<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">oo</journal-id><journal-title-group><journal-title xml:lang="ru">Открытое образование</journal-title><trans-title-group xml:lang="en"><trans-title>Open Education</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">1818-4243</issn><issn pub-type="epub">2079-5939</issn><publisher><publisher-name>Plekhanov Russian University of Economics</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21686/1818-4243-2020-2-73-79</article-id><article-id custom-type="elpub" pub-id-type="custom">oo-729</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ПРОБЛЕМЫ ИНФОРМАТИЗАЦИИ ЭКОНОМИКИ И УПРАВЛЕНИЯ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>PROBLEMS OF INFORMATIZATION OF ECONOMICS AND MANAGEMENT</subject></subj-group></article-categories><title-group><article-title>Совершенствование нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы</article-title><trans-title-group xml:lang="en"><trans-title>Improvement of the Regulatory Framework of Information Security for Terminal Access Devices of the State Information System</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Сизов</surname><given-names>В. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Sizov</surname><given-names>V. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Валерий Александрович Сизов</p><p>Доктор технических наук, профессор, профессор кафедры прикладной информатики и информационной безопасности</p><p>Москва</p></bio><bio xml:lang="en"><p>Dmitry M. Malinichev</p><p>Cand. Sci. (Engineering), Associate Professor, Associate Professor of the Department of Information Security</p><p>Moscow</p></bio><email xlink:type="simple">sizovva@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Малиничев</surname><given-names>Д. М.</given-names></name><name name-style="western" xml:lang="en"><surname>Malinichev</surname><given-names>D. M.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Дмитрий Михайлович Малиничев</p><p>Кандидат технических наук, доцент, доцент кафедры информационной безопасности</p><p>Москва</p></bio><bio xml:lang="en"><p>Dmitry M. Malinichev</p><p>Cand. Sci. (Engineering), Associate Professor, Associate Professor of the Department of Information Security</p><p>Moscow</p><p> </p></bio><email xlink:type="simple">mmm_63@list.ru</email><xref ref-type="aff" rid="aff-2"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Мочалов</surname><given-names>В. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Mochalov</surname><given-names>V. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Вадим Вячеславович Мочалов</p><p>Инженер</p><p>Москва</p></bio><bio xml:lang="en"><p>Vadim V. Mochalov</p><p>Engineer</p><p>Moscow</p></bio><email xlink:type="simple">vadimmoch@yandex.ru</email><xref ref-type="aff" rid="aff-3"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Российский экономический университет им. Г.В. Плеханова</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Plekhanov Russian University of Economic</institution><country>Russian Federation</country></aff></aff-alternatives><aff-alternatives id="aff-2"><aff xml:lang="ru"><institution>Российский государственный социальный университет</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Russian State Social University</institution><country>Russian Federation</country></aff></aff-alternatives><aff-alternatives id="aff-3"><aff xml:lang="ru"><institution>Национальный исследовательский ядерный университет «МИФИ»</institution><country>Россия</country></aff><aff xml:lang="en"><institution>National Research Nuclear University</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2020</year></pub-date><pub-date pub-type="epub"><day>22</day><month>04</month><year>2020</year></pub-date><volume>24</volume><issue>2</issue><fpage>73</fpage><lpage>79</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Сизов В.А., Малиничев Д.М., Мочалов В.В., 2020</copyright-statement><copyright-year>2020</copyright-year><copyright-holder xml:lang="ru">Сизов В.А., Малиничев Д.М., Мочалов В.В.</copyright-holder><copyright-holder xml:lang="en">Sizov V.A., Malinichev D.M., Mochalov V.V.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://openedu.rea.ru/jour/article/view/729">https://openedu.rea.ru/jour/article/view/729</self-uri><abstract><p>Целью исследования является повышение эффективности управления информационной безопасностью для государственных информационных систем (ГИС) с устройствами терминального доступа за счет совершенствования нормативно-правовых актов, которые должны быть логически увязаны между собой и не противоречить друг другу, а также использовать единый профессиональный тезаурус, позволяющий понимать и описывать процессы в области информационной безопасности.</p><p>В настоящее время государственные информационные системы с устройствами терминального доступа используются для обеспечения реализации законных интересов граждан при информационном взаимодействии с органами государственной власти [<xref ref-type="bibr" rid="cit1">1</xref>]. Одним из типов таких систем являются системы общего пользования [<xref ref-type="bibr" rid="cit2">2</xref>]. Они предназначены для оказания электронных услуг гражданам, таких как оплата налогов, получение справок, подача заявлений и иных сведений. Обрабатываемые персональные данные могут относиться к специальным, биометрическим, общедоступным и иным категориям [<xref ref-type="bibr" rid="cit3">3</xref>]. Различные категории персональных данных, сосредоточенные в большом объёме о большом числе граждан, могут привести к значительному ущербу в результате их утечки, а значит, это создаёт информационные риски.</p><p>Существуют несколько основных типов архитектур государственных информационных систем: системы на основе «тонкого клиента»; системы на основе одноранговой сети; файл -серверные системы; центры обработки данных; системы с удаленным доступом пользователей; использование разных типов операционных систем (гетерогенность среды); использование прикладных программ, независимых от операционных систем; использование выделенных каналов связи [<xref ref-type="bibr" rid="cit4">4</xref>]. Такое разнообразие и неоднородность государственных информационных систем с одной стороны, и необходимость качественного государственного регулирования в области информационной безопасности в этих системах, с другой стороны, требуют изучения и развития нормативно-правовых актов, учитывающих в первую очередь особенности систем, имеющих типовую современную архитектуру «тонкого клиента».</p><p>Материалы и методы исследования. Защита государственной информационной системы регламентируется большим числом нормативно-правовых актов, которые постоянно совершенствуются с изменением и дополнением контента. На содержательном уровне она включает в себя множество этапов, таких как формирование требований к ГИС, разработка системы защиты, её внедрение, аттестация. Защищаемая информация обрабатывается в целях исполнения законодательства и обеспечения функционирования органов власти. Необходимость защиты конфиденциальной информации определяется законодательством Российской Федерации [5,6]. Поэтому для оценки качества нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы в работе проводится анализ основных нормативно-правовых актов и на его основе методом аналогии разрабатываются предложения по совершенствованию имеющихся регулирующих документов в области информационной безопасности.</p><sec><title>Результаты</title><p>Результаты. В работе разработаны предложения по совершенствованию нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы</p><p>-          для единообразия и унификации обоснованы термины с соответствующими определениями для их установления в документы ФСТЭК или Росстандарта;</p><p>-          правила формирования требований к терминалам, которые должны быть аналогом требований к средствам вычислительной техники в «Концепции защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».</p></sec><sec><title>Выводы</title><p>Выводы. Предложены общие рекомендации по защите информации в государственных информационных системах, использующих архитектуру «тонкого клиента», а также обоснованы специфичные угрозы, отсутствующие в банке угроз ФСТЭК и определены направления дальнейшего обеспечения информационной безопасности для рассматриваемого класса государственных информационных систем. В связи с большим числом заинтересованных субъектов, участвующих в согласовании и выработки единых решений, более конкретное рассмотрение поднятых проблем и вопросов возможно только с привлечением к обсуждению представителей уполномоченных федеральных органов исполнительной власти и представителей бизнеса.</p></sec></abstract><trans-abstract xml:lang="en"><p>The aim of the study is to increase the effectiveness of information security management for state information systems (SIS) with terminal access devices by improving regulatory legal acts that should be logically interconnected and not contradict each other, as well as use a single professional thesaurus that allows understanding and describe information security processes.</p><p>Currently, state information systems with terminal access devices are used to ensure the realization of the legitimate interests of citizens in information interaction with public authorities [<xref ref-type="bibr" rid="cit1">1</xref>].</p><p>One of the types of such systems are public systems [<xref ref-type="bibr" rid="cit2">2</xref>]. They are designed to provide electronic services to citizens, such as paying taxes, obtaining certificates, filing of applications and other information. The processed personal data may belong to special, biometric, publicly available and other categories [<xref ref-type="bibr" rid="cit3">3</xref>]. Various categories of personal data, concentrated in a large volume about a large number of citizens, can lead to significant damage as a result of their leakage, which means that this creates information risks.</p><p>There are several basic types of architectures of state information systems: systems based on the “thin clientpeer-to-peer network systems; file server systems; data processing centers; systems with remote user access; the use of different types of operating systems (heterogeneity of the environment); use of applications independent of operating systems; use of dedicated communication channels [<xref ref-type="bibr" rid="cit4">4</xref>]. Such diversity and heterogeneity of state information systems, on the one hand, and the need for high-quality state regulation in the field of information security in these systems, on the other hand, require the study and development of legal acts that take into account primarily the features of systems that have a typical modern architecture of “thin customer". </p><p>Materials and research methods. The protection of the state information system is regulated by a large number of legal acts that are constantly being improved with changes and additions to the content. At the substantive level, it includes many stages, such as the formation of SIS requirements, the development of a security system, its implementation, and certification. The protected information is processed in order to enforce the law and ensure the functioning of the authorities. The need to protect confidential information is determined by the legislation of the Russian Federation [5, 6]. Therefore, to assess the quality of the regulatory framework of information security for terminal access devices of the state information system, the analysis of the main regulatory legal acts is carried out and on the basis of it, proposals are developed by analogy to improve existing regulatory documents in the field of information security.</p><sec><title>Results</title><p>Results. The paper has developed proposals for improving the regulatory framework of information security for terminal access devices of the state information system</p><p>- for uniformity and unification, the terms with corresponding definitions are justified for their establishment in the documents of the Federal Service for Technical and Export Control (FSTEC) or Rosstandart;</p><p>- rules for the formation of requirements for terminals, which should be equivalent requirements for computer equipment in the “Concept for the protection of computer equipment and automated systems from unauthorized access to information ".</p></sec><sec><title>Conclusion</title><p>Conclusion. General recommendations on information protection in state information systems using the “thin client" architecture are proposed, specific threats that are absent in the FSTEC threat bank are justified, and directions for further information security for the class of state information systems under consideration are identified. Due to the large number of stakeholders involved in the coordination and development of unified solutions, a more specific consideration of the problems and issues raised is possible only with the participation of representatives of authorized federal executive bodies and business representatives for discussion.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>защищенные информационные системы</kwd><kwd>информационная безопасность</kwd><kwd>государственная информационная система</kwd><kwd>тонкий клиент</kwd><kwd>центр обработки данных</kwd></kwd-group><kwd-group xml:lang="en"><kwd>secure information systems</kwd><kwd>information security</kwd><kwd>state information system</kwd><kwd>thin client</kwd><kwd>data processing center</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Болгарский А.И. Защита информации в государственных информационных системах // Вестник УрФО. Безопасность в информационной сфере. 2011. № 2. С. 48—50.</mixed-citation><mixed-citation xml:lang="en">Bolgarskiy A.I. Information protection in state information systems. Vestnik UrFO. Bezopasnost’ v informatsionnoy sfere = Bulletin of the Urals Federal District. Security in the information field. 2011; 2: 48-50. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Сабанов А.Г., Мельниченко П.А. Предоставление защищенного доступа к информационным системам массового использования при оказании государственных услуг в электронном виде // Вестник Российской таможенной академии. 2011. № 3. С. 73-78.</mixed-citation><mixed-citation xml:lang="en">Sabanov A.G., Mel’nichenko P.A. Providing secure access to mass use information systems in the provision of public services in electronic form. Vestnik Rossiyskoy tamozhennoy akademii= Bulletin of the Russian Customs Academy. 2011; 3: 73-78. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: утв. постановлением Правительства Рос. Федерации от 1 ноября 2012 г. № 1119 // Российская газета, № 256, 07.11.2012.</mixed-citation><mixed-citation xml:lang="en">On approval of requirements for the protection of personal data during their processing in personal data information systems: approved. Government Decree Ros. Federation of November 1, 2012 No. 1119. Rossiyskaya gazeta = Russian newspaper; N 256, 07.11.2012. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Проект методического документа. Методика определения угроз безопасности информации в информационных системах [Электрон. ресурс] // Федеральная служба по техническому и экспортному контролю России. Режим доступа: https://fstec.ru/component/attachments/download/812</mixed-citation><mixed-citation xml:lang="en">Draft guidance document. Methodology for identifying threats to information security in information systems [Internet]. Federal’naya sluzhba po tekhnicheskomu i eksportnomu kontrolyu Rossii = Federal Service for Technical and Export Control of Russia. Available from: https://fstec.ru/component/attachments/download/812. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Об информации, информационных технологиях и о защите информации (с изменениями на 23 апреля 2018 года): федеральный закон Российской Федерации от 27 июля 2006 г. №149- Ф3. // Российская газета, № 165, 29.07.2006.</mixed-citation><mixed-citation xml:lang="en">On information, information technology and information protection (as amended on April 23, 2018): Federal Law of the Russian Federation of July 27, 2006 No. 149-F3. Rossiyskaya gazeta = Russian newspaper; N 165, 29.07.2006. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации (с изменениями на 11 мая 2017 года): утвержден постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676 // Собрание законодательства Российской Федерации, № 28, 13.07.2015, ст.4241.</mixed-citation><mixed-citation xml:lang="en">On requirements for the procedure for the creation, development, commissioning, operation and decommissioning of state information systems and the further storage of information contained in their databases (as amended on May 11, 2017): approved by the Government of the Russian Federation on July 6, 2015 g. No. 676. Sobraniye zakonodatel’stva Rossiyskoy Federatsii, N 28, 13.07.2015, st.4241 = Meeting of the legislation of the Russian Federation, N 28, 07/13/2015, Art. 421. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (с изменениями на 23 мар та 2017 года) : утверждем приказом ФСТЭК от 18 февраля 2013 г. № 21 // Российская газета, № 107, 22.05.2013.</mixed-citation><mixed-citation xml:lang="en">On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems (as amended on March 23, 2017): we approve by order of the FSTEC of February 18, 2013 No. 21. Rossiyskaya gazeta = Russian newspaper; N 107, 22.05.2013. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (с изменениями на 15 февраля 2017 года): утвержден приказом ФСТЭК от 11 февраля 2013 г. № 17 // Российская газета, № 136, 26.06.2013.</mixed-citation><mixed-citation xml:lang="en">On approval of the requirements for the protection of information not constituting state secrets contained in state information systems (as amended on February 15, 2017): approved by order of the FSTEC of February 11, 2013 No. 17. Rossiyskaya gazeta = Russian newspaper; N 136, 26.06.2013. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России от 11 февраля 2014 г.</mixed-citation><mixed-citation xml:lang="en">Mery zashchity informatsii v gosudarstvennykh informatsionnykh sistemakh. Metodicheskiy dokument FSTEK Rossii ot 11 fevralya 2014 g = Information security measures in state information systems. Methodological document of the FSTEC of Russia dated February 11, 2014. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Лемке Е.А., Лубкин И.А. Создание защищенной терминальной системы // Решетнев- ские чтения. 2013. Т. 2. № 17. С. 306-308.</mixed-citation><mixed-citation xml:lang="en">Lemke Ye.A., Lubkin I.A. Creating a secure terminal system. Reshetnevskiye chteniya = Reshetnev readings. 2013; 2; 17: 306-308. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Тищенко Е.Н., Буцик К.А., Деревяшко В. Модель доверенной сетевой загрузки «тонкого клиента» с нейтрализацией «внутреннего нарушителя» // Известия ЮФУ. Технические науки. 2015. № 5 (166). С. 37-47.</mixed-citation><mixed-citation xml:lang="en">Tishchenko Ye.N., Butsik K.A., Derevyashko V.V. The model of trusted network load of the «thin client» with the neutralization of the «internal intruder». Izvestiya YUFU. Tekhnicheskiye nauki = News of SFU. Technical science. 2015; 5 (166): 3747. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. [Электрон. ресурс]. Режим доступа: https://fstec.ru/component/attachments/download/299.</mixed-citation><mixed-citation xml:lang="en">Rukovodyashchiy dokument Kontseptsiya zashchity sredstv vychislitel’noy tekhniki i avtomatizirovannykh sistem ot nesanktsionirovannogo dostupa k informatsii Utverzhdena resheniyem Gosudarstvennoy tekhnicheskoy komissii pri Prezidente Rossiyskoy Federatsii ot 30 marta 1992 g = Guiding document The concept of protecting computer equipment and automated systems from unauthorized access to information Approved by the decision of the State Technical Commission under the President of the Russian Federation of March 30, 1992. [Internet]. Available from: https://fstec.ru/component/attachments/download/299. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Гатчин Ю.А., Теплоухова О.А. Алгоритм аутентификации участников информационного взаимодействия при удаленной загрузке операционной системы на тонкий клиент // Научно-технический вестник информационных технологий, механики и оптики. 2016. Т. 16. № 3. 497-505.</mixed-citation><mixed-citation xml:lang="en">Gatchin YU.A., Teploukhova O.A. Authentication algorithm for information interaction participants when remotely loading the operating system on a thin client. Nauchno-tekhnicheskiy vestnik informatsionnykh tekhnologiy, mekhaniki i optiki = Scientific and Technical Bulletin of Information Technologies, Mechanics and Optics. 2016; 16; 3: 497-505. (In Russ.)</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Малиничев Д.М., Ермашов А.В. Обеспечение защиты информации в компании от несанкционированного доступа с помощью отечественных продуктов средств защиты информации // Colloquium-journal. 2019. № 11-1 (35). С. 101-103.</mixed-citation><mixed-citation xml:lang="en">Malinichev D.M., Yermashov A.V. Ensuring the protection of information in the company from unauthorized access using domestic products of information protection. Colloquium-journal = Colloquium-journal. 2019; 11-1 (35): 101-103. (In Russ.)</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
