На пленарном заседании конференции «Infobez-Expo/Инфобезопасность 2010», прошедшей в начале октября в Москве, активно обсуждались проблемы обеспечения информационной безопасности при формировании в России электронного правительства. Как отметил советник генерального директора компании «Элвис-Плюс» Олег Беззубцев, до сих пор остается открытым вопрос о создании единой методологии формирования электронного правительства и защиты информации его институтов. Повис в воздухе и вопрос установления единых организационно-технических требований к формированию электронного правительства и необходимых ему средств защиты информации.
Следствием этого, по словам докладчика, являются проблемы с защитой информации, которые российские министерства и ведомства испытывают уже сейчас и которые в дальнейшем будут только нарастать. Например, в правовом смысле не полностью урегулированы вопросы защиты информации, составляющей служебную тайну, а также открытых сведений, подмена, искажение или уничтожение которых может нанести ущерб интересам конкретных людей, организациям, обществу или государству в целом. Согласно руководящим документам ФСТЭК, служебная тайна до принятия соответствующего закона должна защищаться так же, как информация с грифом «секретно». Отсюда следует, что служебная информация не может находиться в тех же информационных системах, что и открытая. А потому в ИТ-системах, строящихся для обеспечения деятельности электронного правительства, «информации может фактически не оказаться».
Что касается защиты открытых сведений от подмены, уничтожения или искажения, то Беззубцев напомнил, что в нашей стране этот вопрос пока вообще не рассматривался (в США, для сравнения, он был урегулирован еще в 1987 году). И наконец, поскольку все законодательство об архивном деле ориентировано на хранение исключительно бумажных документов, то в сегодняшних правовых реалиях после обмена электронными документами последние придется распечатывать и сдавать в архив.
Чтобы электронное правительство начало эффективно действовать, нужно принять множество нормативных актов, в частности согласовать положения законопроектов «Об организации предоставления государственных и муниципальных услуг» и «Об электронной подписи», касающиеся информационной безопасности и персональных данных. Необходимо также уточнить сферы компетенции федеральных органов исполнительной власти в области информационной безопасности.
Говоря о методологическом обеспечении работы электронного правительства, Беззубцев подчеркнул необходимость разработать единую методику оценки угроз для объектов информатизации, входящих в электронное правительство.
Поскольку разные органы власти находятся на различных стадиях информатизации, то, по мнению представителей «Элвис-Плюс», на начальном этапе система информационной безопасности должна строиться для каждого органа автономно, но обязательно на основе единых принципов и единой архитектуры, чтобы обеспечить согласованную работу в дальнейшем.
Заместитель начальника Центра безопасности связи ФСБ Алексей Кузьмин отметил, что для выработки модели угроз в системах, оперирующих персональными данными, может оказаться достаточно соответствующих методических рекомендаций ФСБ. Беззубцев подтвердил, что методика ФСБ хорошая, проблема лишь в том, что она предназначена для защиты именно персональных данных. Если бы на обложке этого документа было написано «Для электронного правительства», то не возникало бы вопросов в сфере обеспечения безопасности.