Обеспечение защиты информации в условиях проведения импортозамещения | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №28 (132) декабрь 2016 г.

Дата публикации: 15.12.2016

Статья просмотрена: 926 раз

Библиографическое описание:

Кошелев, С. О. Обеспечение защиты информации в условиях проведения импортозамещения / С. О. Кошелев, Д. С. Колесникова. — Текст : непосредственный // Молодой ученый. — 2016. — № 28 (132). — С. 31-35. — URL: https://moluch.ru/archive/132/36757/ (дата обращения: 16.12.2024).

В данной статье представлены общие сведения о политике импортозамещения в Российской Федерации, современное законодательство, регулирующее вопросы проведения импортозамещения IT-решений, а также основные виды угроз безопасности информации в условиях проведения импортозамещения и методы защиты от них.

Ключевые слова: импортозамещение, программное обеспечение (ПО), аппаратное обеспечение (АО), информационная безопасность, защита информации

 

В настоящее время широко распространено использование зарубежного программного и аппаратного обеспечения в информационных системах различного назначения: от предприятий малого бизнеса до стратегически важных государственных организаций. Проблемой в данном случае является то, что производители импортных средств информатизации имеют возможность внедрять в свои продукты недекларированные возможности (НДВ), которые в дальнейшем могут быть использованы злоумышленниками для кражи или модификации ценной информации. Вследствие этого, закупка иностранного ПО вынуждает органы власти проводить сертификацию такого ПО на отсутствие НДВ [1]. К тому же, за последние годы в условиях усиленного политического и экономического давления со стороны иностранных государств возникла острая необходимость перехода страны на независимость от зарубежных товаров и услуг. Вследствие этого был создан ряд законодательных актов, утверждающих порядок проведения импортозамещения в Российской Федерации (РФ).

В разных источниках представлено несколько определений понятий импортозамещения, но в дальнейшем под этим термином будет приниматься следующее: импортозамещение — замещение импорта товарами, произведенными отечественными производителями [2].

В соответствии с Федеральным законом (ФЗ) от 29.06.2015 № 188 [3]:

–                    нормативными правовыми актами Правительства РФ устанавливаются запрет на допуск товаров, происходящих от иностранных государств, работ, услуг, соответственно выполняемых, оказываемых иностранными лицами, и ограничения допуска указанных товаров, работ, услуг для целей осуществления госзакупок;

–                    должен быть создан единый реестр российских программ для электронных вычислительных машин и баз данных (https://reestr.minsvyaz.ru/reestr/). Данное требование было выполнено, и в настоящее время реестр ПО активно обновляется. На данный момент на сайте представлена информация о 2285 программах отечественного производителя.

Постановление Правительства от 16.11.2015 № 1236 [4] устанавливает случаи, в которых можно использовать ПО иностранного производителя (при условии наличия обоснования невозможности соблюдения запрета на допуск зарубежного ПО для госзакупок):

а)                  в реестре отсутствуют сведения о ПО, соответствующем тому же классу ПО, что и ПО, планируемое к закупке;

б)                 ПО, сведения о котором включены в реестр и которое соответствует тому же классу ПО, что и ПО, планируемое к закупке, по своим функциональным, техническим и (или) эксплуатационным характеристикам не соответствует установленным заказчиком требованиям к планируемому к закупке ПО.

Постановление Правительства от 26.09.2016 № 968 [5] определяет перечень отдельных видов радиоэлектронной продукции, происходящих из иностранных государств, в отношении которых устанавливаются ограничения и условия допуска для целей осуществления закупок для обеспечения государственных и муниципальных нужд. В данном перечне представлена как микроэлектроника (например, фоторезисторы, интегральные схемы), так и компьютерная техника (например, портативные компьютеры, кассовые терминалы, периферийные устройства), а также другие электронные устройства. Согласно данному Постановлению при госзакупках подлежат отклонению заявки, содержащие предложения о поставке радиоэлектронной продукции, происходящей из любых иностранных государств, при условии, что на участие в закупке подано не менее двух удовлетворяющих требованиям извещения и (или) документации о закупке заявок, которые одновременно:

  1.                Содержат предложения о поставке радиоэлектронной продукции, включенной в перечень и производимой на территории России (с 1 сентября 2018 года также могут рассматриваться предложения о поставке радиоэлектронной продукции, производимой на территории государств-членов Евразийского экономического союза);
  2.                Не содержат предложений о поставке одного и того же вида радиоэлектронной продукции одного производителя.

Федеральный закон от 31.12.2014 № 531 [6] устанавливает, что технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации (например, серверы сайтов государственных и муниципальных организаций должны находиться на территории РФ, что в реальности встречается редко — отсюда вытекают проблемы). Также, данный ФЗ вносит изменения в Кодекс административных правонарушений (КоАП), дополняя последний статьей о нарушении требования о размещении на территории Российской Федерации технических средств информационных систем. Нарушение данной статьи КоАП влечет наложение административного штрафа в размере:

–                    от 3000 до 5000 рублей на должностных лиц;

–                    от 30000 до 50000 рублей на юридических лиц.

Согласно плану импортозамещения ПО, представленному в Приказе Минкомсвязи России от 01.04.2015 № 96 [7], к 2025 году планируется сократить долю импорта антивирусного ПО и программного обеспечения информационной безопасности до 40 % (рис. 1).

Рис. 1. План импортозамещения ПО в области защиты информации

 

Требования, касающиеся импортозамещения ПО, вполне реализуемы, так как уже существуют отечественные прикладные системы ПО, например:

–                    Системы электронного документооборота (зарубежные СЭД, как, например, «Microsoft SharePoint» или EMC «Documentum» могут заменяться на российские: «1С: Документооборот», «ДЕЛО» и др.);

–                    Системы управления предприятиями ERP — Enterprise resource planning (отечественные продукты: «1С: ERP», «Борлас», «Галактика» и др.);

–                    Системы управления базами данных (например, широко используемый в организациях программный продукт иностранного производства Oracle предлагается заменять на отечественный — СУБД Postgres Pro);

–                    Средства обеспечения информационной безопасности (антивирусное ПО: «Dr. Web», продукты «Лаборатории Касперского»; средства защиты информации от несанкционированного доступа: «Secret Net», «Dallas Lock»; средства криптографической защиты: «Континент», «КриптоПро», «ViPNet»; средства доверенной загрузки: программно-аппаратный комплекс «Соболь»).

В части системного ПО, а именно — операционных систем (ОС), на данный момент ведутся разработки (например, успешные продукты представлены компанией «ALT Linux», которые уже внесены в реестр отечественного ПО), но пока переход от популярных среди русского населения зарубежных ОС (Microsoft Windows, Apple Mac Os X) не представляется возможным, так как предстоит крупномасштабное обучение всех пользователей работе с новой ОС.

В случае аппаратного обеспечения российскому производителю проблематично составить конкуренцию иностранным товарам. Но при этом существуют отечественные IT-компании, занимающиеся разработкой компьютерной техники и микропроцессоров: «Байкал Электроникс» (телекоммуникации, настольные персональные компьютеры, средства промышленной автоматики, серверы), «МЦСТ» — Московский центр SPARC-технологий (микропроцессоры, микроконтроллеры и управляющие вычислительные комплексы; известен разработкой супер-ЭВМ «Эльбрус»), «Мультиклет» (промышленные системы, высокопроизводительные вычисления, нейросети, распознавание образов) [8]. Тем не менее, рынок электронной промышленности в нашей стране на данный момент развит слабо, но к его совершенствованию и развитию уже есть предпосылки.

Ввиду запланированного перехода на использование сервисов и услуг отечественных IT и интернет-компаний и в дополнение к существующим угрозам, к актуальным следует отнести следующие угрозы (рис. 2), согласно банку данных угроз безопасности информации ФСТЭК (Федеральная служба по техническому и экспортному контролю) [9]:

Рис. 2. Угрозы безопасности информации при переходе на отечественные IT-решения

 

Для защиты от представленных угроз предлагается комплекс мер:

 

Таблица 1

Угрозы безопасности и меры защиты от них

Угроза

Меры по защите

1. Внедрение вредоносного кода.

–                    Установка сертифицированных средств защиты информации от несанкционированного доступа;

–                    Установка межсетевых экранов (МЭ), средств обнаружения вторжений (СОВ);

–                    Установка антивирусного ПО;

–                    Защита информационных ресурсов при их передаче по каналам связи (применение методов шифрования);

–                    Проверка на отсутствие НДВ в случае, если используется зарубежное ПО.

2. Некорректная конфигурация оборудования и программных компонентов.

–                    Привлечение организаций с соответствующим опытом;

–                    Повышение квалификации ответственного персонала.

3. Перехват ключевой или аутентифицирующей информации.

–                    Установка сертифицированных средств защиты информации от несанкционированного доступа;

–                    Защита информационных ресурсов при их передаче по каналам связи (применение методов шифрования);

–                    Установка межсетевых экранов (МЭ), средств обнаружения вторжений (СОВ).

4. Хранение информационных массивов в незащищенных областях.

–                    Установка межсетевых экранов (МЭ);

–                    Защита информационных ресурсов с применением методов шифрования;

–                    Создание резервных копий данных;

–                    Установка средств анализа защищенности информационных систем.

5. Предоставление доступа к информационным системам сотрудникам сторонних организаций.

–                    Определение порядка доступа посторонних лиц и сторонних организаций к информационным ресурсам предприятия (журналы учета доступа);

–                    Оформление допуска сотрудникам сторонних организаций к информационным системам на основе предварительно заключенного контракта о проведении работ на предприятии;

–                    Заключение договора со сторонней организацией о неразглашении конфиденциальной информации.

6. Несанкционированный доступ на этапе развертывания системы.

–                    Установка сертифицированных средств защиты информации от несанкционированного доступа;

–                    Определение порядка доступа посторонних лиц и сторонних организаций к информационным ресурсам предприятия (журналы учета доступа);

–                    Установка средств анализа защищенности информационных систем;

–                    Установка средств анализа уязвимостей информационных систем.

7. Утрата информационных носителей и оборудования.

–                    Учет носителей и оборудования (ведение журналов);

–                    Опечатывание оборудования (например, системных блоков);

–                    Меры по предотвращению физического доступа лиц, не имеющих права доступа на территорию контролируемой зоны предприятия (охрана границ контролируемой зоны, видеонаблюдение).

 

Таким образом, на основе проведенного исследования можно сделать вывод о том, что процесс перехода на отечественное аппаратное и программное обеспечение влечет за собой появление новых угроз безопасности информации. В момент перехода информационная система является наиболее уязвимой, вследствие чего необходимо принятие дополнительных мер, чтобы снизить или устранить риски в процессе мероприятий по импортозамещению.

 

Литература:

 

  1.                Решение председателя Гостехкомиссии России от 4.06.1999 г. № 114. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
  2.                Импортозамещение // Википедия. URL: https://ru.wikipedia.org/wiki/Импортозамещение
  3.                Федеральный закон от 29.06.2015 № 188-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статью 14 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
  4.                Постановление Правительства РФ от 16.11.2015 № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
  5.                Постановление Правительства РФ от 26.09.2016 № 968 «Об ограничениях и условиях допуска отдельных видов радиоэлектронной продукции, происходящих из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
  6.                Федеральный закон от 31.12.2014 № 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона «Об информации, информационных технологиях и о защите информации» и Кодекс Российской Федерации об административных правонарушениях».
  7.                Приказ Минкомсвязи России от 01.04.2015 № 96 «Об утверждении плана импортозамещения программного обеспечения».
  8.                Российские микропроцессоры сегодня: начало пути — Cnews // Интернет-издание о высоких технологиях — Cnews. URL: http://www.cnews.ru/articles/2016–07–21_rossijskie_mikroprotsessory_nachalo_puti
  9.                Банк данных угроз безопасности информации ФСТЭК // Банк данных угроз безопасности информации. URL: http://bdu.fstec.ru/
Основные термины (генерируются автоматически): радиоэлектронная продукция, ERP, Российская Федерация, система, аппаратное обеспечение, информационная безопасность, метод шифрования, программное обеспечение, сертифицированное средство защиты информации, компьютерная техника.


Похожие статьи

Особенности информационной безопасности в нефтедобывающих компаниях: аспект импортозамещения

Проведен анализ современных рисков и угроз в области информационной безопасности предприятий топливно-энергетического комплекса; рассмотрены современные возможности использования различных систем для обеспечения информационной безопасности предприяти...

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Современные инновационные технологии в туристической отрасли

В данной статье раскрываются и систематизируются основные информационные технологии, которые влияют на эффективное развитие индустрии туризма. Рассмотрены преимущества применения инновационных технологий в сфере туризма.

Реализация информационной безопасности на предприятии в условиях Индустрии 4.0

В статье рассмотрены механизмы управления информационной безопасностью на предприятии, влияние информационных технологий (ИТ) на информационную безопасность.

Перспективы реализации политики импортозамещения на отечественном фармацевтическом рынке

В статье проанализированы фундаментальные аспекты обеспечения социально-экономической безопасности страны в области лекарственного обеспечения, посредством реализации политики импортозамещения. Выявлены ключевые проблемы снижения зависимости от импор...

Правовое обеспечение информационной безопасности Республики Казахстан

Статья посвящена правовому обеспечению информационной безопасности в Республике Казахстан. В данной статье рассматриваются приоритетные направления информационно-технических угроз, в том числе борьба с киберпреступностью, а также пути совершенствован...

Выявление проблем и предложения по их решению для оборонных предприятий в условиях импортозамещения

В данной статье рассмотрены проблемы, возникающие в сфере оборонной промышленности в связи с необходимостью импортозамещения сырья и материалов, используемых на предприятиях, для обеспечения необходимого и максимально высокого уровня качества готовой...

Разработка политики безопасности предприятия, занимающегося разработкой программного обеспечения

В статье рассмотрены различные подходы к разработке политики безопасности предприятия, занимающегося разработкой программного обеспечения, а также ключевые моменты создания политики безопасности.

Применение информационных технологий в таможенном деле

В статье рассматриваются эффективность внедрения и реализации информационных технологий в деятельность ФТС России, их значимость, а также отмечаются проблемы и риски их применения.

Похожие статьи

Особенности информационной безопасности в нефтедобывающих компаниях: аспект импортозамещения

Проведен анализ современных рисков и угроз в области информационной безопасности предприятий топливно-энергетического комплекса; рассмотрены современные возможности использования различных систем для обеспечения информационной безопасности предприяти...

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Современные инновационные технологии в туристической отрасли

В данной статье раскрываются и систематизируются основные информационные технологии, которые влияют на эффективное развитие индустрии туризма. Рассмотрены преимущества применения инновационных технологий в сфере туризма.

Реализация информационной безопасности на предприятии в условиях Индустрии 4.0

В статье рассмотрены механизмы управления информационной безопасностью на предприятии, влияние информационных технологий (ИТ) на информационную безопасность.

Перспективы реализации политики импортозамещения на отечественном фармацевтическом рынке

В статье проанализированы фундаментальные аспекты обеспечения социально-экономической безопасности страны в области лекарственного обеспечения, посредством реализации политики импортозамещения. Выявлены ключевые проблемы снижения зависимости от импор...

Правовое обеспечение информационной безопасности Республики Казахстан

Статья посвящена правовому обеспечению информационной безопасности в Республике Казахстан. В данной статье рассматриваются приоритетные направления информационно-технических угроз, в том числе борьба с киберпреступностью, а также пути совершенствован...

Выявление проблем и предложения по их решению для оборонных предприятий в условиях импортозамещения

В данной статье рассмотрены проблемы, возникающие в сфере оборонной промышленности в связи с необходимостью импортозамещения сырья и материалов, используемых на предприятиях, для обеспечения необходимого и максимально высокого уровня качества готовой...

Разработка политики безопасности предприятия, занимающегося разработкой программного обеспечения

В статье рассмотрены различные подходы к разработке политики безопасности предприятия, занимающегося разработкой программного обеспечения, а также ключевые моменты создания политики безопасности.

Применение информационных технологий в таможенном деле

В статье рассматриваются эффективность внедрения и реализации информационных технологий в деятельность ФТС России, их значимость, а также отмечаются проблемы и риски их применения.

Задать вопрос