Безопасность при использовании электронного правительства

Условием бесперебойного функционирования системы электронного правительства является обеспечение необходимого и достаточного уровня информационной безопасности его компонентов. Выявление угроз информационной безопасности, обеспечение надежного противостояния, ликвидация неблагоприятных последствий нарушений защиты, регулярная оценка защищенности компонентов инфраструктуры, выявление новых угроз и своевременная модернизация систем защиты реализуются с помощью системы обеспечения информационной безопасности инфраструктуры электронного правительства. Использование информационных систем порождает риски. Риск можно рассматривать как получение непредвиденных или не ожидаемых в данном конкретном случае негативных результатов.

Все риски можно разделить на:

– информационные, не порождающие правовых и материальных (финансовых) последствий;

– бизнес-риски, порождающие правовые и/или материальные последствия или последствия, которые в конечном счете будут сведены к правовым и материальным.

Возможность «потери» юридической значимости электронных данных – риск, который может существенно повлиять на все результаты применения информационной системы. Возможность оценки рисков позволяет определить степень доверия к информации, содержащейся в системе. Исходя из разделения документа на форму и содержание, можно также подразделять и риски на нарушение формы (риск искажения заложенной технологии обработки информации) и нарушение содержания (риск искажения смысла применения системы, когда все технологические нюансы соблюдены, но результат не тот, которого ожидали).

Типовыми источниками угроз можно назвать следующие:

– сознательные действия по вскрытию средств защиты;

– ошибки персонала;

– сознательные действия разработчиков («логические бомбы», backdoors);

– ошибки и сбои информационных систем;

– выход из строя частей аппаратных комплексов;

– влияние внешних техногенных факторов.

В связи с тем, что юридические документы переложены в электронный вид, возникает проблема защиты этих документов от искажения, утраты и т. п. Средства защиты обычного документа не зависят от содержания, так же как содержание не влияет на используемые средства защиты.

Защита носителя – печать, подпись, бланк, спецбумага, водяные знаки, вкрапления и др.

Защита содержания носителем – невозможность исправления, целостность носителя. Проверка подлинности документа осуществляется контролем защитных средств носителя (сверка с эталоном) и отсутствием нарушений целостности носителя.

Защита электронного документа – это защита процессов: защита содержания как упорядоченности, защита технологий, инвариантных к защищаемой информации, и очень редко защита конкретного носителя и запрет копирования.

Защита информации используется в системах документооборота для снижения уровня угроз и сокращения перечня возможных угроз. Речь идет об угрозах всех уровней, и прежде всего не случайных (типа отказа техники), а типовых. Все угрозы с точки зрения системы документооборота можно разделить на четыре типа:

– угрозы по отношению к соблюдению конфиденциальности информации;

– угрозы по отношению к соблюдению целостности информации, в том числе соблюдению целостности документа;

– угрозы по отношению к соблюдению технологии обработки (в том числе соблюдению условий юридической значимости действий);

– угрозы отказа в обслуживании.

Основными техническими и технологическими методами защиты являются следующие:

– шифрование (секретность, целостность);

– хэш-функции, контрольные суммы, помехоустойчивое кодирование (целостность);

– средства идентификации и аутентификации (в том числе аппаратные, биометрические);

– реализация моделей управления доступом: мандатная и дискреционная;

– сертификация;

– использование аналогов собственноручной подписи;

– протоколирование действий (пользователей и автоматических процессов).

Как основное средство для проверки подлинности документа, составленного в электронном виде, используется электронная цифровая подпись, о которой говорится в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Необходимо отметить, что эффективная система защиты электронного правительства должна интегрировать разнородные средства защиты информации, необходимые для нейтрализации угроз безопасности всех ее компонентов, в единую взаимосвязанную среду, обеспечивающую выполнение целевых задач по информационной безопасности, вытекающих из моделей угроз и моделей нарушений, общесистемной политики безопасности и частных разделов политики безопасности.