязать с очень многими мероприятиями федеральной программы. Назову лишь некоторые из них:

Мероприятие 3.2. ФЦП «Электронная Россия» – «Осуществление работ по обеспечению доступа территориальных подразделений федеральных органов власти и бюджетных учреждений федерального подчинения к телекоммуникационным сетям (создание узлов доступа). Разработка и реализация концепции Единой Государственной системы управления и передачи данных».
Мероприятие 3.3. ФЦП «Электронная Россия» – «Разработка концепции электронного документооборота между органами власти, в т.ч. определение стандартов и протоколов обмена информации для систем электронного документооборота между органами власти и координация вопросов использования на региональном и муниципальном уровнях стандартов и протоколов электронного документооборота».
Мероприятие 3.5. ФЦП «Электронная Россия» – «Внедрение электронного документооборота в органах государственной власти, в т.ч. на первом этапе – утверждение плана-графика перехода федеральных органов исполнительной власти на систему электронного документооборота с учетом информационной безопасности».
Мероприятие 3.13. ФЦП «Электронная Россия» – «Разработка проекта концепции защиты государственных систем от несанкционированного доступа».

Здесь хотелось бы, во-первых, делать совместимые технические средства, и, во-вторых, иметь общую взаимодополняемую нормативную базу. На мой взгляд, Москва готова внести свой посильный вклад.

4. По направлению «Взаимодействие государства с хозяйствующими субъектами и создание предпосылок внедрения информационных технологий в реальный сектор» необходима увязка с двумя мероприятиями федерального уровня:

Мероприятие 4.1. ФЦП «Электронная Россия» – «Разработка Концепции по внедрению информационных технологий в определенные виды обязательного взаимодействия органов власти с хозяйственными субъектами».
Мероприятие 4.3. ФЦП «Электронная Россия» – «Создание информационной статистической системы, объединяющей статистические данные органов власти, в т.ч. разработка общих принципов, методологии, стандартов, системы классификаторов и понятий».

5. По направлению «Образование и развитие кадрового потенциала» необходимо согласование методик, нормативно-правовой базы информатизации в области подготовки и переподготовки кадров в сфере информационной безопасности.

В принципе, количество квалифицированного персонала в Москве несколько выше, чем в других городах. Однако усложнение задач информационной безопасности и наметившаяся тенденция к упорядочению методов ее обеспечения предъявляют более высокие требования к персоналу, отвечающему за информационную безопасность на всех уровнях иерархии. Причем усложнение предмета влечет за собой развитие специализации. В связи с этим все более насущной становится потребность в образовательных услугах по информационной безопасности, в проведении обучения разного объема и глубины. В ближайшем будущем подобные услуги будут все более востребованы, поэтому необходимо прогнозировать потребности общества в специалистах на 10–15 лет вперед и способствовать в настоящее время организации этой работы на городском и федеральном уровнях.

Таким образом, в ходе реализации мероприятий и подпрограмм по обеспечению информационной безопасности будет решена поставленная в Программе задача – создание комплексной системы информационной безопасности города Москвы (рис.1. ). Основными элементами ее инфраструктуры являются (рис. 2–6):

защищенное интернет-интранет взаимодействие;
система удостоверяющих центров;
защищенный информационный портал;
защищенный электронный документооборот;
система мониторинга информационной безопасности;
защищенный центр хранения данных;
взаимодействие с федеральным и муниципальным уровнями.Цель комплексной системы информационной безопасности города Москвы – обеспечение доступности, целостности, достоверности и конфиденциальности информации при ее хранении, обработке и передаче на базе централизованных и распределенных вычислительных ресурсов, предотвращение угроз ее безопасности, защита законных интересов ее собственника от противоправных посягательств, недопущения уничтожения, искажения, утраты, утечки и несанкционированного ознакомления с информацией.

Рис. 1. Комплексеая система информационной безопасности города.

Рис. 2. Защищенное интернет-интранет взаимодействие.

Рис. 3. Система удостоверяющих центров.

Рис . 4. Защищенный информационный портал.

Рис. 5. Защищенная передача данных в распределенной сети.

Рис. 6. Взаимодействие системы общедоступных электронных ресурсов городского уровня с федеральным и муниципальными уровнями.

И в заключение мне хотелось бы сказать о том, как организована работа по реализации программных мероприятий. Глобальная информатизация такого мегаполиса, как Москва, требует разработки технологий, программного и аппаратного обеспечения нового уровня. Поэтому созданы все условия, чтобы в реализации ГЦП «Электронная Москва» участвовали действительно серьезные компании, имеющие большой практический опыт в данной области. Объявлены открытые конкурсы за право заключения государственных контрактов. Своевременно публикуются объявления о конкурсах, авторитетные экспертные комиссии гарантируют объективность при подведении итогов и выборе подрядчиков. Сделано все, чтобы в реализации мероприятий Программы приняло участие как можно больше тех, кто действительно что-то может сделать.

Дмитриев Игорь Леонидович - Заместитель генерального директора ОАО «Электронная Москва», главный конструктор ГЦП «Электронная Москва» по информационной безопасности.