«Информационные Ресурсы России» №1, 2014

Введение

Деятельность электронного правительства России, основой которого является развитие повсеместного и всеобъемлющего предоставления населению услуг в электронной форме, остается наиболее приоритетной задачей государства.

В соответствии с Федеральным законом № 210-ФЗ от 27 июля 2010 г. «Об организации предоставления государственных и муниципальных услуг» с 1 июля 2012 г. региональные органы исполнительной власти и муниципалитеты, вслед за федеральными органами исполнительной власти, должны были перейти на межведомственное электронное взаимодействие и предоставление услуг населению в электронной форме. Этой проблеме была посвящена рабочая встреча Президента РФ В.В. Путина с Министром Минкомсвязи России Н.А. Никифоровым, состоявшаяся 4 августа 2012 г.

В первой половине 2013 г. было окончательно сформировано Открытое правительство, призванное сыграть большую роль в оказании услуг населению на основе постоянного обсуждения этой проблемы с экспертами и гражданами.

В настоящий период, по данным Правительства РФ, время ожидания в очереди за получением госуслуг для граждан составляет 55 минут. В 2014 году это время должно сократиться до 15 минут.

В августе 2013 г. премьер-министр РФ Д.А. Медведев дал ряд поручений в сфере информационно-коммуникационных технологий в целях более эффективного государственного управления. В частности, Минкомсвязи РФ и Минэкономразвития РФ было поручено до 3 октября 2013 г. представить в Правительство предложения по массовому обучению населения получению государственных и муниципальных услуг в электронном виде, а до 6 ноября 2013 г. представить предложения по обеспечению предоставления услуг заявителям независимо от их места жительства. Председатель Правительства РФ распорядился также радикально упростить регистрацию граждан на Едином Портале госуслуг. 19 сентября 2013 г. он резко критиковал состояние дел в сфере наполнения контентом портала государственных услуг на первом заседании «Правительственной комиссии по использованию информационных технологий для улучшения качества жизни и условий предпринимательской деятельности».

По имеющимся данным на октябрь 2012 г. госуслуги через интернет получили только 13% россиян.

Основными правовыми актами государства для практической реализации предоставления услуг населению являются Государственная программа РФ «Информационное общество (2011-2020 г.г.)» (Утверждена 20.10.2010 № 1815-р, в редакции 02.12.2011 № 2161-р.), а также постановления и распоряжения Правительства РФ. Во всех этих государственных документах рассматривается необходимость уделить самое ответственное внимание вопросам информационной безопасности. В этой связи, в качестве важных примеров необходимо назвать: Постановление от 08.06.2011 № 451 (в ред. от 24.10.2011 № 861) «Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», Постановление от 24.10.2011 № 861 (в ред. от 28.11.2011 № 977) «О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)», Постановление от 28 ноября 2011 г. № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».

Во исполнение п. 4 р. 1 Протокола заседания Правительственной Комиссии по использованию информационных технологий для улучшения качества жизни и ведения предпринимательской деятельности № 1 от 19.09.2013 г. была разработана «Концепция развития механизмов предоставления государственных и муниципальных услуг в электронной форме». Подготовку Концепции осуществили Минкомсвязи РФ и Минэкономразвития РФ. Концепция была представлена в Правительство РФ и вынесена на общественное обсуждение, которое закончилось 25 октября 2013 г. По итогам обсуждений планируется доработка Концепции.

Несмотря на то, что в Концепции достаточно четко сформулирована текущая ситуация в сфере развития электронного правительства и существующие проблемы, которые возникли на предыдущих этапах оказания государственных услуг в электронной форме, предложения по их решению мало отличаются от тех, которых были заложены на начальном этапе. В представленной на общественное обсуждение Концепции вместо реализации целостного, системного подхода, в котором бы все элементы информационного обмена были увязаны между собой и стали бы основой для формирования действительно исполняемых административных регламентов, предлагаемые решения во многом свелись к созданию слабо связанных между собой нормативно-правовых актов, реестров, регистров, онтологий и перечней. Экспертами, принявшими участие в обсуждении Концепции, были сделаны ценные замечания и внесены предложения, которые при их учете могут заметно улучшить Концепцию.

С 1 января 2013 г. согласно статье 21.3 названного выше № 210-ФЗ должны были быть подключены банки к системе межведомственного электронного взаимодействия (СМЭВ), а также к сервисам Государственной информационной системы о государственных и муниципальных платежах (ГИС ГМП). Этому вопросу посвящено и Постановление Правительства РФ № 1382 от 22 декабря 2012 г.

По массовости услуг населению в электронной форме наряду с государственными и муниципальными услугами услуги финансовых организаций занимают важнейшее место, что требует рассмотрения существующих проблем тех и других одновременно, поскольку подходы, методы и средства решения вопросов информационной безопасности общие.

Необходимо отметить большую регулирующую роль в обеспечении информационной безопасности при функционировании Электронного правительства ФСТЭК РФ и ФСБ РФ, а также выполнение ими важнейшей задачи сертификации методов и средств защиты.

Современные подходы, методы и средства обеспечения информационной безопасности при оказании населению услуг в электронной форме обусловлены следующими обстоятельствами: необходимостью создания доверенной вычислительной среды, использованием виртуализации и облачных вычислений, наличием особых требований к идентификации и аутентификации, необходимостью непрерывности бизнес-процессов, интеграцией различных информационных систем, необходимостью интеграции различных технологий информационной безопасности при решении задач, широким использованием мобильных информационно-коммуникационных технологий, упором как на информационную безопасность системы, так и конечного пользователя, наличием большого удельного веса в обрабатываемой информации персональных данных, интенсивным использованием электронной подписи.

Доверенная вычислительная среда

Парадигма доверенных вычислительных систем (вычислений, программного обеспечения, электронного информационного взаимодействия) начала формироваться в конце XX века в связи с лавинообразным вводом в действие самых разнообразных автоматизированных информационных систем (АИС) и возникновением огромных объемов информации для обработки, что привело к необходимости незамедлительно решать новые сложные вопросы информационной безопасности (ИБ). Сначала была сформулирована задача создания функционально замкнутой среды (ФЗС). ФЗС трактовалась как проверенная операционная среда, в которой выполняется проверенная задача из конечного списка проверенных задач, использующая проверенные данные. Развитие операционных систем (ОС) и прикладного программного обеспечения (ППО) на этой основе привело к необходимости развития парадигмы защиты. Была сформулирована концепция изолированной программной среды, ориентированная на многозадачные операционные среды, когда операционная среда исключала взаимовлияние одновременно выполняемых задач на основе изолированности исполняемых проверенных программ в проверенной ОС с проверенными данными.

Дальнейшее развитие средств вычислительной техники (СВТ) привело к тому, что многие из компонентов компьютера стали сами по себе иметь возможность обеспечивать реализацию независимых вычислительных систем, имея собственные микропрограммные средства. Здесь возникла необходимость обеспечить не только проверенность программ, ОС и данных, но и аппаратных средств на предмет их невредоносности. Решение было найдено следующее: вынести ключевые операции по обеспечению безопасности в изолированную аппаратную среду, позволяющую проверить ее и микропрограммы управления без нарушения целостности средства защиты информации (СЗИ). Такое средство получило название «резидентный компонент безопасности» (РКБ), а новая концепция безопасности получила название «доверенная вычислительная среда на основе резидентных компонентов безопасности» или просто – доверенная вычислительная среда (ДВС). В англоязычном варианте она обозначается как Trasted Platform Module (TPM).

Когда возникла и стала бурно реализовываться задача предоставления населению государственных, муниципальных и других услуг (прежде всего банковских) в электронной форме, это стало означать, что необходимо обеспечить доверенное электронное информационное взаимодействие между гражданами, использующими компьютеры (информационно-коммуникационные технологии (ИКТ)), с одной стороны, и государством, муниципалитетами, банками и др., использующими АИС, с другой стороны.

Но, если защитить АИС с помощью ДВС вполне возможно, то установить РКБ на каждый домашний компьютер совершенно не возможно (дорого и не рационально).

Было предложено следующее решение. При взаимодействии гражданина с АИС по получению услуг необходимо в рамках ДВС обеспечить безопасность только на время связи – обеспечить доверенный сеанс связи (ДСС). Для этого используются специальные средства: эффективные и доступные по цене. В частности, средство обеспечения доверенного сеанса (СОДС) «МАРШ!», представляющее собой загрузочный USB- носитель со специальными свойствами памяти и предустановленным ПО, включающим ОС, браузер, собственную криптографическую подсистему, средства организации доверенного канала взаимодействия и функциональное ПО [1], рис. 1.

Во время ДСС в рамках взаимодействия с АИС для получения услуг в электронной форме пользователю недоступны ресурсы компьютера и внешние сетевые соединения, которые могут быть потенциально небезопасными. Закончив работу с защищенной АИС, пользователь может продолжить работу в обычном режиме.

В современных условиях массового вовлечения в электронное взаимодействие граждан исключительно актуальным является особое внимание к вопросам безопасности индивидуума. При развитии информационного общества важнейшими в этой связи являются вопросы защиты здоровья при использовании различного оборудования и устройств, защиты прав и свобод граждан при проведении мероприятий по обеспечению безопасности государства и общества, защиты персональных данных (ПдН), защиты прав потребителей при предоставлении услуг в электронной форме. Прежде всего, при предоставлении наиболее массовых услуг: государственных, муниципальных, банковских [2].

Сегодня одним из основных трендов обеспечения банковской безопасности является ориентация на защищенность клиента, в том числе за счет повышения контроля уровня защищенности самим клиентом. Существующая статистика показывает, что основные хищения средств мошенниками происходят не в кредитных организациях, а у их клиентов. В этой связи, особенно актуальным является вопрос эффективной защиты именно клиента, что и может быть достигнуто, как было показано выше, при ДСС.

Все в больших масштабах граждане используют для получения услуг в электронной форме различные мобильные устройства. Уже в 2011 г. рынок мобильных устройств обогнал рынок персональных компьютеров (ПК). Стремительный рост вычислительной мощности и возможностей мобильных устройств поставили новые вопросы в области обеспечения информационной безопасности. Современные смартфоны и планшеты содержат в себе развитый функционал, аналогичный таковому у ПК. Возможности удаленного администрирования, поддержки VPN, браузеры с flash и java-script, синхронизация почты, заметок, обмен файлами - несомненные достижения, но рынок средств защиты для подобных устройств развит еще слабо. [3]

Нам представляется, что для обеспечения информационной безопасности при использовании мобильных устройств необходим комплексный подход: создание ДВС с использованием РКБ и принятия соответствующих организационных мер.

Эффективность парадигмы доверенных вычислительных систем привела к тому, что в последний период времени специалисты подняли вопрос о создании архитектуры национальной системы доверия (НСД). Есть положительный опыт в странах Евросоюза, принявших соответствующий стандарт. В России НСД должна создаваться на основе уже существующих систем при обязательной централизации с целью предоставления широкого спектра доверенных сервисов.[4]

Идентификация, аутентификация, авторизация

Одними из ключевых моментов отношений в информационном обществе являются идентификация, аутентификация и авторизация участников взаимодействия. Решение этой проблемы лежит в основе обеспечения информационной безопасности функционирования электронного правительства (ЭлПр) и предоставления населению услуг в электронной форме.

К сожалению, сегодня в специальной литературе имеют место различные толкования соотношения понятий «идентификация», «аутентификация» и «авторизация». Поэтому мы еще раз подчеркнем следующее. Идентификатор – набор символов, служащий для виртуального подтверждения личности. Для проверки подлинности личности используется аутентификация. На основе идентификации/аутентификации при обмене информацией устанавливается авторизация субъекта, в результате чего ему предоставляются определенные права. В банковской сфере: «Авторизация – разрешение, предоставленное эмитентом для проведения операций с использованием банковской карты и порождающее его обязательство по исполнению представленных документов, составленных с использованием банковской карты» [5].

Методы авторизации могут быть разными, например, менее или более «строгими», что наглядно проявляется при предоставлении государственных и муниципальных услуг в электронном виде. Многие услуги предоставляются при использовании, условно говоря, известных не строгих методов авторизации. Для волеизъявления и изменения своих прав необходимы более строгие методы авторизации, поскольку волеизъявления, изменение прав и персональных данных могут оказать влияние не только на гражданина, выступающего субъектом отношений, но и на других членов общества.

При анализе применимости тех или иных механизмов идентификации/аутентификации (ИА) для ЭлПр важен не столько выбор типа идентификатора, сколько обоснование того, какие именно услуги можно предоставить гражданину, идентифицировавшемуся тем или иным способом.

Действительно, многие граждане уже имеют средства идентификации – ими могут быть любые банковские пластиковые карты, социальные карты, универсальная электронная карта, USB-идентификаторы, TM-идентификаторы, отпечатки пальцев, номер мобильного телефона, логин и пароль e-mail и многие другие. Пользуясь идентификацией на основе этих средств, граждане получают немало услуг, и эти услуги зачастую весьма значимы. В частности, можно управлять своим счётом.

По-иному дело обстоит тогда, когда гражданин обращается в государственные или муниципальные органы. Для того чтобы получить водительское удостоверение, диплом, зарегистрировать собственность, нужен паспорт. Информационные ресурсы (ИР) в системах ЭлПр – государственные или муниципальные ИР, и «своими» для любого гражданина они являются лишь в части персональных данных.

Самым крупным оператором персональных данных (ПДн) сегодня является ЭлПр, инфраструктура которого предназначена в первую очередь для обеспечения взаимодействия граждан и должностных лиц. Важно обратить внимание, что взаимодействие гражданина и АИС ЭлПр общего доступа должно обеспечиваться в открытой коммуникационной среде. А, стало быть, проблема обеспечения информационной безопасности ПДн в АИС ЭлПр должна решаться в коммуникационных средах, доступных неопределённому кругу лиц. Поэтому такая базовая характеристика процессов информационного взаимодействия, как доверие, приобретает особое значение.

Комплексы оказания услуг различного уровня должны быть представлены в СМЭВ в виде электронных сервисов и обеспечивать необходимый набор требований, установленный нормативными правовыми актами. При этом частные модели угроз безопасности ПДн создаются в соответствии с методическими документами ФСТЭК России и включают перечень угроз безопасности ПДн с оценкой их актуальности для конкретного оператора. На основе разработанных моделей угроз ПДн формируются организационно-технические требования к АИС ПДн.

Наиболее уязвимыми в настоящее время с точки зрения защиты ПДн являются АИС муниципального уровня в силу ряда известных причин, в первую очередь, потому, что эти ИС должны были в соответствии с № 210-ФЗ от 2010 г. подключиться к СМЭВ с 1 июля 2012 г., а многие органы и организации не смогли обеспечить своевременную подготовку этого подключения. Нам представляется, что для эффективного и быстрейшего решения проблемы подключения названных ИС следует использовать имеющиеся типовые методы и средства.

Как уже было отмечено выше, волеизъявление (понимаемое как изменение правоотношений), изменение прав и персональных данных фиксируется в информационной системе только при предъявлении документов, то есть сведений, снабженных реквизитами, фиксирующими факты, в этих сведениях содержащиеся. Важнейшим реквизитом является подпись.

Подлинность подписи на бумаге устанавливается визуальными, приборными и криминалистическими методами. Цель – убедиться в достоверности волеизъявления гражданина. В цифровом мире роль подписи выполняет криптографическое преобразование - электронная подпись (ЭП). При этом достоверность ЭП обеспечивается доверенной средой выполнения процедуры подписи, и поэтому достоверной ЭП является только та ЭП, которая устанавливается на доверенном компьютере. Недостаточно использовать сертифицированные средства ЭП, необходимо также, чтобы компьютер был доверенным. Выполнение этого требования контролируется процедурами проверки правильности встраивания.

Компьютер может быть доверенным лишь в том случае, если осуществляется доверенная загрузка проверенной ОС и обеспечивается изолированность программной среды. Обычно для этого используется аппаратный модуль доверенной загрузки (АМДЗ) – сложное и недешевое устройство. Альтернативой является организация доверенного сеанса связи, то есть проверенная ОС, и минимальный набор ПО загружается со специального носителя, гарантирующего целостность своего содержимого, например, СОДС «МАРШ!», о котором речь уже шла выше. Цена такого решения в разы меньше, чем при использовании АМДЗ.

Для нужд ЭлПр могут применяться различные методы ИА. Человек вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получать данные из системы. По-иному обстоит дело с включением данных в состав системы ЭлПр. Источник этих данных должен быть зафиксирован, следовательно, они должны быть подписаны, значит, должны поступать из доверенной системы. Из доверенной системы должны поступать: регистрационные данные и данные об изменении параметров регистрации (персональных данных); данные, содержащие волеизъявление граждан; данные об изменении прав; данные, содержащие сведения о юридических фактах. Все эти данные должны быть подписаны в доверенных системах или в доверенных сеансах.

Известно, что ЭП использует ключ подписи (КП), который не должен быть никому известен, поскольку именно он обеспечивает свойства электронного документа (ЭД), связанные с тем, что снабдить документ ЭП может только его автор или владелец. Отсюда необходимость сохранности КП и его минимального присутствия в системе (в буквальном смысле!) на протяжении всего жизненного цикла КП. Минимальное присутствие КП в системе может быть обеспечено, если ЭП реализуется в отдельном устройстве, не имеющим общей памяти с другими элементами системы взаимодействия. Таким недорогим, удобным для использования и эффективным USB-устройством на рынке информационной безопасности является, например, средство электронной подписи (СЭП) «МАРШ!».

Таким образом, если обеспечивается доверенное взаимодействие, то могут предоставляться любые услуги; если доверенное взаимодействие не обеспечивается, то могут предоставляться только те услуги, риски по которым допустимы для системы ЭлПр или приемлемы для гражданина.

Только в доверенной среде взаимодействуют с системами ЭлПр смежные подсистемы и должностные лица.

Должностные лица используют компьютеры, снабженные АМДЗ, или используют СОДС.

Если АМДЗ или СОДС используют граждане, то они имеют полный доступ к услугам.

Во всех остальных случаях граждане регистрируются на защищенных терминалах ЭлПр (инфоматах, банкоматах, почте и т.д.). При регистрации указывается выбираемый гражданином механизм идентификации и согласовывается тот перечень услуг, который может быть при этом получен.

Для реализации описанного подхода необходимо: перечислить все возможные услуги ЭлПр гражданам; классифицировать их на услуги информирования и доверенные; услуги информирования классифицировать по степеням важности, с тем чтобы поставить в соответствие различным идентификаторам различные (пересекающиеся и даже расширяемые) группы услуг; систему ИА проектировать с учетом наличия доверенного взаимодействия и возможности предоставления различных наборов услуг гражданам, вплоть до полного набора услуг. Для организации доверенного взаимодействия пункты доступа должны быть в защищенном исполнении. Для наиболее активных категорий граждан целесообразно использовать технологию ДСС.

Вне подсистемы реализации используется (отчуждается) ключ проверки (КПр) ЭП, который оформляется в виде сертификата или иным образом, подтверждающим связь КП-КПр. Это следующий основополагающий принцип реализации ЭП – принцип однозначной связи ключа подписи и ключа проверки. Совместно с принципом обеспечения сохранности КП, принцип однозначной связи КП-КПр обеспечивает целостность связи «человек–ключ подписи–ключ проверки».

Актуальна проблема противодействия целевой компрометации КП. Здесь необходимо обеспечить условия, при которых воздействие методами социальной инженерии (обман, давление, подкуп, шантаж и др.) не приводило бы к выделению КП из системы, его отчуждению и передаче третьим лицам.

Проблема противодействия целевой компрометации решается изолированностью КП, его неизвлекаемостью из контейнера, в котором КП хранится. Действительно, в том случае, когда КП изолирован в отдельном устройстве, его отчуждение, передача третьим лицам невозможны. Тем самым снимается и нагрузка с владельца ЭП, который не может подвергаться внесистемным методам воздействия для компрометации ЭП. Таким образом, формулируется принцип изолированности КП.

Очень важен принцип связи КП с должностными обязанностями владельца ключа. Этот принцип носит динамический характер (должностные полномочия изменяются во время жизни ключа). Поэтому принцип связи КП с должностными обязанностями должен контролироваться не только при регистрации ключевой пары, а при всех основных транзакциях. Значит, в системе должен присутствовать Реестр должностных лиц, в котором отражается актуальное состояние должностных лиц, правомочий и полномочий.

Применение ЭП обеспечивается специальными средствами и технологиями, которые в совокупности называются PKI – PublicKeyInfrastructure, инфраструктура публичных ключей. В российской традиции применяется аббревиатура ИОК – инфраструктура открытых ключей.

В ИОК должна быть предоставлена человеку возможность выбора уместного и удобного способа взаимодействия. [6]

Реализация сформулированных выше принципов позволяет создавать предпосылки для реализации доверенного, защищенного, безопасного взаимодействия гражданина и компьютерных систем информационного общества.

Как уже было отмечено во Введении важнейшей частью архитектуры ЭлПр, обеспечивающей защищенную интеграцию, является Федеральная государственная информационная система «Единая система идентификации и аутентификации» (ЕСИА). Она реализует однозначную идентификацию участников электронного взаимодействия (с учетом объема их прав). В ее регистры должна быть включена информация об участниках взаимодействия федерального, регионального и уровня местного самоуправления. На основе взаимодействия с ЕСИА обеспечивается санкционированный доступ к информации и сервисам АИС с использованием простых ЭП и (или) усиленных квалифицированных ЭП.

Масштабное участие граждан в получении банковских услуг в электронной форме требует также создания надежной системы идентификации. Очевидно, что мало какой банк сможет создать только для себя такую систему. В связи с этим мы уже выдвигали идею о создании Национального оператора идентификации (НОИ) клиентов банков, видя, что его было бы целесообразно создать при Ассоциации российских банков (АРБ) или Ассоциации региональных банков «Россия». [7] В АРБ нашу инициативу в целом поддержали. НОИ – это структура вроде Национального платежного совета на рынке безналичных транзакций или Национального бюро кредитных историй (НБКИ) на рынке бюро кредитных историй. Оператор будет идентифицировать пользователей интернет- и мобильных банковских сервисов, а после процедуры идентификации перенаправлять клиента в конкретный банк. НОИ полностью возьмет на себя связанные с процедурой идентификации риски (как поступают страховые компании). Ответственность за мошеннические атаки и «пропуск» недобросовестных пользователей также будет нести Оператор. НОИ мог бы предоставлять банкам совершенно необходимую услугу по идентификации клиентов за относительно небольшую плату.

При общественном обсуждении предлагаемой идеи о создании НОИ [8] высказывались заслуживающие внимание точки зрения на процесс создания НОИ. Например, подчеркивалось, что подобные системы должны развиваться постепенно. Сначала могут быть созданы группами банков несколько «локальных» операторов. А затем несколько квазиединых операторов.

С нашей точки зрения создание НОИ находится в одном концептуальном русле с созданием ЕСИА.

Непрерывность бизнес-процессов

Проблема обеспечения непрерывности бизнеса является ключевой для организации, оказывающей услуги населению в электронной форме, поскольку ее успешная деятельность во многом зависит от ее возможностей гарантировать заявителям (клиентам) постоянное выполнение своих обязательств и ее готовности в случае наступления чрезвычайных обстоятельств оперативно и без потерь решать необходимые вопросы сервиса.

Например, учитывая важность проблемы непрерывности бизнеса в банках, ЦБ РФ Указанием от 05.03.2009 № 2194-У внес дополнения в Положение ЦБ РФ от 16. 12.2003 № 242-П, которые включают «Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановлению деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения».

Следует отметить, что в передовых странах: США, Великобритания, Япония и др. еще с середины прошлого века начала формироваться развитая правовая база по проблеме непрерывности бизнес-процессов. Основное внимание возможности возникновения чрезвычайных ситуаций в США и Европе уделяется угрозам терроризма, а в Японии - угрозам стихийных бедствий.

Понятие «непрерывность бизнес-процессов» весьма многоаспектное. Оно включает защиту информации, ее восстановление, требования к скорости реализации сервисов, защиту репутации организации, защиту инфраструктуры (в первую очередь, IT – инфраструктуры), защиту зданий и сооружений организации, обеспечение безопасности сотрудников и т.д. Сегодня в России главное внимание в обеспечении непрерывности бизнес-процессов уделяется надежности технологических систем, но надо иметь в виду, что также большое значение имеют правовые и социально-экономические факторы.

Для решения задач непрерывности представляется наиболее эффективным использование центров обработки данных (ЦОД): основных, резервных, в том числе арендованных (аутсорсинг), обеспеченных современной системой ИБ. Эффективное функционирование современных ЦОД реализуется в результате использования технологий виртуализации, консолидации, облачных вычислений [9].

В настоящее время наблюдается значительный рост российского рынка облачных услуг. В 2012 г. он вырос более чем на 70% и составил 208,9 млн долларов. Ожидается, что в 2013-2017 годах рост этого рынка превысит 40%. Лидерами публичных облачных сервисов по объему продаж стали компании Salesforce – в сегменте SaaS (Software as a Service), Microsoft - в сегменте PaaS (Platform as a Service), Amazon - в категории IaaS (Infrastructure as a Service). Что касается IaaS, то бурное заполнение этого рынка в России обусловлено большим отставанием проникновения в нашу страну виртуализации по сравнению с США и Западной Европой [10].

Строить сегодня ЦОД — мощный мировой тренд. Важно, чтобы услуги ЦОД при обеспечении непрерывности бизнес-процессов широко появились на рынке, а не только в регламентах.

Клиенты хотят недорогих услуг, позволяющих им получать доступ: к аудио- и видеоконтенту с современным уровнем качества (потоковое видео и видеофайлы с качеством FullHD, Skype, YouTube, сервисы интернет-кинотеатров и т.д.); к играм (в том числе онлайн, и тоже с высоким качеством видео); к интернет-торговле с обеспечением должного уровня информационной безопасности; к возможностям безопасного управления банковским счетом; к видеоконференциям в различных вариантах (в частности, интервью с представителями органов государственной власти, телемедицинские консультации, дистанционное образование); к обработке персональных данных; к информационным системам, обрабатывающим защищаемые данные; к госуслугам в электронном виде.

При этом нельзя забывать о высоком уровне «цифрового неравенства», как в возможности доступа к интернету, так и с клиентскими компьютерами — далеко не каждый может купить себе современный игровой компьютер с мощным видеоускорителем.

Для того чтобы ожидания клиента не были обмануты, нужно обеспечить: высокое качество услуг связи; недорогие, но полнофункциональные клиентские компьютеры; достаточный уровень защищенности информации [11].

ЦОД должен быть надежно защищен. Защита строится с учетом виртуализации на базе VMware или на базе Hyper-V. Например, для защиты инфраструктуры виртуализации VMware предназначен Программно-аппаратный комплекс (ПАК) «Аккорд-В». Он обеспечивает защиту всех компонентов среды виртуализации. Система защиты «Аккорд-В» полностью интегрируется в инфраструктуру виртуализации, поэтому для ее функционирования не требуются дополнительные серверы. При этом «Аккорд-В» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

ПАК «ГиперАккорд» предназначен для инфраструктур виртуализации на базе системы Microsoft Hyper-V. Интерфейс управления аналогичен ПАК «Аккорд-В» и поэтому необходимость переучивания управляющего персонала минимальная [11].

Интенсивное строительство ЦОДов в мире, особенно больших и сверхбольших, вызвало необходимость создать программно–аппаратный комплекс, обеспечивающий контроль и управление всеми подсистемами инфраструктуры ЦОД в реальном режиме времени. Такой комплекс был создан и получил название Data Center Infrastructure Management (DCIM). DCIM позволяет прогнозировать проблемы, возникающие при эксплуатации ЦОД, что ведет к повышению отказоустойчивости ЦОД, увеличению срока их эксплуатации, улучшению экономических показателей их деятельности. DCIM – решения обеспечивают выполнение требований по реагированию в реальном режиме времени на изменение нагрузки на вычислительную и телекоммуникационную подсистемы ЦОД. Такие требования связаны и с предоставлением ЦОДом услуг с использованием виртуализации и облачных вычислений [12].

Большой интерес с нашей точки зрения заслуживает представленный компанией «Dell» мини-ЦОД для SMB и удаленных офисов - Dell PowerEdge VRTX. Решение объединяет серверы, системы хранения, сетевое оборудование и средства управления в едином корпусе и обеспечивает высокую производительность и емкость. Предназначено для малых и средних организаций и филиалов крупных предприятий [13].

Заключение

В данной статье мы остановились на трех важных направлениях обеспечения информационной безопасности при предоставлении гражданам услуг в электронной форме.

Большинство специалистов сегодня считают, что доверенная вычислительная среда является основой гарантии информационной безопасности АИС и что создаваемые АИС способны отвечать требованиям ИБ во многом благодаря доверенности к используемым программно–аппаратным средствам. Использование ДВС обозначает переход к общеметодологическим подходам обеспечения ИБ в сфере применения АИС. Основными компонентами ДВС являются: доверенная среда передачи данных с доверенным коммуникационным оборудованием, доверенные вычислительные комплексы на основе доверенных операционных сред, доверенные системы хранения информации, доверенные системы управления комплексами.

Важнейшей технологией эффективного использования ДВС является доверенный сеанс связи (ДСС). Компьютер практически всегда используется в незащищенных сетях и только иногда в защищенных.

Соответственно нужно добиваться не «тотальной» защиты, что дорого и сложно, а защиты, при которой «опасные» ресурсы разделяются и не могут использоваться совместно. Необходимый уровень защищенности компьютера обеспечивается только на те периоды времени, когда высокая защищенность действительно необходима. При этом пользователи могут выбирать на ПК обычный режим работы (без доступа к сервисам доверенной АИС) или режим ДСС, в рамках которого обеспечивается защищенная работа с сервисами АИС и поддерживаются достаточные с точки зрения ИБ условия работы с ЭлПр.

Идентифика́ция в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Для выполнения процедуры идентификации в информационной системе субъекту предварительно должен быть назначен соответствующий идентификатор (т.е. проведена регистрация субъекта в информационной системе).

Процедура идентификации напрямую связана с аутентификацией: субъект проходит процедуру аутентификации, и если аутентификация успешна, то информационная система на основе факторов аутентификации определяет идентификатор субъекта. При этом достоверность идентификации полностью определяется уровнем достоверности выполненной процедуры аутентификации.

Авторизация идентифицирует человека, позволяет администратору системы или другим пользователям опознать клиента или собеседника. Авторизация – это процедура подтверждения прав на что-либо: контент, общение и т.д.

Как уже отмечалось выше, для обеспечения санкционированного доступа участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах в рамках ЭлПр была создана (ЕСИА). Важно подчеркнуть, что ЕСИА предназначена для обеспечения: доступа пользователей к различным информационным системам без необходимости повторной регистрации на основе единых идентификационных параметров с использованием различных носителей: СНИЛС и пароль, электронная подпись, SIM-карта или смарт-карта; доступа должностных лиц государственных организаций к базовым ресурсам при межведомственном взаимодействии; взаимодействия информационных систем с использованием СМЭВ.

Среди организаций, которые вынуждены придавать первостепенное значение обеспечению непрерывности бизнес-процессов, в первую очередь необходимо назвать телекоммуникационные компании и банки. Банки при этом должны соответствовать требованиям ЦБ РФ в части разработки планов обеспечения непрерывности и восстановления деятельности в период катастроф и кризисных чрезвычайных ситуаций (ЧС). Одними из наиболее распространенных причин возникновения ЧС являются проявления внешних угроз ИБ, в первую очередь атаки хакеров. Здесь важно определить стратегию обеспечения ИБ в процессе ЧС.

С точки зрения непрерывности внимание должно быть, прежде всего, уделено критичным бизнес-процессам. В этой связи для принятия надлежащих мер первоочередным является определение того от каких ИТ-сервисов и ИБ-сервисов зависит успешность выполнения критичных бизнес-процессов.

Литература:
1. Конявский В.А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем – на старт, внимание, МАРШ! // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск, Россия), 1-4 июня 2010 г. - М., 2010.
2. Кристальный Б.В., Орлов С.В. Человек в информационном обществе// Информационное общество. – 2012. - № 6. - С. 35-49.
3. Никитин С. Мобильная безопасность: Защита мобильных устройств в корпоративной среде // Хакер. – 2011. - №5. - С. 122-126.
4. Дебаты вокруг электронного правительства. // «Connect! Мир связи». – 2010. - №4.
5. Положение № 23–П ЦБ РФ «О порядке эмиссии кредитными организациями банковских карт и осуществление расчетов по операциям, совершаемых с их использованием» от 09.04.1998г. (В ред. Указание ЦБ РФ от 28.04.2004г. № 1426-У).
6. Конявский В. Идентификация и аутентификация в информационном обществе//«BIS Journal - Информационная безопасность банков». – 2011. - №2.
7. Конявский В.А., Поспелов А.Л. Национальный оператор идентификации, или как повысить доверие клиентов к ДБО и понизить риски банков//Национальный банковский журнал. - 2013. - № 2 (105). – С.86-87.
8. Т. Аитов. Сможет ли Национальный оператор идентификации бороться со злоумышленниками? http://www.gosbook.ru/node/56662
9. Акаткин Ю.М. Сервисы и решения, обеспечивающие непрерывность бизнес-процессов в ЦОД // Национальный банковский журнал. - 2013. - № 5 (108).
10. Лютцау Д. Облака на взлете // ComNews от 26.09.2013.
11. Конявский В.А. Про ЦОД // Национальный банковский журнал. - 2013. - №7 (110). – С.82-83.
12. Корсунский А. Призрак DCIM бродит по российским дата-центрам? // ЦОДы. РФ. – 2013. - №4.
13. www.dell.ru/vrtx.