Безопасность при использовании электронного правительства
Условием бесперебойного функционирования системы электронного правительства является обеспечение необходимого и достаточного уровня информационной безопасности его компонентов. Выявление угроз информационной безопасности, обеспечение надежного противостояния, ликвидация неблагоприятных последствий нарушений защиты, регулярная оценка защищенности компонентов инфраструктуры, выявление новых угроз и своевременная модернизация систем защиты реализуются с помощью системы обеспечения информационной безопасности инфраструктуры электронного правительства. Использование информационных систем порождает риски. Риск можно рассматривать как получение непредвиденных или не ожидаемых в данном конкретном случае негативных результатов.
Все риски можно разделить на:
– информационные, не порождающие правовых и материальных (финансовых) последствий;
– бизнес-риски, порождающие правовые и/или материальные последствия или последствия, которые в конечном счете будут сведены к правовым и материальным.
Возможность «потери» юридической значимости электронных данных – риск, который может существенно повлиять на все результаты применения информационной системы. Возможность оценки рисков позволяет определить степень доверия к информации, содержащейся в системе. Исходя из разделения документа на форму и содержание, можно также подразделять и риски на нарушение формы (риск искажения заложенной технологии обработки информации) и нарушение содержания (риск искажения смысла применения системы, когда все технологические нюансы соблюдены, но результат не тот, которого ожидали).
Типовыми источниками угроз можно назвать следующие:
– сознательные действия по вскрытию средств защиты;
– ошибки персонала;
– сознательные действия разработчиков («логические бомбы», backdoors);
– ошибки и сбои информационных систем;
– выход из строя частей аппаратных комплексов;
– влияние внешних техногенных факторов.
В связи с тем, что юридические документы переложены в электронный вид, возникает проблема защиты этих документов от искажения, утраты и т. п. Средства защиты обычного документа не зависят от содержания, так же как содержание не влияет на используемые средства защиты.
Защита носителя – печать, подпись, бланк, спецбумага, водяные знаки, вкрапления и др.
Защита содержания носителем – невозможность исправления, целостность носителя. Проверка подлинности документа осуществляется контролем защитных средств носителя (сверка с эталоном) и отсутствием нарушений целостности носителя.
Защита электронного документа – это защита процессов: защита содержания как упорядоченности, защита технологий, инвариантных к защищаемой информации, и очень редко защита конкретного носителя и запрет копирования.
Защита информации используется в системах документооборота для снижения уровня угроз и сокращения перечня возможных угроз. Речь идет об угрозах всех уровней, и прежде всего не случайных (типа отказа техники), а типовых. Все угрозы с точки зрения системы документооборота можно разделить на четыре типа:
– угрозы по отношению к соблюдению конфиденциальности информации;
– угрозы по отношению к соблюдению целостности информации, в том числе соблюдению целостности документа;
– угрозы по отношению к соблюдению технологии обработки (в том числе соблюдению условий юридической значимости действий);
– угрозы отказа в обслуживании.
Основными техническими и технологическими методами защиты являются следующие:
– шифрование (секретность, целостность);
– хэш-функции, контрольные суммы, помехоустойчивое кодирование (целостность);
– средства идентификации и аутентификации (в том числе аппаратные, биометрические);
– реализация моделей управления доступом: мандатная и дискреционная;
– сертификация;
– использование аналогов собственноручной подписи;
– протоколирование действий (пользователей и автоматических процессов).
Как основное средство для проверки подлинности документа, составленного в электронном виде, используется электронная цифровая подпись, о которой говорится в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Необходимо отметить, что эффективная система защиты электронного правительства должна интегрировать разнородные средства защиты информации, необходимые для нейтрализации угроз безопасности всех ее компонентов, в единую взаимосвязанную среду, обеспечивающую выполнение целевых задач по информационной безопасности, вытекающих из моделей угроз и моделей нарушений, общесистемной политики безопасности и частных разделов политики безопасности.