Совершенствование нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы

Целью исследования является повышение эффективности управления информационной безопасностью для государственных информационных систем (ГИС) с устройствами терминального доступа за счет совершенствования нормативно-правовых актов, которые должны быть логически увязаны между собой и не противоречить друг другу, а также использовать единый профессиональный тезаурус, позволяющий понимать и описывать процессы в области информационной безопасности.

В настоящее время государственные информационные системы с устройствами терминального доступа используются для обеспечения реализации законных интересов граждан при информационном взаимодействии с органами государственной власти [1]. Одним из типов таких систем являются системы общего пользования [2]. Они предназначены для оказания электронных услуг гражданам, таких как оплата налогов, получение справок, подача заявлений и иных сведений. Обрабатываемые персональные данные могут относиться к специальным, биометрическим, общедоступным и иным категориям [3]. Различные категории персональных данных, сосредоточенные в большом объёме о большом числе граждан, могут привести к значительному ущербу в результате их утечки, а значит, это создаёт информационные риски.

Существуют несколько основных типов архитектур государственных информационных систем: системы на основе «тонкого клиента»; системы на основе одноранговой сети; файл -серверные системы; центры обработки данных; системы с удаленным доступом пользователей; использование разных типов операционных систем (гетерогенность среды); использование прикладных программ, независимых от операционных систем; использование выделенных каналов связи [4]. Такое разнообразие и неоднородность государственных информационных систем с одной стороны, и необходимость качественного государственного регулирования в области информационной безопасности в этих системах, с другой стороны, требуют изучения и развития нормативно-правовых актов, учитывающих в первую очередь особенности систем, имеющих типовую современную архитектуру «тонкого клиента».

Материалы и методы исследования. Защита государственной информационной системы регламентируется большим числом нормативно-правовых актов, которые постоянно совершенствуются с изменением и дополнением контента. На содержательном уровне она включает в себя множество этапов, таких как формирование требований к ГИС, разработка системы защиты, её внедрение, аттестация. Защищаемая информация обрабатывается в целях исполнения законодательства и обеспечения функционирования органов власти. Необходимость защиты конфиденциальной информации определяется законодательством Российской Федерации [5,6]. Поэтому для оценки качества нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы в работе проводится анализ основных нормативно-правовых актов и на его основе методом аналогии разрабатываются предложения по совершенствованию имеющихся регулирующих документов в области информационной безопасности.

Результаты. В работе разработаны предложения по совершенствованию нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы

-          для единообразия и унификации обоснованы термины с соответствующими определениями для их установления в документы ФСТЭК или Росстандарта;

-          правила формирования требований к терминалам, которые должны быть аналогом требований к средствам вычислительной техники в «Концепции защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

Выводы. Предложены общие рекомендации по защите информации в государственных информационных системах, использующих архитектуру «тонкого клиента», а также обоснованы специфичные угрозы, отсутствующие в банке угроз ФСТЭК и определены направления дальнейшего обеспечения информационной безопасности для рассматриваемого класса государственных информационных систем. В связи с большим числом заинтересованных субъектов, участвующих в согласовании и выработки единых решений, более конкретное рассмотрение поднятых проблем и вопросов возможно только с привлечением к обсуждению представителей уполномоченных федеральных органов исполнительной власти и представителей бизнеса.

1. Болгарский А.И. Защита информации в государственных информационных системах // Вестник УрФО. Безопасность в информационной сфере. 2011. № 2. С. 48—50.

2. Сабанов А.Г., Мельниченко П.А. Предоставление защищенного доступа к информационным системам массового использования при оказании государственных услуг в электронном виде // Вестник Российской таможенной академии. 2011. № 3. С. 73-78.

3. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: утв. постановлением Правительства Рос. Федерации от 1 ноября 2012 г. № 1119 // Российская газета, № 256, 07.11.2012.

4. Проект методического документа. Методика определения угроз безопасности информации в информационных системах [Электрон. ресурс] // Федеральная служба по техническому и экспортному контролю России. Режим доступа: https://fstec.ru/component/attachments/download/812

5. Об информации, информационных технологиях и о защите информации (с изменениями на 23 апреля 2018 года): федеральный закон Российской Федерации от 27 июля 2006 г. №149- Ф3. // Российская газета, № 165, 29.07.2006.

6. О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации (с изменениями на 11 мая 2017 года): утвержден постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676 // Собрание законодательства Российской Федерации, № 28, 13.07.2015, ст.4241.

7. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (с изменениями на 23 мар та 2017 года) : утверждем приказом ФСТЭК от 18 февраля 2013 г. № 21 // Российская газета, № 107, 22.05.2013.

8. Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (с изменениями на 15 февраля 2017 года): утвержден приказом ФСТЭК от 11 февраля 2013 г. № 17 // Российская газета, № 136, 26.06.2013.

9. Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России от 11 февраля 2014 г.

10. Лемке Е.А., Лубкин И.А. Создание защищенной терминальной системы // Решетнев- ские чтения. 2013. Т. 2. № 17. С. 306-308.

11. Тищенко Е.Н., Буцик К.А., Деревяшко В. Модель доверенной сетевой загрузки «тонкого клиента» с нейтрализацией «внутреннего нарушителя» // Известия ЮФУ. Технические науки. 2015. № 5 (166). С. 37-47.

12. Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. [Электрон. ресурс]. Режим доступа: https://fstec.ru/component/attachments/download/299.

13. Гатчин Ю.А., Теплоухова О.А. Алгоритм аутентификации участников информационного взаимодействия при удаленной загрузке операционной системы на тонкий клиент // Научно-технический вестник информационных технологий, механики и оптики. 2016. Т. 16. № 3. 497-505.

14. Малиничев Д.М., Ермашов А.В. Обеспечение защиты информации в компании от несанкционированного доступа с помощью отечественных продуктов средств защиты информации // Colloquium-journal. 2019. № 11-1 (35). С. 101-103.