Обеспечение защиты информации в условиях проведения импортозамещения | Статья в журнале «Молодой ученый»

Авторы: ,

Рубрика: Информатика

Опубликовано в Молодой учёный №28 (132) декабрь 2016 г.

Дата публикации: 15.12.2016

Статья просмотрена: 166 раз

Библиографическое описание:

Кошелев С. О., Колесникова Д. С. Обеспечение защиты информации в условиях проведения импортозамещения // Молодой ученый. — 2016. — №28. — С. 31-35. — URL https://moluch.ru/archive/132/36757/ (дата обращения: 25.09.2018).

В данной статье представлены общие сведения о политике импортозамещения в Российской Федерации, современное законодательство, регулирующее вопросы проведения импортозамещения IT-решений, а также основные виды угроз безопасности информации в условиях проведения импортозамещения и методы защиты от них.

Ключевые слова: импортозамещение, программное обеспечение (ПО), аппаратное обеспечение (АО), информационная безопасность, защита информации

 

В настоящее время широко распространено использование зарубежного программного и аппаратного обеспечения в информационных системах различного назначения: от предприятий малого бизнеса до стратегически важных государственных организаций. Проблемой в данном случае является то, что производители импортных средств информатизации имеют возможность внедрять в свои продукты недекларированные возможности (НДВ), которые в дальнейшем могут быть использованы злоумышленниками для кражи или модификации ценной информации. Вследствие этого, закупка иностранного ПО вынуждает органы власти проводить сертификацию такого ПО на отсутствие НДВ [1]. К тому же, за последние годы в условиях усиленного политического и экономического давления со стороны иностранных государств возникла острая необходимость перехода страны на независимость от зарубежных товаров и услуг. Вследствие этого был создан ряд законодательных актов, утверждающих порядок проведения импортозамещения в Российской Федерации (РФ).

В разных источниках представлено несколько определений понятий импортозамещения, но в дальнейшем под этим термином будет приниматься следующее: импортозамещение — замещение импорта товарами, произведенными отечественными производителями [2].

В соответствии с Федеральным законом (ФЗ) от 29.06.2015 № 188 [3]:

–                    нормативными правовыми актами Правительства РФ устанавливаются запрет на допуск товаров, происходящих от иностранных государств, работ, услуг, соответственно выполняемых, оказываемых иностранными лицами, и ограничения допуска указанных товаров, работ, услуг для целей осуществления госзакупок;

–                    должен быть создан единый реестр российских программ для электронных вычислительных машин и баз данных (https://reestr.minsvyaz.ru/reestr/). Данное требование было выполнено, и в настоящее время реестр ПО активно обновляется. На данный момент на сайте представлена информация о 2285 программах отечественного производителя.

Постановление Правительства от 16.11.2015 № 1236 [4] устанавливает случаи, в которых можно использовать ПО иностранного производителя (при условии наличия обоснования невозможности соблюдения запрета на допуск зарубежного ПО для госзакупок):

а)                  в реестре отсутствуют сведения о ПО, соответствующем тому же классу ПО, что и ПО, планируемое к закупке;

б)                 ПО, сведения о котором включены в реестр и которое соответствует тому же классу ПО, что и ПО, планируемое к закупке, по своим функциональным, техническим и (или) эксплуатационным характеристикам не соответствует установленным заказчиком требованиям к планируемому к закупке ПО.

Постановление Правительства от 26.09.2016 № 968 [5] определяет перечень отдельных видов радиоэлектронной продукции, происходящих из иностранных государств, в отношении которых устанавливаются ограничения и условия допуска для целей осуществления закупок для обеспечения государственных и муниципальных нужд. В данном перечне представлена как микроэлектроника (например, фоторезисторы, интегральные схемы), так и компьютерная техника (например, портативные компьютеры, кассовые терминалы, периферийные устройства), а также другие электронные устройства. Согласно данному Постановлению при госзакупках подлежат отклонению заявки, содержащие предложения о поставке радиоэлектронной продукции, происходящей из любых иностранных государств, при условии, что на участие в закупке подано не менее двух удовлетворяющих требованиям извещения и (или) документации о закупке заявок, которые одновременно:

  1.                Содержат предложения о поставке радиоэлектронной продукции, включенной в перечень и производимой на территории России (с 1 сентября 2018 года также могут рассматриваться предложения о поставке радиоэлектронной продукции, производимой на территории государств-членов Евразийского экономического союза);
  2.                Не содержат предложений о поставке одного и того же вида радиоэлектронной продукции одного производителя.

Федеральный закон от 31.12.2014 № 531 [6] устанавливает, что технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации (например, серверы сайтов государственных и муниципальных организаций должны находиться на территории РФ, что в реальности встречается редко — отсюда вытекают проблемы). Также, данный ФЗ вносит изменения в Кодекс административных правонарушений (КоАП), дополняя последний статьей о нарушении требования о размещении на территории Российской Федерации технических средств информационных систем. Нарушение данной статьи КоАП влечет наложение административного штрафа в размере:

–                    от 3000 до 5000 рублей на должностных лиц;

–                    от 30000 до 50000 рублей на юридических лиц.

Согласно плану импортозамещения ПО, представленному в Приказе Минкомсвязи России от 01.04.2015 № 96 [7], к 2025 году планируется сократить долю импорта антивирусного ПО и программного обеспечения информационной безопасности до 40 % (рис. 1).

Рис. 1. План импортозамещения ПО в области защиты информации

 

Требования, касающиеся импортозамещения ПО, вполне реализуемы, так как уже существуют отечественные прикладные системы ПО, например:

–                    Системы электронного документооборота (зарубежные СЭД, как, например, «Microsoft SharePoint» или EMC «Documentum» могут заменяться на российские: «1С: Документооборот», «ДЕЛО» и др.);

–                    Системы управления предприятиями ERP — Enterprise resource planning (отечественные продукты: «1С: ERP», «Борлас», «Галактика» и др.);

–                    Системы управления базами данных (например, широко используемый в организациях программный продукт иностранного производства Oracle предлагается заменять на отечественный — СУБД Postgres Pro);

–                    Средства обеспечения информационной безопасности (антивирусное ПО: «Dr. Web», продукты «Лаборатории Касперского»; средства защиты информации от несанкционированного доступа: «Secret Net», «Dallas Lock»; средства криптографической защиты: «Континент», «КриптоПро», «ViPNet»; средства доверенной загрузки: программно-аппаратный комплекс «Соболь»).

В части системного ПО, а именно — операционных систем (ОС), на данный момент ведутся разработки (например, успешные продукты представлены компанией «ALT Linux», которые уже внесены в реестр отечественного ПО), но пока переход от популярных среди русского населения зарубежных ОС (Microsoft Windows, Apple Mac Os X) не представляется возможным, так как предстоит крупномасштабное обучение всех пользователей работе с новой ОС.

В случае аппаратного обеспечения российскому производителю проблематично составить конкуренцию иностранным товарам. Но при этом существуют отечественные IT-компании, занимающиеся разработкой компьютерной техники и микропроцессоров: «Байкал Электроникс» (телекоммуникации, настольные персональные компьютеры, средства промышленной автоматики, серверы), «МЦСТ» — Московский центр SPARC-технологий (микропроцессоры, микроконтроллеры и управляющие вычислительные комплексы; известен разработкой супер-ЭВМ «Эльбрус»), «Мультиклет» (промышленные системы, высокопроизводительные вычисления, нейросети, распознавание образов) [8]. Тем не менее, рынок электронной промышленности в нашей стране на данный момент развит слабо, но к его совершенствованию и развитию уже есть предпосылки.

Ввиду запланированного перехода на использование сервисов и услуг отечественных IT и интернет-компаний и в дополнение к существующим угрозам, к актуальным следует отнести следующие угрозы (рис. 2), согласно банку данных угроз безопасности информации ФСТЭК (Федеральная служба по техническому и экспортному контролю) [9]:

Рис. 2. Угрозы безопасности информации при переходе на отечественные IT-решения

 

Для защиты от представленных угроз предлагается комплекс мер:

 

Таблица 1

Угрозы безопасности и меры защиты от них

Угроза

Меры по защите

1. Внедрение вредоносного кода.

–                    Установка сертифицированных средств защиты информации от несанкционированного доступа;

–                    Установка межсетевых экранов (МЭ), средств обнаружения вторжений (СОВ);

–                    Установка антивирусного ПО;

–                    Защита информационных ресурсов при их передаче по каналам связи (применение методов шифрования);

–                    Проверка на отсутствие НДВ в случае, если используется зарубежное ПО.

2. Некорректная конфигурация оборудования и программных компонентов.

–                    Привлечение организаций с соответствующим опытом;

–                    Повышение квалификации ответственного персонала.

3. Перехват ключевой или аутентифицирующей информации.

–                    Установка сертифицированных средств защиты информации от несанкционированного доступа;

–                    Защита информационных ресурсов при их передаче по каналам связи (применение методов шифрования);

–                    Установка межсетевых экранов (МЭ), средств обнаружения вторжений (СОВ).

4. Хранение информационных массивов в незащищенных областях.

–                    Установка межсетевых экранов (МЭ);

–                    Защита информационных ресурсов с применением методов шифрования;

–                    Создание резервных копий данных;

–                    Установка средств анализа защищенности информационных систем.

5. Предоставление доступа к информационным системам сотрудникам сторонних организаций.

–                    Определение порядка доступа посторонних лиц и сторонних организаций к информационным ресурсам предприятия (журналы учета доступа);

–                    Оформление допуска сотрудникам сторонних организаций к информационным системам на основе предварительно заключенного контракта о проведении работ на предприятии;

–                    Заключение договора со сторонней организацией о неразглашении конфиденциальной информации.

6. Несанкционированный доступ на этапе развертывания системы.

–                    Установка сертифицированных средств защиты информации от несанкционированного доступа;

–                    Определение порядка доступа посторонних лиц и сторонних организаций к информационным ресурсам предприятия (журналы учета доступа);

–                    Установка средств анализа защищенности информационных систем;

–                    Установка средств анализа уязвимостей информационных систем.

7. Утрата информационных носителей и оборудования.

–                    Учет носителей и оборудования (ведение журналов);

–                    Опечатывание оборудования (например, системных блоков);

–                    Меры по предотвращению физического доступа лиц, не имеющих права доступа на территорию контролируемой зоны предприятия (охрана границ контролируемой зоны, видеонаблюдение).

 

Таким образом, на основе проведенного исследования можно сделать вывод о том, что процесс перехода на отечественное аппаратное и программное обеспечение влечет за собой появление новых угроз безопасности информации. В момент перехода информационная система является наиболее уязвимой, вследствие чего необходимо принятие дополнительных мер, чтобы снизить или устранить риски в процессе мероприятий по импортозамещению.

 

Литература:

 

  1.                Решение председателя Гостехкомиссии России от 4.06.1999 г. № 114. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
  2.                Импортозамещение // Википедия. URL: https://ru.wikipedia.org/wiki/Импортозамещение
  3.                Федеральный закон от 29.06.2015 № 188-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статью 14 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
  4.                Постановление Правительства РФ от 16.11.2015 № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
  5.                Постановление Правительства РФ от 26.09.2016 № 968 «Об ограничениях и условиях допуска отдельных видов радиоэлектронной продукции, происходящих из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
  6.                Федеральный закон от 31.12.2014 № 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона «Об информации, информационных технологиях и о защите информации» и Кодекс Российской Федерации об административных правонарушениях».
  7.                Приказ Минкомсвязи России от 01.04.2015 № 96 «Об утверждении плана импортозамещения программного обеспечения».
  8.                Российские микропроцессоры сегодня: начало пути — Cnews // Интернет-издание о высоких технологиях — Cnews. URL: http://www.cnews.ru/articles/2016–07–21_rossijskie_mikroprotsessory_nachalo_puti
  9.                Банк данных угроз безопасности информации ФСТЭК // Банк данных угроз безопасности информации. URL: http://bdu.fstec.ru/
Основные термины (генерируются автоматически): радиоэлектронная продукция, Российская Федерация, ERP, система, метод шифрования, сертифицированное средство защиты информации, программное обеспечение, информационная безопасность, аппаратное обеспечение, компьютерная техника.


Ключевые слова

Информационная безопасность, защита информации, импортозамещение, программное обеспечение (ПО), аппаратное обеспечение (АО)

Похожие статьи

Программно-аппаратные средства защиты автоматизированных...

Рис. 1. Программно-аппаратное средства защиты автоматизированных систем от НСД.

– Некачественное программное обеспечение. – Преднамеренная кража информации с защищенного компьютера, и дальнейшее ее распространение.

Обеспечение информационной безопасности предприятия от...

Современное состояние обеспечение информационной безопасности в мире находится на высоком уровне. Однако, несмотря на это ежедневно требуется совершенствовать механизмы защиты, так как текущие средства обеспечения ИБ подвержены взлому.

Технологии и методы обеспечения комплексной защиты...

Ключевые слова: комплексная система защиты информации, несанкционированный доступ, программно-аппаратные меры защиты информации, информационные системы. Комплексная система защиты информации (КСЗИ) — совокупность организационных...

Методы и средства обеспечения безопасности | Статья...

Это статья рассказывает о способах и методах защиты информации от несанкционированного доступа. О методах обеспечения безопасности в информационной сфере.

Современные технологии защиты информации... | Молодой ученый

В статье рассматривается проблема обеспечения защищенности информации в распределённых информационных системах и безопасности таких систем, построенных на базе современных, высокоскоростных, компьютерных сетей.

Методика оценки эффективности применения средств и способов...

Под СВТ будем понимать совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем [5]. Информационная безопасность (далее — ИБ) и защита информации (далее — ЗИ)...

Проблемы информационной безопасности при использовании...

Проанализирована проблема нарушения информационной безопасности в ERP-системе.

Ключевые слова: ERP-система, риск, угроза, защита информации, злоумышленник, атака.

- эксплуатация уязвимостей шифрования или аутентификации

Внедрение средств защиты информации при проектировании...

Функции шифрования встраиваются в прикладное программное обеспечение

В.Шаньгин Информационная безопасность и защита информации: ДМК Пресс, 2017.

Современные аналитические методы защиты информации корпоративных систем.

Обеспечение безопасности информационных систем

Суть криптографии заключается в шифровании данных с помощью определенных программ.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Программно-аппаратные средства защиты автоматизированных...

Рис. 1. Программно-аппаратное средства защиты автоматизированных систем от НСД.

– Некачественное программное обеспечение. – Преднамеренная кража информации с защищенного компьютера, и дальнейшее ее распространение.

Обеспечение информационной безопасности предприятия от...

Современное состояние обеспечение информационной безопасности в мире находится на высоком уровне. Однако, несмотря на это ежедневно требуется совершенствовать механизмы защиты, так как текущие средства обеспечения ИБ подвержены взлому.

Технологии и методы обеспечения комплексной защиты...

Ключевые слова: комплексная система защиты информации, несанкционированный доступ, программно-аппаратные меры защиты информации, информационные системы. Комплексная система защиты информации (КСЗИ) — совокупность организационных...

Методы и средства обеспечения безопасности | Статья...

Это статья рассказывает о способах и методах защиты информации от несанкционированного доступа. О методах обеспечения безопасности в информационной сфере.

Современные технологии защиты информации... | Молодой ученый

В статье рассматривается проблема обеспечения защищенности информации в распределённых информационных системах и безопасности таких систем, построенных на базе современных, высокоскоростных, компьютерных сетей.

Методика оценки эффективности применения средств и способов...

Под СВТ будем понимать совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем [5]. Информационная безопасность (далее — ИБ) и защита информации (далее — ЗИ)...

Проблемы информационной безопасности при использовании...

Проанализирована проблема нарушения информационной безопасности в ERP-системе.

Ключевые слова: ERP-система, риск, угроза, защита информации, злоумышленник, атака.

- эксплуатация уязвимостей шифрования или аутентификации

Внедрение средств защиты информации при проектировании...

Функции шифрования встраиваются в прикладное программное обеспечение

В.Шаньгин Информационная безопасность и защита информации: ДМК Пресс, 2017.

Современные аналитические методы защиты информации корпоративных систем.

Обеспечение безопасности информационных систем

Суть криптографии заключается в шифровании данных с помощью определенных программ.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Программно-аппаратные средства защиты автоматизированных...

Рис. 1. Программно-аппаратное средства защиты автоматизированных систем от НСД.

– Некачественное программное обеспечение. – Преднамеренная кража информации с защищенного компьютера, и дальнейшее ее распространение.

Обеспечение информационной безопасности предприятия от...

Современное состояние обеспечение информационной безопасности в мире находится на высоком уровне. Однако, несмотря на это ежедневно требуется совершенствовать механизмы защиты, так как текущие средства обеспечения ИБ подвержены взлому.

Технологии и методы обеспечения комплексной защиты...

Ключевые слова: комплексная система защиты информации, несанкционированный доступ, программно-аппаратные меры защиты информации, информационные системы. Комплексная система защиты информации (КСЗИ) — совокупность организационных...

Методы и средства обеспечения безопасности | Статья...

Это статья рассказывает о способах и методах защиты информации от несанкционированного доступа. О методах обеспечения безопасности в информационной сфере.

Современные технологии защиты информации... | Молодой ученый

В статье рассматривается проблема обеспечения защищенности информации в распределённых информационных системах и безопасности таких систем, построенных на базе современных, высокоскоростных, компьютерных сетей.

Методика оценки эффективности применения средств и способов...

Под СВТ будем понимать совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем [5]. Информационная безопасность (далее — ИБ) и защита информации (далее — ЗИ)...

Проблемы информационной безопасности при использовании...

Проанализирована проблема нарушения информационной безопасности в ERP-системе.

Ключевые слова: ERP-система, риск, угроза, защита информации, злоумышленник, атака.

- эксплуатация уязвимостей шифрования или аутентификации

Внедрение средств защиты информации при проектировании...

Функции шифрования встраиваются в прикладное программное обеспечение

В.Шаньгин Информационная безопасность и защита информации: ДМК Пресс, 2017.

Современные аналитические методы защиты информации корпоративных систем.

Обеспечение безопасности информационных систем

Суть криптографии заключается в шифровании данных с помощью определенных программ.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Программно-аппаратные средства защиты автоматизированных...

Рис. 1. Программно-аппаратное средства защиты автоматизированных систем от НСД.

– Некачественное программное обеспечение. – Преднамеренная кража информации с защищенного компьютера, и дальнейшее ее распространение.

Обеспечение информационной безопасности предприятия от...

Современное состояние обеспечение информационной безопасности в мире находится на высоком уровне. Однако, несмотря на это ежедневно требуется совершенствовать механизмы защиты, так как текущие средства обеспечения ИБ подвержены взлому.

Технологии и методы обеспечения комплексной защиты...

Ключевые слова: комплексная система защиты информации, несанкционированный доступ, программно-аппаратные меры защиты информации, информационные системы. Комплексная система защиты информации (КСЗИ) — совокупность организационных...

Методы и средства обеспечения безопасности | Статья...

Это статья рассказывает о способах и методах защиты информации от несанкционированного доступа. О методах обеспечения безопасности в информационной сфере.

Современные технологии защиты информации... | Молодой ученый

В статье рассматривается проблема обеспечения защищенности информации в распределённых информационных системах и безопасности таких систем, построенных на базе современных, высокоскоростных, компьютерных сетей.

Методика оценки эффективности применения средств и способов...

Под СВТ будем понимать совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем [5]. Информационная безопасность (далее — ИБ) и защита информации (далее — ЗИ)...

Проблемы информационной безопасности при использовании...

Проанализирована проблема нарушения информационной безопасности в ERP-системе.

Ключевые слова: ERP-система, риск, угроза, защита информации, злоумышленник, атака.

- эксплуатация уязвимостей шифрования или аутентификации

Внедрение средств защиты информации при проектировании...

Функции шифрования встраиваются в прикладное программное обеспечение

В.Шаньгин Информационная безопасность и защита информации: ДМК Пресс, 2017.

Современные аналитические методы защиты информации корпоративных систем.

Обеспечение безопасности информационных систем

Суть криптографии заключается в шифровании данных с помощью определенных программ.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Задать вопрос