Электронное правительство с точки зрения ИБ

Электронное правительство с точки зрения ИБ
Попался мне в руки системный проект формирования в РФ инфраструктуры электронного правительства. Весомый документ; аж 89 страниц. Судя по метатегам документ не новый, как минимум прошлогодний. Об этом говорит и то, что именно на его основе строится госпрограмма "Информационное общество 2012 - 2020", которую приняли в конце прошлого года. Но местами в документе встречаются фрагменты еще более древние. Например, приравнивание информации к материальным объектам и распространение на первую вещного права. При этом системный проект ссылается на ст.128 ГК РФ, которую переиначили аж 5 лет назад, в 2006-м году. Да и понятие собственника информации из старого трехглавого закона также фигурирует в системном проекте (а ведь от него тоже отказались в 2006-м году). Сам раздел по ИБ вполне себе приемлем. Грамотные идеи, грамотные принципы реализации ИБ. Например, принцип дружественности гласит, что "Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей". Неожиданно для документа, исходящего из госоргана, выглядит принцип оптимальности и разумной однородности - "Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты". Принцип адаптивности гласит, что "Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации". Главное, чтобы последнее не трактовалось как "давайте заложим требования по максимуму". Я на днях с таким столкнулся в одном проекте. Заказчик говорит - нам нужна СКЗИ КС3. На мой вопрос, зачем, ведь ни в одном нормативном акте (даже ФСБ) такого требования нет, заказчик ответил: "А вдруг ситуация изменится?" В целом, раздел по ИБ для электронного правительства более чем достоин для изучения, а в ряде случаев и для использования в собственных документах. Вопрос вызывает только один пункт. Но даже не в контексте его невыполнимости или некорректности. Просто могу предположить, что его трактовать будут вполне очевидным образом, который поставит крест на всех описанных выше принципах. Речь идет о фразе "установить на уровне постановления Правительства Российской Федерации обязательные требования к объектам инженерной инфраструктуры по информационной, технологической безопасности, а также формы оценки соответствия (сертификация, декларирование)". К такой инфраструктуре относится все, кроме АРМов электронного правительства. Зная, как наши регуляторы трактуют фразу "оценка соответствия в установленном порядке", можно предположить, как будет трактоваться это требование ;-(
электронное правительство Россия
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале