Состояние ИБ в деятельности органов государственного и хозяйственного управления, органов государственной власти на местах
6 марта 2019
Рубрика: Обзоры и мнения.
Автор: .

Одной из важ­нейших задач защиты информации является, координация деятельности органов государственного и хозяйственного управления, органов государственной власти на местах, предприятий, учреждений и организаций неза­висимо от формы собственности в области обеспечения информационной безопасности Республики Узбекистан.

Состояние обеспечения информационной безопасности в Республике Узбекистан определяется в ходе различных анализов и исследований со стороны уполномоченных органов в сфере ИКТ и ИБ, включая Центр.

Одним из таких элементов анализа является оценка состояния внедрения информационно-коммуникационных технологий в сфере безопасности в Республике Узбекистан. Данная оценка проводится в соответствии постановления Кабинета Министров РУз от 31.12.2013 г. № 355. По результатам проведённой оценки составляются соответствующие аналитические справки, которые направляются в вышестоящие инстанции.

На сегодняшний день в Республике Узбекистан действуют 136 органов государственного и хозяйственного управления, а также органы государственной власти на местах. Для оценки деятельности органов по развитию и внедрению ИКТ и ИБ они были включены в систему «ict.nis.uz».

При анализе данной системы чаще всего выявляются нижеследующие недостатки:

— имеющиеся Политики ИБ, до настоящего времени не разработаны по методике разработки Политики ИБ организации и не согласованы с уполномоченными органами;

— проведение экспертизы состояния ИБ в сметах организации не предусматривается;

— имеющиеся серверные помещения не соответствуют стандартам и руководящим документам.

Согласно данным системы «ict.nis.uz», количество специалистов в 110 организациях составляет: 3878 по ИКТ и 467 по ИБ.

В основном подразделения ИКТ и ИБ имеются в центральных органах республиканского масштаба, так в ходе последних исследований выяснено, что в 61% организаций имеют подразделения по ИБ. В большинстве организаций вопросами защиты конфиденциальных данных занимается отдел ИКТ, либо непосредственно руководитель.

16% организаций осуществляют защиту с помощью DLP-систем, 23% используют другие способы защиты данных (от архивации данных до Active Directory), остальные опрошенные не используют технические средства для защиты информации или не могут ответить, какие именно. Кроме того, в некоторых организациях имеются нерешенные вопросы обеспечения информационной безопасности, в целом приводящим к утечке данных организации. Чаще всего утечки информации происходили по вине рядовых сотрудников, системных администраторов и руководителей.

Чаще всего утечка информации или заражение вирусом происходит именно с рабочих станций сотрудников организаций. Для достижения цели злоумышленники используют специальные программы-вирусы и спамы, а также используют рекламные объявления. Слабое знания сотрудников организации по защите информации приводит к раскрытию информации о логинах и паролях, а также банковских карточек и счетов. Злоумышленник без особого труда похищает денежные средства, фирменные секреты и ноу-хау организаций и компаний, становятся обладателями коммерческих тайн, а также сведений, которые в дальнейшем можно использовать для дискредитации и шантажа.

В Республике Узбекистан возникают угрозы информационной безопасности в следствии нижеперечисленных обстоятельств:

Невнимательность и халатность сотрудников приводит к нарушению системы обеспечения информационной безопасности организации.

Для нормализации ситуации необходимо:

— организовать работу с персоналом по соблюдению «Политики ИБ» организации;

— организовать семинары и встречи сотрудников с привлечением специалистов по ИБ.

Использование не лицензионных ПО. Руководители организации пытаются сэкономить на покупке лицензионного ПО. Но многие руководители организации не знают, что нелицензионные программы не обеспечивают защиту данных от мошенников, заинтересованных в краже информации с помощью вирусов.

Обладатель нелицензионного ПО не получает технической поддержки, своевременных обновлений, предоставляемых компаниями-разработчиками.

Вредоносные программы (вирусы). В последние годы существенно увеличилась их частота и уровень ущерба. По мнению экспертов, это можно объяснить появлением новых каналов проникновения вирусов. На первом месте по-прежнему остается почта, как показывает практика, вирусы способны проникать и через программы обмена сообщениями. Увеличилось и количество объектов для возможных вирусных атак. Если раньше атакам подвергались в основном серверы стандартных веб-служб, то сегодня вирусы способны воздействовать и на межсетевые экраны, коммутаторы, мобильные устройства, маршрутизаторы и.т.д.

Обеспечение информационной безопасности в госорганах должно осуществляться комплексно, сразу по нескольким направлениям. Среди средств информационной защиты можно выделить:

Физические средства защиты информации. К ним относятся ограничение или полный запрет доступа посторонних лиц на территорию, пропускные пункты, оснащенные специальными системами. Большое распространение получили HID-карты для контроля доступа.

Базовые средства защиты электронной информации. Это незаменимый компонент обеспечения информационной безопасности организации. К ним относятся многочисленные антивирусные программы, а также системы фильтрации электронной почты, защищающие пользователя от нежелательной или подозрительной корреспонденции. Кроме того, необходима организация дифференцированного доступа к информации и систематическая смена паролей.

Резервное копирование данных. Это решение, подразумевающее хранение важной информации не только на конкретном компьютере, но и на других устройствах: внешнем носителе или сервере.

План аварийного восстановления данных. Крайняя мера защиты информации после потери данных. Такой план необходим каждой организации для того, чтобы в максимально сжатые сроки устранить риск простоя и обеспечить непрерывность бизнес-процессов. В нем обязательно должна быть предусмотрена возможность введения аварийного режима работы на период сбоя, а также все действия, которые должны быть предприняты после восстановления данных. Сам процесс восстановления следует максимально отработать с учетом всех изменений системы.

Шифрование данных при передаче информации в электронном формате. Чтобы обеспечить конфиденциальность информации при ее передаче в электронном формате применяются различные виды шифрования. Шифрование дает возможность подтвердить подлинность передаваемой информации, защищать ее при хранении на открытых носителях и других информационных ресурсов организации от несанкционированного копирования и использования.

Как показали исследования и опыт практических решений, проблема обеспечения информационной безопасности информационных систем, систем и сетей телекоммуникаций в органах государственного и хозяйственного управления, государственной власти на местах является весьма сложной. Для решения этой проблемы требуется не просто осуществление некоторой совокупности научно-технических и организационных мероприятий, применение специфических средств и методов защиты, но и создание целостной системы обеспечения информационной безопасности, базирующейся на стройной организации и регулярном управлении и систематического повышения уровня квалификации сотрудников всех министерств и ведомств.

Анализ международного опыта правового обеспечения ИБ показывает, что разработка этой проблемы в мировом сообществе идет в основном по следующим направлениям: защита прав личности в информационной сфере, защита государственных интересов, защита предпринимательской и финансовой деятельности, защита информации от компьютерных преступлений.

Таким образом, в аспекте проблемы обеспечения информацион­ной безопасности государственных органов, задача повышения их эффективности, предо­ставления ими государственных услуг, межведомственных взаимодей­ствий и внутренней организации должна решаться на основе целого комплекса мероприятий. Это, во-первых, модернизация системы ин­формационного обеспечения; во-вторых, создание элементов элек­тронного правительства, включая обеспечение информационной от­крытости деятельности органов государственного и хозяйственного управления; в-третьих, развитие систем электронного документооборота; в-четвертых, это расширение набора услуг, предоставляемых в электронной форме; и, наконец, необходимо создание общегосударственных информацион­ных ресурсов. И, конечно же, одним из важнейших аспектов эффективной деятельности организации в сфере обеспе­чения информационной безопасности является привлечение професси­онально подготовленных управленческих кадров, способных применять и активно использовать в своей практической деятельности новые информационные технологии.

А. Абдуллаев,
Начальник отдела по координации подразделений органов государственного и хозяйственного управления

Источник

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте