какие есть самые грубые нарушения в сфере информационной безопасности
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
ГАРАНТ:
См. комментарии к статье 17 настоящего Федерального закона
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Информация об изменениях:
1.1. Лица, виновные в нарушении требований статьи 14.1 настоящего Федерального закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.
Информация об изменениях:
1.2. Лица, размещающие в соответствии со статьей 14.1 настоящего Федерального закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации за достоверность сведений, размещаемых в указанных системах. Лица, права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите прав субъектов персональных данных, а также за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
Информация об изменениях:
Федеральным законом от 24 ноября 2014 г. N 364-ФЗ в часть 4 статьи 17 настоящего Федерального закона внесены изменения, вступающие в силу с 1 мая 2015 г.
4. Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.
Информация об изменениях:
5. Лица, права и законные интересы которых были нарушены владельцем социальной сети в результате неисполнения им требований, установленных в статье 10.6 настоящего Федерального закона, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
ТОП-12 нарушений политики информационной безопасности (с рекомендациями по их устранению)
1. Запись пароля доступа на мониторе, компьютере и на других близко расположенных предметах
Наиболее распространенное нарушение, по мнению экспертов, в этом замечен каждый пятый сотрудник.
Памятка: Не записывайте пароль в доступных местах, не называйте пароли вслух.
2. Оставленный без присмотра компьютер
Все самые дорогостоящие средства защиты информации не помогут, если кто-то посторонний может просто воспользоваться таким компьютером с открытым доступом к информации компании.
Памятка: Требуйте от сотрудников каждый раз отлучаясь с рабочего места нажимать сочетание клавиш Win+L
3. Открытие e-mail от незнакомцев
Доверие и любопытство заложено в самой природе человека. Пришедшее на почту письмо с интригующим заголовком заставляет даже разумных и ответственных людей делать глупость – открыть файл, пришедший из непроверенного источника.
Помните, что открытие писем от незнакомцев может привести к заражению компьютера вредоносной программой. По всему миру тратятся млрд. долларов на устранение повреждений, причиненных такими вирусами.
Памятка: не открывайте письма от непроверенных адресатов
4. Простые пароли, редкая смена пароля
Часто в качестве пароля сотрудники используют простые наборы подряд идущих цифр или букв. Не соблюдается режим регулярной смены паролей. Однако экспертами установлено, что регулярная смена используемых паролей повышает надежность защиты на 30%.
Памятка: Выбирайте пароли, которые трудно подобрать; только сложные комбинации цифр и букв; регулярно меняйте пароли.
5. Потеря переносных персональных устройств
Переносные компьютеры (Notebook) могут хранить в своей памяти большие секреты компании. В силу своих небольших размеров они весьма уязвимы для потери, воровства и других противоправных действий.
Памятка: Проявляйте осторожность при обращении с переносными персональными устройствами, рассматривайте их как хранилище важных документов и предусмотрите использование программного обеспечения по контролю над доступом. Также есть ряд программных решений позволяющих исключить утечку конфиденциальной информации при утере устройства. (за бесплатной консультацией можете обратиться к нашим экспертам)
6. Излишняя болтливость
Часто разговоры на служебные темы с использованием конфиденциальной информации происходят вне служебных помещений (в столовой, лифте, в спортивном зале и т.п.), где они могут быть легко услышаны посторонними людьми.
Избегайте обсуждения служебных вопросов вне служебных помещений, при обсуждении конфиденциальных вопросов убедитесь, что вас никто не подслушивает.
Памятка: пресекайте такие случаи, пропишите в договоре о неразглашении коммерческой тайны штрафные санкции в случае выявления факта утечки конфиденциальной информации.
7. Подключение без защиты
Весьма опасны подключения к внешним сетям через модемы минуя средства защиты (Firewall и другие общие меры безопасности). Тем самым создаются предпосылки для проникновения злоумышленников в корпоративную компьютерную сеть Компании.
Памятка: Прежде чем подключиться к внешним сетям обратитесь к специалисту по защите информации для решения всех вопросов по защите информационных ресурсов Компании
8. Сокрытие фактов нарушения информационной безопасности
Вы можете плохо знать общую политику информационной безопасности, но важно четко знать, что можно, а что нельзя.
Вы обязаны незамедлительно сообщать своему руководителю обо всех фактах нарушения политики информационной безопасности, которые стали вам известны.
Памятка: Помните, что успех компании (и ваша работа также) зависят от быстроты действий по предотвращению инцидентов безопасности. Требуйте от сотрудников незамедлительно сообщать такие факты при их выявлении.
9. Запоздалая реакция на изменение среды
В общем и прикладном программном обеспечении регулярно обнаруживаются уязвимости, способные привести к инцидентам безопасности.
Памятка: Важно не откладывать соответствующие модернизации программного обеспечения на потом, поскольку это может нанести Компании серьезные убытки.
10. Личная ответственность сотрудников
Большинство инцидентов безопасности (до 80%) возникают из-за действий собственных сотрудников компании, ее партнеров и подрядчиков.
Памятка: следует помнить, что любая информация, попавшая в чужие руки, может быть использована не по назначению и способна нанести ущерб ее репутации. Все члены нашего коллектива, а также наши партнеры, должны понять важность обеспечения безопасности при обращении с информацией, которая им доверена.
11. Подключение к сети предприятия посторонних носителей информации
Большинство инцидентов безопасности возникают из-за необдуманных действий собственных сотрудников Компании. Категорически запрещается приносить на рабочее место и работать на компьютерах, включенных в сеть Компании, любые личные накопители информации (диски, флэшки и подобное).
Памятка: все члены нашего коллектива, а также наши партнеры, должны обеспечить защиту от вредоносного ПО. Пользуйтесь исключительно носителями принадлежащими Компании и прошедшими проверку на безопасность.
12. Использование «левого» ПО
Часто предприниматели экономят на лицензионном ПО и работают на пиратском. Закон принят давно и с каждым днем шансы на его активизацию нарастают. Этим может и воспользоваться недобросовестные конкуренты….
«Если в первом акте пьесы на стене висит ружьё, то в последнем акте оно непременно должно выстрелить». А. П. Чехов.
Памятка: следует знать, что сегодня разработаны множество способов получения прав владения и использования ПО на легальной основе и за разумные деньги.
Получить бесплатную консультацию от наших экспертов вы можете по тел. 8-804-333-73-17 (звонок бесплатный из любой точки России).
Прокурор разъясняет
Преступления в сфере информационных технологий включают как распространение вредоносных программ, взлом паролей, кражу номеров банковских карт и других банковских реквизитов, так и распространение противоправной информации (клеветы, материалов порнографического характера, материалов возбуждающих межнациональную и межрелигиозную вражду и т.д.) через Интернет, а также вредоносное вмешательство через компьютерные сети в работу различных систем.
В соответствии с действующим уголовным законодательством Российской Федерации под преступлением в сфере компьютерной информации понимаются совершаемые в сфере информационных процессов и посягающие на информационную безопасность деяния, предметом которых являются информация и компьютерные средства.
Ответственность за совершение указанных преступлений предусмотрена главой 28 Уголовного кодекса Российской Федерации.
По Уголовному кодексу Российской Федерации преступлениями в сфере компьютерной информации являются:
— неправомерный доступ к компьютерной информации (ст. 272 УК РФ),
— создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ),
Общественная опасность противоправных действий в области электронной техники и информационных технологий выражается в том, что они могут повлечь за собой нарушение деятельности автоматизированных систем управления и контроля различных объектов, серьезное нарушение работы ЭВМ и их систем, несанкционированные действия по уничтожению, модификации, искажению, копированию информации и информационных ресурсов, иные формы незаконного вмешательства в информационные системы, которые способны вызвать тяжкие и необратимые последствия.
Прокуратура
Московской области
Прокуратура Московской области
17 декабря 2020, 18:53
О преступлениях в сфере информационных технологий
Преступления в сфере информационных технологий включают как распространение вредоносных программ, взлом паролей, кражу номеров банковских карт и других банковских реквизитов, так и распространение противоправной информации (клеветы, материалов порнографического характера, материалов возбуждающих межнациональную и межрелигиозную вражду и т.д.) через Интернет, а также вредоносное вмешательство через компьютерные сети в работу различных систем.
В соответствии с действующим уголовным законодательством Российской Федерации под преступлением в сфере компьютерной информации понимаются совершаемые в сфере информационных процессов и посягающие на информационную безопасность деяния, предметом которых являются информация и компьютерные средства.
Ответственность за совершение указанных преступлений предусмотрена главой 28 Уголовного кодекса Российской Федерации.
По Уголовному кодексу Российской Федерации преступлениями в сфере компьютерной информации являются:
— неправомерный доступ к компьютерной информации (ст. 272 УК РФ),
— создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ),
Общественная опасность противоправных действий в области электронной техники и информационных технологий выражается в том, что они могут повлечь за собой нарушение деятельности автоматизированных систем управления и контроля различных объектов, серьезное нарушение работы ЭВМ и их систем, несанкционированные действия по уничтожению, модификации, искажению, копированию информации и информационных ресурсов, иные формы незаконного вмешательства в информационные системы, которые способны вызвать тяжкие и необратимые последствия.
Какие есть самые грубые нарушения в сфере информационной безопасности
В Российской Федерации отмечается ежегодный рост таких преступлений. Повсеместно регистрируются преступления, связанные с хищением денежных средств из банков и иных кредитных организаций, физических и юридических лиц, совершаемых с использованием современных информационно-коммуникационных технологий, ответственность за которые в зависимости от способа преступного посягательства предусмотрена ст.ст. 158, 159, 159.3, 159.6 УК РФ.
Федеральным законом от 23.04.2018 № 111-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» введена ответственность виновных лиц по статье 158 УК РФ за кражу, совершенную с банковского счета, а равно в отношении электронных денежных средств (при отсутствии признаков преступления, предусмотренного статьей 159.3 УК РФ).
Аналогичным образом, с целью усиления уголовной ответственности за противоправные действия с использованием электронных средств платежа, изменены диспозиции и санкции статей 159.3 и 159.6 УК РФ.
Зачастую в совокупности с ними совершаются преступления в сфере компьютерной информации или так называемые киберпреступления, которые на практике нередко используются в качестве инструментария завладения чужим имуществом. В целях борьбы с компьютерной преступностью в УК РФ предусмотрена ответственность за ряд специальных составов, криминализирующих такие деяния, как: неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ), а также неправомерное воздействие на критическую информационную инфраструктуру РФ (ст. 274.1 УК РФ).
Верхневилюйский район не является исключением из общей тенденции роста числа указанных криминальных посягательств. Количество подобных хищений с каждым годом увеличивается. Преступления данной категории ежедневно регистрируются правоохранительными органами области. Только за истекший 2020 год на территории района зарегистрировано 19 таких преступлений, в предыдущем году – 2.
Подавляющее большинство анализируемых хищений совершается с применением методов «социальной инженерии», то есть доступа к информации с помощью телекоммуникационных сетей для общения с потерпевшими (сотовой связи, ресурсов сети Интернет). Технология основана на использовании психологических слабостей человека и является достаточно эффективной. Например, преступник может позвонить человеку, являющемуся пользователем банковской карты (под видом сотрудника службы поддержки или службы безопасности банка), и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе или с банковским счетом, зачастую дезинформируя о его блокировке.
Распространенный характер носят хищения, связанные с другим способом обмана доверчивых граждан. Преступники, представляясь близкими родственниками (знакомыми) потерпевших, просят о передаче или перечислении электронным платежом определенной суммы денежных средств для разрешения сложившейся в их жизни неблагоприятной ситуации. К примеру, в связи с необходимостью освобождения их от уголовной ответственности. Нередко злоумышленники сами представляются сотрудниками органа правопорядка.
Дистанционные хищения совершаются посредством размещения на открытых сайтах в сети Интернет заведомо ложных предложений об услугах и продаже товаров за денежное вознаграждение, которое в дальнейшем перечисляется на банковский счет виновного лица.
Денежные средства неправомерно списываются со счетов потерпевших, когда в руки преступников попадают их мобильные телефоны с установленными на них банковскими сервисами. То же самое касается и банковских карт: похитителями совершаются покупки путем оплаты товаров бесконтактным способом, при наличии пароля доступа – деньги снимаются в банкоматах.
Социальная инженерия используется также для распространения троянских коней: эксплуатируется любопытство, либо алчность объекта атаки. Злоумышленник направляет e-mail, sms-сообщение или сообщение в мессенджере, во вложении которого содержится, например, важное обновление антивируса. Также это может быть выгодное предложение о покупке со скидкой или сообщение о фиктивном выигрыше с приложенной ссылкой при переходе по которой на устройство пользователя скачивается вредоносная программа. После чего преступник получает удаленное управление и возможность осуществления перечисления денежных средств со счета привязанной к абонентскому номеру банковской карты.
Такая техника остается эффективной, поскольку многие пользователи, не раздумывая кликают по любым вложениям или гиперсылкам. Особенно это актуально в связи с глобальной цифровизацией общества, которая затрагивает и социально уязвимые слои населения, например, пожилых людей, испытывающих сложности при освоении современной техники, а также страдающих излишней доверчивостью.
Преступники реализуют множество других способов и инструментов для завладения чужими деньгами: используют дубликаты сим-карт потерпевших, а также устройства-скиммеры, считывающие информацию, содержащуюся на магнитной полосе банковской карты для последующего изготовления ее дубликата. Рассылают в социальных сетях со взломанных страниц пользователей сообщения их знакомым с просьбами одолжить деньги, внедряют вредоносные ПО в системы юридических лиц, похищают электронные ключи и учетные записи к нему в офисах организации и т.д.
Необходимо отметить, что криминальные методы «удаленного» хищения денежных средств постоянно эволюционируют, при этом преступниками активно используются современные IT-технологии, которые зачастую просты в использовании и доступны неограниченному числу пользователей глобальной сети.
Для создания препятствий правоохранительным органам для раскрытия подобных преступлений злоумышленники: меняют сотовые телефоны, места своего нахождения; оформляют сим-карты и открывают счета в банках на подставных лиц; используют анонимные электронные кошельки и предоплаченные банковские карты, Proxy-серверы и различные программы, скрывающие фактические IP-адрес и место нахождения, привлекают лиц, не осведомленных о противоправности их действий, применяют другие способы конспирации. Это касается не только хищений, но и преступлений в сфере компьютерной информации. При этом данные преступления носят скоротечный, многоэпизодный (серийный), и трансграничный характер.
С учетом отмеченной специфики возникают значительные трудности при их раскрытии.
В целях пресечения указанных видов преступлений просим всех жителей и гостей Верхневилюйского района быть предельно внимательными при осуществлении банковских операций с использованием сети «Интернет» и мобильных телефонов. Не поддавайтесь на уловки мошенников и всегда перепроверяйте полученную информацию.
ТЕМА 1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цели и задачи изучения темы:
Оглавление:
1.1.Основные положения теории информационной безопасности информационных систем
На сегодняшний день сеть Интернет становится неотъемлемой частью ведения бизнеса, позволяющей работать с большими массивами информации и осуществлять мгновенную коммуникацию с географически разрозненными регионами. Глобальная сеть Интернет стала универсальным средством связи и общения. Вместе с тем, Интернет является очень трудно контролируемым каналом распространения информации, что приводит к тому, что средства World Wide Web нередко используются для получения несанкционированного доступа к конфиденциальной и закрытой коммерческой информации со стороны злоумышленников и различного рода мошенников. Сеть Интернет играет существенную роль и в так называемой «конкурентной» разведке – сборе сведений о действиях и планах конкурирующих организаций с целью дальнейшего ослабления их рыночных позиций. Различного рода информационные угрозы для деятельности предприятия могут создаваться как единичными мошенниками или хулиганствующими непрофессиональными субъектами, так и мощными, высокопрофессиональными организациями, задействованными в многоуровневых стратегиях конкурентной борьбы.
Специфика бизнеса, человеческий фактор, несовершенство законодательства и технические недостатки современных информационных систем обуславливают повышенный риск корпоративных информационных сетей. К основным нарушениям информационной безопасности, приносящим материальный ущерб, относятся: коммерческий шпионаж, утечки и потери информации из-за халатности сотрудников, внутренние инциденты с персоналом, компьютерные вирусы, нападения хакеров.
Ущерб, как известно, легче предотвратить, чем восполнить. С развитием информационных систем и средств их защиты одновременно совершенствуются и способы нападения со стороны злоумышленников.
Превалирующими по объему потерь преступлениями в информационной сфере являются:
При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:
Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы.
Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.
Соответственно, составляющими информационной безопасности являются:
Вкратце все это можно сформулировать следующим образом. Основными задачами информационной безопасности являются:
Все эти три задачи реализуются за счет проведения соответствующих организационных мероприятий и применения аппаратно/программных средств защиты конфиденциальной информации.
Виды противников или «нарушителей» информационной безопасности (ИБ). Среди внешних противников ИБ за последние годы существенно возросло число инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через сеть Интернет в информационные ресурсы, увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, возросло количество отказов в обслуживании, связанных с переполнением буфера при появлении «спама» в электронной почте.
Анализ структуры внутренних угроз показывает, что наиболее серьезные нарушения в области ИБ представляют такие негативные проявления человеческого фактора в работе персонала, как самовольная установка и использование нерегламентированного программного обеспечения, увеличение случаев использования оборудования и ресурсов в личных целях. Одновременно отмечается снижение количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.
1.2. Нарушения информационной безопасности
Анализ угроз ИБ. О рганизация обеспечения ИБ должна носить комплексный характер. Она должна основываться на глубоком анализе всевозможных негативных последствий. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности. Исходя из этого, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:источники угроз – уязвимость – угроза (действие) – последствия.
Источники угроз – это потенциальные антропогенные, техногенные и стихийные угрозы безопасности.
Уязвимость – это присущие объекту ИС причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта ИС, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников.
Последствия – это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.
Классификация угроз информационной безопасности
Основными угрозами информации являются :
Классификация источников угроз ИБ
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем источники угроз могут находиться как внутри ИС – внутренние источники, так и вне нее – внешние источники.
Все источники угроз информационной безопасности можно разделить на три основные группы:
Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности в ИС. Уязвимости присущие ИС, неотделимы от нее, и обуславливаются недостатками процесса функционирования, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).
Устранение или существенно ослаблен ие уя звимостей, влияет на возможности реализации угроз безопасности информации.
Существуют следующая классификация уязвимостей:
Субъективные – зависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:
Случайные – зависят от особенностей окружающей ИС среды и непредвиденных обстоятельств.
Обзор потенциальных угроз безопасности.
Территориально распределенная структура ИС создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Это разнообразие настолько велико, что не позволяет предусмотреть каждую угрозу. Поэтому анализируемые характеристики угроз надо выбирать с позиций здравого смысла, одновременно выявляя не только сами угрозы, размер потенциального ущерба, но их источники и уязвимости системы.
Для любой ИС характерны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально не была построена), реализуя тем самым угрозы ИБ.
Определим потенциальные угрозы ИБ для ИС.
Антропогенные источники угроз ИБ
В качестве антропогенного источника угроз для ИС можно рассматривать субъекта (личность), имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними, как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать различные классы уязвимостей: объективные, субъективные, случайные. Методы противодействия для данной группы управляемы, и напрямую зависят от службы безопасности.
Случайные (непреднамеренные). Данные источники могут использовать такие классы уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках, совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении. Случайные могут определятся различного рода сбоями и отказами, повреждениями, проявляемыми в ИС. К таким источникам можно отнести персонал поставщиков различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия (угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий – уничтожение, блокирование, искажение информации.
Преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников). Основная цель таких источников – умышленная дезорганизация работы, вывода системы из строя, разглашения и искажения конфиденциальной информации за счет проникновение в систему посредством несанкционированного доступа (НСД) и утечки по техническим каналам. Угрозы от таких источников могут быть самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации. В качестве таких источников могут выступать: потенциальные преступники (террористы) и хакеры; недобросовестные партнеры; представители силовых структур.
Для реализации этих угроз внешние преднамеренные источники могут использовать следующие три класса уязвимостей: объективные; субъективные; случайные. Каждым отдельным источником может использоваться определенный класс уязвимостей, в зависимости от преследуемой цели. Например, хакеры могут воспользоваться сбоями в программном обеспечении (случайные уязвимости), недобросовестные партнеры, для получения доступа к информации, могут воспользоваться активизируемыми программными закладками, встроенными в поставленном ими же программном обеспечении (объективные уязвимости), др.
Внутренние источники – как правило, представляют собой первоклассных специалистов в области эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно – аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств ИС. К таким источника можно отнести: основной персонал; представителей служб безопасности; вспомогательный персонал; технических персонал (жизнеобеспечение, эксплуатация). Внутренние антропогенные источники, в связи с их положением в ИС, для реализации угроз, могут использовать каждый из классов уязвимостей (объективные, субъективные, случайные), опять же в зависимости от преследуемых целей. Угрозы от таких источников, также могут самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации.
Угрозы этой группы, могут реализовываться различными методами: аналитические; технические; программные; социальные; организационные.
При организации защиты службы ИБ должны определять степень доступности каждого источника к защищенному объекту, квалификацию и привлекательность совершения деяний со стороны источника угрозы.
Меры защиты (противодействия) от таких источников должны тщательно продумываться, к ним можно отнести:
Список способов противодействия должен, в случае необходимости пополнятся новыми средствами защиты.
Источники угроз данной группы, напрямую зависят от свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть как внутренними, так и внешними.
Внешние источники – средства связи (телефонные линии); сети инженерных коммуникаций (водоснабжение, канализации).
Внутренние источники – некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства охраны (охраны, сигнализации, телефонии); другие технические средства, применяемые в ИС.
Данная группа источников менее прогнозируема и напрямую зависит от свойств техники применяемой в ИС и поэтому требует особого внимания со стороны служб ИБ. Угрозы от таких источников могут быть следующие: потеря информации, искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по возможности) надежную вычислительную и другую необходимую для надежного функционирования технику, лицензионное программное обеспечение (ПО). Также во время анализа, не стоит упускать непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Таки ошибки могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники. Согласно статистике, 65% потерь – следствие таких ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью как пользователей, так и персонала.
Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Разрабатывая политику безопасности, соответствующим службам целесообразно использовать системный подход.
Под системностью понимается, прежде всего, то, что защита информации заключается не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС, с применением единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.
Однако, к сожалению, эти системы, призванные идентифицировать и отражать нападения хакеров, сами могут быть подвержены несанкционированным воздействиям, которые могут нарушить работоспособность этой системы, что не позволит ей выполнять поставленные перед ней задачи. По этой причине целесообразно рассмотреть единую классификацию (таксономию) атак на системы обнаружения вторжения.
В первую очередь обычно атакуют сенсор. Поскольку сенсор – это совокупность аппаратно/программных средств, то его работа невозможна без операционной системы, сетевого драйвера и сетевой карты. Рассмотрим возможные атаки на сенсор, начиная с самого «низа».
Сетевая карта. Этот компонент задействуется для двух целей – получение доступа к сетевому трафику, в котором ищутся следы атак (если речь не идет о специальных платах обнаружения атак, вставляемых в шасси коммутатора или маршрутизатора, или специальном ПО обнаружения атак для маршрутизатора), а также для передачи на консоль управления сигналов тревоги.
Сетевой драйвер. Неправильная реализация сетевого стека позволяет посылать на сенсор определенным образом сформированные пакеты, что приводит к блокировке системы («синий экран»).
Возможны вторжения через «прорехи» в операционных системах. Через этот компонент атаки на IDS более чем реальны.
Модуль захвата данных. В том случае, если он оперирует сетевыми пакетами, то достаточно послать на него либо нестандартные (т.е. несоответствующие) пакеты, либо организовать «лавинный» трафик, который сенсор не способен обработать. Если он оперирует журналом регистрации, то можно «переполнить» этот журнал и старые события будут перезаписаны новыми.
Подсистема реагирования. Даже если система IDS обнаружила атаку, то достаточно не дать ей прореагировать на нападение и эффективность системы обнаружения вторжений будет сведена к нулю.
Следующим компонентом системы обнаружения атак является сервер управления, на который и поступают сигналы тревоги от сенсора. Поскольку сервер управления в свою очередь взаимодействует с сенсором, консолью или базой данных, то если противник сможет заблокировать эти каналы, то система IDS не сможет нормально функционировать.
База данных, хранящая события. Кроме блокирования ее взаимодействия с сервером управления, противник может попытаться ее переполнить ложными сигналами тревоги.
Сетевое оборудование тоже может стать мишенью для хакеров, что приведет к нарушению взаимодействия между компонентами IDS. Например, можно отключить порт, к которому подключен любой из компонентов системы обнаружения атак.
Для проведения атак на систему обнаружения вторжений противник может использовать также и механизм аутентификации. Для этого достаточно удалить ключ аутентификации одного из компонентов IDS и процесс аутентификации уже не выполнится. Следовательно, компоненты не смогут обмениваться между собой информацией.
1.3. Концепция информационной безопасности
Концепция Информационной Безопасности – это система взглядов на проблему обеспечения Информационной Безопасности, взаимоувязывающая правовые, организационные и программно-аппаратные меры защиты и основанная на анализе защищенности информационной системы в разрезе видов угроз и динамики их развития.
Правовую основу Концепции должна составлять Конституция Российской Федерации, законы Российской Федерации «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», Основы законодательства Российской Федерации об Архивном фонде и архивах, другие законодательные акты Российской Федерации, а также международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере.
В зависимости от требований к режиму Информационной Безопасности, различают базовый и повышенный уровни ее обеспечения.
Базовый уровень Информационной Безопасности предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распостраненных угроз без оценки вероятностей их проявления. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.
В ряде случаев базового уровня недостаточно. Для обеспечения повышенного уровня Информационной Безопасности необходимо знать параметры, характеризующие степень безопасности информационной системы и количественные оценки угроз, уязвимостей и рисков по отношению к ценности информационных ресурсов. Как правило, выбор концепции проводится на основе анализа нескольких вариантов по критерию стоимость/эффективность.
Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции Информационной Безопасности.
Анализ мирового и отечественного опыта обеспечения Информационной Безопасности диктует необходимость создания целостной системы безопасности, взаимоувязывающей правовые, организационные и программно-аппаратные меры защиты и использующей современные методы прогнозирования, анализа и моделирования ситуаций.
Из анализа действующего законодательства вытекает, что правовой защите подлежит главным образом документированная информация (документ), зафиксированная на материальном носителе с реквизитами, т.е. информация, облеченная в форму, позволяющую ее идентифицировать.
При этом неправомерный доступ к компьютерной информации считается преступлением, если:
Эти действия наказываются либо штрафом, либо исправительными работами, либо лишением свободы сроком до двух лет.
Те же действия, совершенные с использованием служебного положения, влекут за собой наказание в более суровой форме (ст. 272 ч. 2 УК). Это означает, что хакеры со стороны несут меньшую уголовную ответственность чем сотрудники организации или лица, допущенные к ее компьютерной информации по договорам.
УК содержит понятие «вредоносные программы», под которое подпадают программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, а также приводящие к нарушению работы информационной системы (ст. 273 УК). В настоящее время у таких программ множество специфических названий, так что обобщающий термин был просто необходим.
К разряду преступлений относится нарушение правил эксплуатации ЭВМ и сетей, если это приводит к уничтожению, блокированию или модификации компьютерной информации, что, в свою очередь, наносит существенный вред или влечет за собой тяжкие последствия (ст. 274 УК). Понятия «существенный вред» и «тяжкие последствия» УК не конкретизирует, как и не дает разъяснении, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, что ответы на эти вопросы даст лишь судебная практика. В зависимости от тяжести последствий такие преступления наказываются лишением свободы на срок либо до трех либо до семи лет (ст. 273 ч. 1 и 2 УК).
Наряду с этими компьютерно-ориентированными статьями используются остальные, позволяющие квалифицировать противоправное деяние как подпадающее под их юрисдикцию. Проблема в значительной степени связана с объективными возможностями правоохранительной системы обеспечить соответствующую реакцию на тот объем информации о реальной преступности, который ей надлежит полномасштабно перерабатывать. Чем более ограничены эти возможности, тем, соответственно, более значительную часть сигналов о преступлениях система вынуждена от себя отталкивать, оставляя ту или иную часть преступности «в тени».
Кроме того, понятно, что государственные и коммерческие структуры, которые подверглись нападениям, не хотят афишировать их последствия и недостаточную эффективность своих систем защиты. Поэтому совершаемые преступления далеко не всегда становятся достоянием гласности. Не следует думать, что информационные преступления является лишь отечественной национальной спецификой.
Согласно сведениям Института защиты компьютеров The Computer Security Institute (CSI, San Francisco, USA) и ФБР:
Первое что можно предложить — ограничить количество лиц, имеющих доступ к информации. Зафиксировать тех кто имеет доступ, ввести протоколирование работы с информацией и установить за всем этим контроль.
Одним из лучших способов защиты корпоративной информации до недавнего времени считался свод правил, регламентирующий работу с информацией и страхующий от случайных потерь данных. Под потерями данных в данном случае понимается как разглашение личной и корпоративной информации, так и ее несанкционированное изменение или физическое уничтожение. Однако, как показывает практика, эффективность таких мер, при непланомерном подходе без учета специфики организации, невысока.
Как уберечь информацию от потерь и несанкционированного доступа заинтересованных лиц? Можно предложить следующий набор административных мер:
При разработке организационных мер необходимо помнить, что существует как минимум три способа потери данных: с использованием личного контакта, средств компьютерной техники и технических каналов передачи данных.
Выбор контрмер и управление рисками.
При разработке концепции Информационной Безопасности организации необходимо выработать стратегию управления рисками различных классов.
Возможно несколько подходов:
Информационная безопасность экономических систем играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это в первую очередь обусловлено насущной потребностью создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.
Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. При этом постоянно растет уязвимость экономических структур от недостоверности получаемой по открытым каналам связи экономической информации, ее запаздывания и блокирования, незаконного использования посторонними в корыстных целях.
Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.
Основными целями обеспечения информационной безопасности экономических систем являются:
К основным задачам обеспечения информационной безопасности экономических систем относятся:
1.4. Нормативно-руководящие документы
Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Место информационной беопасности экономических систем в национальной безопасности страны.
Закон о государственной тайне (в редакции Федерального закона от 06.10.97 N 131-ФЗ) (с изменениями, внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N 8-П) – основной нормативный руководящий документ. Этот Закон содержит ряд статей и регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
В настоящем Законе используются следующие основные понятия:
Правила отнесения сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
В деле обеспечения информационной безопасности несомненный успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
См. подробнее в хрестоматии
На законодательном уровне отметим две группы мер:
Самое важное (и, вероятно, самое трудное) на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 – право на знание достоверной информации о состоянии окружающей среды.
В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации (в редакции от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайны. Согласно статье 139, информация составляет служебную или коммерческую тайну в том случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Весьма совершенным в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 – «Преступления в сфере компьютерной информации» – содержит три статьи:
Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государственной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
Некоторые из этих определений:
Обратим внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.
Данный Закон выделяет следующие цели защиты информации:
Закон гласит, что «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу». По сути дела, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.
Режим защиты информации устанавливается:
Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности, а остальные аспекты ИБ – забыты.
Обратим внимание на то, что защиту государственной тайны и персональных данных берет на себя государство; а за другую конфиденциальную информацию отвечают ее собственники.
Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Из статьи 19 следует, что и нформационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».
Закон «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).
Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Важное значение имеют следующие виды:
Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:
Подчеркнем, что данный Закон не препятствует организации Интернет-Университетом учебных курсов по информационной безопасности (не требует получения специальной лицензии; ранее подобная лицензия была необходима). В свою очередь, Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, касающихся образовательной деятельности в области ИБ.
Закон «Об электронной цифровой подписи» номер 1-ФЗ (принят Государственной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации. ».
Целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Закон вводит следующие основные понятия:
Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
Закон определяет сведения, которые должен содержать сертификат ключа подписи:
Зарубежное законодательство в области информационной безопасности. Ключевую роль играет американский «Закон об информационной безопасности» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель – реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
Характерно, что уже в начале Закона называется конкретный исполнитель – Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.
Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.
Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:
В законодательстве ФРГ имеется весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.
В данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.
Международные стандарты информационного обмена. В мировой практике принято использовать следующую схему работы в рамках «электронного государства»: между субъектами, вступающими во взаимодействие, создается единое информационное пространство (среда электронного взаимодействия), и принимаются единые стандарты предоставления информации и обмена данными, а также стандарты на структуру данных. Интеграция разных информационных систем в рамках единого информационного пространства происходит посредством их реализации в виде веб-сервисов с использованием в качестве основного стандарта регистра UDDI (Universal Description, Discovery and Integration).
Этот стандарт позволяет искать и регистрировать информацию, организовывать взаимосвязи между различными базами данных.
Для описания функциональных особенностей работы сервисов и клиентских интерфейсов, а также для организации доступа к сервисам отдельных информационных систем используются протоколы WSDL (Web Services Description Language) и SOAP (Simple Object Access Protocol). Стандартом на структуру предоставляемых данных и документы выступает XML (eXtended Markup Language), широко применяемый для создания информационных ресурсов в последнее время благодаря его универсальности и независимости от используемой платформы.
Так, например, в Великобритании для работы «электронного правительства» организован Шлюз государственных служб (Government Gateway), предоставляющий гражданам и частным компаниям доступ ко всем органам власти по сети интернет. Каждое из ведомств может создавать и использовать свою собственную независимую компьютерную систему и задавать свои бизнес-процессы, однако на уровне единой среды взаимодействия используется общий формат. Таким образом, в качестве единой информационной среды использована уже существующая коммуникационная сеть, а вся информация предоставляется в стандарте XML. Это позволяет людям и организациям просто и согласованно получать доступ к любому государственному учреждению, ведомству или органу местной власти и обмениваться с ним информацией. Любые устройства и информационные системы (персональные компьютеры, веб-серверы, порталы, цифровые телевизоры, интернет-киоски) способны отправлять информацию на языке XML в Government Gateway, где с помощью реализованных там правил будет определяться организация, для которой эта информация предназначена. Кроме того, правила обработки определяют способ дальнейшей передачи данных. После этого информация поступает в соответствующее ведомство, а в случае необходимости Шлюз государственных служб может преобразовать ее в понятный для конечной системы формат.
Аналогично подошли к выбору стандартов и в некоторых других европейских странах – Германии, Дании, а также в США.
В России также принят курс на использование общемировых стандартов. Принято решение о том, что создаваемые информационные системы будут базироваться на принципах построения международного регистра, универсального описания поиска и интеграции данных. Это так называемый регистр UDDI, позволяющий не только регистрировать и находить информацию, но и организовывать взаимодействие между базами данных. При формировании каталогов, целесообразно использовать стандарт XML. Он позволяет всем информационным системам экспортировать уже хранящуюся в их справочниках информацию в регистр без проведения дополнительных операций, при этом постоянно совершенствуется и развивается.
Кроме того, на федеральном уровне ведется работа по подготовке единых стандартов на данные и метаданные (то есть правила описания данных, их структуры и содержимого):