| ||||||
| ||||||
| ||||||
Методика безопасной работыСложный комплекс ИТ-систем, создаваемый в рамках ГЦП «Электронная Москва», немыслим без серьезной заботы о его информационной безопасности. Поэтому было решено не ограничиваться защитой отдельных систем и создать единую методологическую базу по обеспечению информационной безопасности. Основными причинами создания единой методологии являются разнородность ИС по функциям и характеру обрабатываемой информации; ориентация действующих нормативов защиты информации в основном на степень конфиденциальности данных, в то время как в системах «Электронной Москвы» требования безопасности должны зависеть также и от критичности информационных ресурсов для обеспечения жизнедеятельности города. А также – наличие большого числа заказчиков-пользователей и компаний-исполнителей, чья компетентность в области защиты информации сильно различается. Вследствие этого, наряду с обеспечением безопасности создаваемых и существующих систем, было решено разработать единую методологическую базу по обеспечению ИБ в рамках ГЦП «Электронная Москва». Эта база включает нормативно-методические документы, типовые требования и решения по защите информации. Среди них необходимо отметить такие, как «Концепция ИБ в органах исполнительной власти Москвы», «Основные направления политики ИБ правительства Москвы до 2010 года», «Информационная безопасность ИС и ресурсов органов исполнительной власти и организаций Москвы. Термины и определения». А также «Информационная безопасность ИС и ресурсов органов исполнительной власти и организаций Москвы. Нормативные документы», «Перечень конфиденциальной информации органов исполнительной власти и организаций Москвы», «Методические рекомендации по формированию требований к обеспечению информационной безопасности ИС и ресурсов Москвы». Хотя каждый из этих документов важен для обеспечения ИБ, остановимся на последнем из них, поскольку он в значительной степени является руководством к действию при подготовке технических заданий на создаваемые системы и организации работ по ним. В этом документе содержатся не только определяющие базовые понятия, необходимые для правильного задания требований к средствам защиты (объект защиты, защищаемая информация и ее категории, модель нарушителя, модель угроз, модель защиты), но и описания типовых моделей. Кроме того, в документе определены требования базового уровня ИБ, обязательные к реализации во всех системах. Такой подход позволяет гарантировать минимально приемлемый уровень защищенности всех ИС и ресурсов, независимо от опыта и квалификации участников их разработки; обеспечить быстрое введение в проблематику ИБ для людей, профессионально ей не занимающихся; создать основу для максимальной типизации проектных решений; в значительной степени исключить дублирование при разработке различных систем. Важная особенность комплекса рассматриваемых документов – проведение принципа сочетания организационных мер и инженерно-технических средств защиты при главенствующей роли организационных мер. Хотя этот принцип – аксиома ИБ, на практике он реализуется далеко не всегда: не все руководители создают структуры, профессионально занимающиеся эксплуатацией системы защиты информации. Конечно, такая большая работа не может не иметь недостатков. Еще предстоит заполнить пробел в нормативной базе защиты информации на федеральном уровне, касающийся установления соответствия между уровнями требований ФСТЭК РФ и ФСБ РФ. Но можно надеяться, что уже созданный задел является хорошей основой для решения этой задачи в информационных системах Москвы. И наконец, отметим, что реализуемый в рамках ГЦП «Электронная Москва» подход к обеспечению ИБ максимально практичен и основан на технологическом автоматизированном описании того, что следует защищать. Технологию сбора информации как по инфраструктуре, так и по функционирующим приложениям обеспечивают автоматизированная система мониторинга ИС, единое адресное пространство городской мультисервисной телекоммуникационной сети и единый каталог пользователей на основе Activ Directory, позволяющий проводить единую политику безопасности и администрирования для различных типовых групп пользователей. К. Жигунов, С. Стродт | ||||||