ПОСОБИЕ ИНФОРМАТИКА
.pdf38
ного самоуправления, взаимодействия гражданского общества и бизнеса с органами государственной власти, в том числе создание«электронного правительства» и обеспечение эффективного межведомственного и межрегионального информационного обмена.
д) Противодействие использованию ИКТ с целью создания угрозы национальным интересам России.
2.3.2 В Общих положениях «Стратегии развития отрасли ИТ», от-
расль информационных технологий определенакак совокупность российских компаний, разрабатывающих тиражное программное обеспечение, предоставляющих услуги в сфере информационных технологий, разрабатывающих аппаратно-программные комплексы с высокой добавленной стоимостью программной части, осуществляющих удаленную обработку и предоставление информации, в том числе в сети Интернет.
Там же отмечено, что развитие отрасли информационных технологий является одним из важнейших факторов, способствующих решению ключевых задач государственной политики Российской Федерации. Некоторые из этих задач: увеличение числа новых высокопроизводительных рабочих мест до 25 миллионов к 2020 году; увеличение в доли продукции высокотехнологичных и наукоемких отраслей экономики в валовом внутреннем продукте; развитие информационных технологий в образовании; повышение размера реальной заработной платы и увеличение доли высококвалифицированных работников; снижение зависимости экономики страны от сырьевого экспорта за счет увеличения экспорта продукции отрасли информационных технологий до 11 млрд. долларов США; повышение производительности труда за счет ускоренного внедрения информационных технологий в важнейшие сферы экономики; улучшение инвестиционного климата в России; переход к новому постиндустриальному технологическому укладу общества. В частности, реализация «Стратегии развития отрасли информационных технологий» предполагает увеличение количества высокотехнологичных рабочих мест в российской отрасли информационных технологий с 300 тысяч в 2012 году до 700 тысяч к 2020 году, рост объема производства отечественной продукции и услуг в сфере информационных технологий с 270 до 620 млрд. рублей.
В разделе II «Состояние и перспективные направления развития отрасли информационных технологий» «Стратегии развития отрасли ИТ» сказано что, с одной стороны, этапы качественного развития большинства отраслей и государственного управления, конкурентоспособность национальной экономики связаны с внедрением и развитием информаци-
39
онных технологий, а с другой стороны, информационно - коммуникационные технологии стали неотъемлемой частью повседневной жизни граждан.
В пункте 1 этого раздела содержится характеристика современного состояния российской отрасли ИТ(некоторые числовые данные этой характеристики приведены выше). Отмечается ключевая роль системных
1
интеграторов и дистрибуторов в удовлетворении внутреннего спроса на информационные технологии. Общий объем производства программного обеспечения за 2012 год оценён на уровне, превышающем 78 млрд. рублей, из которых экспорт составил более 48 млрд. рублей (1,6 млрд. долларов США). Несмотря на сравнительно небольшой удельный вес производства программного обеспечения в ВВП страны, «из всех отраслевых сег-
ментов компании - разработчики программного обеспечения создают внутри страны максимальную добавленную стоимость». Но при этом
«Сегмент производства аппаратно-программных комплексов не получил должного развития в течение последних 20 лет и представлен во многом компаниями, занимающимися сборкой оборудования под локальными брендами зачастую из произведенных за рубежом компонентов. Уровень используемых технологий и производительность труда отстают от мировых стандартов, российские производители на мировом рынке практи-
чески не представлены». Там же содержится краткая характеристика интернет - рынка России, в частности, выручка интернет - компаний от проведения интернет - платежей и предоставления услуг по рекламе за2012 год оценена на уровне, превышающем 56 млрд. рублей. Далее даются характеристики кадровых ресурсов и структуры российской отрасли ИТ, перечисляются факторы, ограничивающие её развитие.
Пункт 2 раздела II посвящён развитию отдельных сегментов отрасли информационных технологий.
Многогранная роль ИТ в экономике государства освещена в пункте
3второго раздела.
Вкачестве экономической характеристики этой отрасли назван сравнительно низкий уровень вложений в основные средства.
Отмечено, что как экономический факторвнедрение ИТ суще-
ственно влияет на производительность труда и трудоёмкость деловых операций: темп роста отраслей, интенсивно использующих ИТ, примерно
в 1,7 раза превышает средний темп роста по экономике, интернет - бан-
1 Имеются в виду экономические субъекты, деятельность которых связана с поставкой оборудования, разработкой аппаратно-программных комплексов и оказанием услуг по созданию корпоративных информационных систем (в том числе их проектированием, внедрением и тестированием, консультированием по вопросам информатизации). Отмечается смещение акцента в их деятельности на разработку программного обеспечения и предоставление услуг по его доработке.
40
кинг позволяет сократить трудозатраты на банковское обслуживание клиентов в несколько раз. При этом развитие информационных технологий обуславливает рост производительности труда в самой этой отрасли.
Вряде развитых стран внедрение ИТ в экономику являетсяключе-
вым фактором роста ВВП на душу населения.
С точки зрения организации работы предприятия отмечены воз-
можности использования систем класса ERP (Enterprise resource planning) вообще, электронного документооборота и электронной бухгалтерии в частности, систем поддержки принятия решений, организованных вне офиса рабочих мест. На базе реализации этих возможностей планируется
повышение производительности труда в целом по экономике и более эффективное задействование потенциала удалённых территорий.
Кэкономическим задачам «Стратегии развития отрасли ИТ» отнесены повышение прозрачности принятия решений в государственном секторе, повышение прозрачности работы бизнеса, увеличение инвестици-
онной привлекательности российской экономики иснижение уровня коррупции на основе развития отрасли информационных технологий как инструмента.
Взаключение обзора роли ИТ в экономике государства сказано, что
«Отрасль информационных технологий России имеет потенциал глобальной конкурентоспособности и должна стать одной из важнейших точек роста российской экономики до 2025 года».
Пункт 4 «Роль государства в развитии отрасли информационных технологий» открывается данными рейтинга конкурентоспособности142 стран мира за 2012 год, подготовленного Всемирным экономическим форумом.
Перед государством поставлена задачареализации системного подхода к улучшению условий развития отрасли ИТи разъяснены экономические и юридические аспекты этого подхода.
В качестве государственных приоритетов перечислены информатизация основных областей экономики и развитие технологий, обеспечивающих высокую производительность труда и эффективность отраслей, дающих основной вклад в валовой внутренний продукт, что, в свою очередь, должно стимулировать технологическое развитие самой отрасли информационных технологий.
Сделано важное замечание о том, что «расширение применения информационных технологий в государственном секторе, развитие электронных услуг и инвестиции в инфраструктуру способствуют более широкому применению информационных технологий в частном секторе и станут катализатором их распространения в корпоративном секторе». В качестве примера приведено стимулирование инвестиций в корпоративные информационные системы развитием стандартов и электронных услуг
41
по обработке налоговых деклараций и платежных документов. Другой пример: «широкомасштабная реализация концепции открытых данных обеспечит базу для развития новых информационных сервисов и повышение эффективности и удобства доступа к информационным системам со стороны широких слоев населения».
В пункте 5 второго раздела перечислены принципы, цели и задачи развития отрасли информационных технологий, коррелирующие с основными положениями «Концепции долгосрочного социальноэкономического развития Российской Федерации на период до 2020 года», утверждённой распоряжением Правительства РФ от 17.11.2008 № 1662-р.
Втретьем разделе «Стратегии развития отрасли ИТ» перечислены и раскрыты основные направления её реализации: развитие кадрового потенциала и образования отрасли информационных технологий, стимулирование работы высококвалифицированных специалистов отрасли - ин формационных технологий в России, популяризация информационных технологий как сферы деятельности, улучшение институциональных условий развития отрасли информационных технологий, международное сотрудничество и поддержка экспорта, исследовательская деятельность в области информационных технологий, поддержка развития малого бизнеса, стимулирование появления лидеров отрасли информационных технологий мирового масштаба, информатизация экономики и долгосрочный заказ на информационные технологии со стороны государства, обеспечение информационной безопасности, повышение грамотности населения в области информационных технологий, статистическое обеспечение и актуализация классификаторов отрасли информационных технологий.
Вчетвёртом разделе сказано, что внешними условиями развития отрасли ИТ являются: развитие электронного документооборота, развитие широкополосного доступа в сеть «Интернет», развитие центров обработки данных на территории страны, открытие государственных данных, стимулирование внедрения решений в сфере информационных технологий в другие сектора экономики, развитие культуры адаптации инноваций в компаниях, ускоренное развитие сервис - ориентированных отраслей экономики. Там же поставлена задача завершения перехода органов государственной власти к электронному документообороту к2017 году с целью повышения уровня информатизации государственного и корпоративного секторов экономики России, запланировано развитие информационнокоммуникационной инфраструктуры образовательных учреждений.
Впятом разделе«Ожидаемые результаты реализации стратегии» предложены два основных сценария развития отрасли ИТ.
Базовый сценарий: поддержка отрасли в рамках действующих программ без учета специфики сферы информационных технологий и без комплексной координации, что обеспечит инерционное продолжение те-
42
кущих тенденций без взрывного роста российской отрасли ИТ и достижение её объёма к2020 году суммы около 410 млрд. рублей. Основные индикаторы развития отрасли ИТ для базового сценария содержатся в приложении № 1 к «Стратегии развития отрасли ИТ».
Форсированный сценарий предполагает рост объёма производства отечественной продукции в отрасли ИТ до620 млрд. рублей за увеличения объёмов разработки и реализации тиражного программного обеспечения на основе роста экономики страны и системной государственной поддержки отрасли при масштабной информатизации предприятий. Основные индикаторы развития отрасли ИТ для форсированного сценария -со держатся в приложении № 2 к «Стратегии развития отрасли ИТ».
Порядок финансирования «Стратегии развития отрасли ИТ» отражён в шестом разделе «Организационно - финансовое обеспечение реализации стратегии».
В качестве наиболее опасных рисков на пути достижения целей «Стратегии развития отрасли ИТ» в седьмом разделе отмечены: риск отсутствия слаженности действий органов власти в реализации Стратегии, риск отсутствия финансирования реализации Стратегии или нерационального использования государственных ресурсов, риск поглощения отечественных компаний мировыми лидерами отрасли информационных технологий. Там же перечислены государственные меры по минимизации этих рисков.
43
Тема 3 Основы информационной безопасности
3.1 Понятие информационной безопасности и аспекты комплексного подхода к её обеспечению.
Информационная безопасность: защищённость информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений и поддерживающей инфраструктуре. [13]
Аспекты комплексного подхода к обеспечению информационной безопасности.
3.1.1 Законодательный аспект: российские нормативные акты, международные и российские стандарты безопасности.
А) Основные российские нормативные акты.
Правовые основы информационной безопасности определены Конституцией РФ. Статья 23, пункт 2: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Статья 24, пункт 1: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Статья 29, пункт 4: «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом». Статья 55, пункт 3: «Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Некоторые ключевые положения информационного законодательства, которые входят в законодательное обеспечение информационной безопасности, содержатся в Федеральном законе от27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации». Статья 3 содержит принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации. В пунктах 2 и 3 статьи 5 приводятся категории доступа к информации и её
44
виды в зависимости от порядка её предоставления и распространения. Основы и ограничения правового режима доступа к информации представлены в статьях 8 и 9, а основы правового режима распространения, предоставления и документирования информации – в статьях 10 и 11. В статье 16 раскрыто понятие «защита информации» и введены основы правового регулирования отношений в этой сфере. Статья 17 посвящена ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.
Упомянутый в 4-м пункте статьи29 Конституции Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» устанавливает перечень и правовой режим доступа к сведениям составляющим государственную тайну, правовой статус субъектов отношений, возникающих по поводу использования этих сведений. То же, но в отношении сведений, составляющих коммерческую тайну и персональные данные устанавливается, соответственно, Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне» и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной цифровой подписи» вводит это и другие, связанные с ним понятия, определяет правовой режим использования электронной цифровой подписи и её удостоверяющую, защитную и устанавливающую функции.
Уголовный кодекс РФ и Кодекс РФ об административных правонарушениях определяют ответственность за нарушения в информационной сфере.
Трудовой кодекс РФ налагает ограничения на использование персональных данных работника, предъявляет требования к их обработке и защите.
Одним из основных подзаконных нормативных актов является Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно - телекоммуникационных сетей международного информационного обмена», направленный на всемерную защиту сведений, составляющих государственную тайну.
Постановление Правительства РФ от03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах государственной
1
власти» не являясь федеральным законом, определяет правовой статус информации ограниченного доступа, которая в некоторых документах определена как «служебная тайна».
1 Пункты 1 и 4 статьи 9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации».
45
Б) Некоторые международные и российские стандарты.
Основные понятия и определения сферы информационной безопасности, описание порядок её обеспечения в организации содержит между-
народный стандарт ISO/IES 17799:2000 (ISO: International Organization for Standardization; IES: information - exchange system).
Общие критерии безопасности информационных технологий устанавливает международный стандарт ISO 15408, регламентирующий с точки зрения безопасности все стадии разработки и эксплуатации информационных технологий и информационных систем и являющийся шагом к
обеспечению безопасности единого информационного пространства в глобальном масштабе.
В РФ установлен набор ГОСТов, определяющий как критерии защищённости информационных систем, так и порядок криптографической защиты информации. К первой группе следует отнести ГОСТ Р ИСО/МЭК 1548-12002 и ГОСТ Р ИСО/МЭК1548-2-2002, а ко второй группе отно-
сится ГОСТ Р 34.10-2001.
3.1.2Административный аспект: действия общего и специального характера, предпринимаемые руководством организации.
3.1.3Процедурный аспект: меры безопасности, закреплённые в соответствующих документах организации и реализуемые её ответственными работниками.
3.1.4Технологический аспект.
А) Технологии защиты данных: криптографические алгоритмы, технологии аутентификации.
Б) Технологии защиты межсетевого обмена данными: технологии обеспечения безопасности операционных систем, технологии межсетевых экранов, технологии создания виртуальных частных сетей(VPn – virtual private network), технологии формирования защищённых каналов передачи данных.
Здесь необходимо отметить, что эксплуатацию и модернизацию защищённых каналов связи, информационно - телекоммуникационных сетей и сегмента сети Интернет для органов государственной власти обес-
печивает Служба специальной связи и информации ФСО России.
В) Технологии предотвращения вторжений: технологии анализа защищённости и обнаружения атак, технологии защиты от вредоносных программ.
46
3.2 Направления обеспечения безопасности в информационных системах.
3.2.1Обеспечение актуальности, достоверности и защищённости данных от искажений.
3.2.2Обеспечение постоянной готовности к использованию данных, автоматизированных сервисов, средств взаимодействия и связи.
3.2.3Обеспечение конфиденциальности информации ограниченного
доступа.
3.3Упрощённая уровневая структура информационной безопасно-
сти.
3.3.1Первый уровень.
А) Разграничение доступа и авторизация. Каждому функционирующему в информационной системе субъекту ставится в соответствие набор символов, называемый идентификатором. При авторизации субъекта (то есть при предоставлении субъекту предусмотренных для него полномочий и доступа к предназначенным для него ресурсам) выполняются идентификация (распознавание субъекта по заявленному идентификатору) и аутентификация (проверка подлинности заявленного идентификатора). Действия субъекта регистрируются, что необходимо для анализа инцидентов безопасности и реагирования на них.
Б) Криптографическая защита.
Криптография (буквально: тайнопись): технология засекречивания данных и их защиты от изменений и неавторизованного доступа при передаче по каналам связи или хранении.
Шифрование: совокупность криптографических процедур и правил кодирования и раскодирования данных.
Криптоанализ: технология получения текста исходного сообщения из зашифрованного сообщения без первоначального знания ключей - ис пользуемых шифров (термин введён Уильямом Фридманом в1920 г. в книге «Элементы криптоанализа»).
Исходное сообщение: информация, подлежащая защите от несанкционированного доступа.
Зашифрованное сообщение: исходное сообщение, преобразованное так, чтобы был предотвращён несанкционированный доступ к нему.
Криптографический алгоритм: способ преобразования исходного сообщения в зашифрованное сообщение и зашифрованного сообщения в исходное сообщение.
47
а) Симметричное шифрование.
Для шифрования и дешифрования исходных сообщений используется один и тот же ключ.
Недостатки: необходимость разработки и хранения индивидуального ключа для каждой стороны при обмене информацией со многими сторонами, невозможность передачи ключа по открытым каналам связи.
Распространённые алгоритмы симметричного шифрования: AES (Advanced Encryption Standard), Blowfish, DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm).
б) Асимметричное шифрование (шифрование с открытым ключом). Используются два ключа: публичный, используемый для кодирования сообщения, и закрытый ключ, необходимый для его раскодирования.
Один из известных алгоритмов: RSA (Rivest, Shamir, Adleman). Для шифрования выбирается число n = p * q, где p и q – большие простые числа. Ключом кодирования служит числоe (encode), ключом декодирования – число d (decode), однозначно определяемое по числу e. Отображение e в d определяется разложением n = p * q. При больших p и q найти это разложение сложно.
Недостаток: низкая скорость по сравнению с технологией симметричного шифрования, что становится серьёзным осложнением при кодировании длинных сообщений.
Разработаны комбинации этих двух подходов, позволяющие, в некоторой степени, взаимно компенсировать их недостатки преимуществами друг друга. Один из таких подходов– «цифровой конверт» (digital envelope). На первом шаге генерируется ключ симметричного шифрования, называемый «ключ сессии», который будет использоваться только для одной сессии пересылки сообщений. Второй шаг: шифровка исходного сообщения с помощью ключа сессии. Третий шаг, создание цифрового конверта: кодирование ключа сессии с помощью закрытого ключа. Четвёртый шаг: передача зашифрованного исходного сообщения и цифрового конверта адресату, имеющему ключ для раскодирования цифрового конверта (ключа сессии).
в) Цифровая подпись.
Цифровая подпись (digital signature): уникальный электронный идентификатор, обеспечивающий проверку электронного документа с установлением подлинности отправителя и гарантию того, что электронный документ не был изменён с момента подписания.
Для аутентификации используется раскодирование открытым ключом. Цифровая подпись представляет собой произвольный набор символов (слово или предложение), зашифрованный с помощью секретного ключа. Для декодирования подписи с целью проверки её аутентичности используется публичный ключ.