На государственные структуры возлагается огромная ответственность, связанная не только с принимаемыми ими решениями, но и с обеспечением безопасности важных государственных проектов и персональных данных граждан страны. На сегодняшний день государственный сектор продолжает оставаться самым широким каналом как преднамеренных, так и случайных утечек информации. Именно поэтому обеспечение безопасности и целостности данных является одним из важнейших условий создания качественной ИТ-инфраструктуры для работы госорганов.
К сильным сторонам государственных информационных систем можно отнести их автономность. В первую очередь это касается тех систем, в которых циркулирует информация, относящаяся к государственной тайне. Подключение таких систем к глобальным информационным сетям категорически запрещено.
К слабым же сторонам относятся:
- во-первых, недостаточное внимание к защите той информации, которая относится к сведениям конфиденциального характера в соответствии с Перечнем сведений, утвержденным Указом Президента РФ от 6 марта 1997 г. № 188;
- во-вторых, так называемый «человеческий фактор»;
- в-третьих, то, что защита информации в государственных ИС осуществляется только в соответствии с существующими руководящими и нормативно-методическими документами, которые жестко определяют порядок действий и фактически исключают инициативный подход.
Наличие слабых мест и делает возможным утечку информации из государственных информационных систем.
Согласно глобальному отчету аналитического центра InfoWatch за 1-ю половину 2014 г., доля утечек в госорганах и муниципальных учреждениях по всему миру остается стабильно высокой – 29%.
Однако полной статистики по утечкам информации в госорганах не существует, что обусловлено закрытостью госструктур и желанием скрыть факты потери важной информации. Из-за специфики госсектора сложно не только определить масштаб утечек, но и точно оценить долю того или иного канала. Но примерная картина ясна. По исследованию компании InfoWatch распределение утечек по каналам выглядит следующим образом:
- около 12% случаев происходят вследствие кражи или потери оборудования,
- стабильна доля утечек через бумажные носители (около 22%),
- 24% утечек происходит по неопределенным каналам;
- доля утечек через сеть выросла почти вдвое по сравнению с 2013 годом (24%),
- также возросла доля утечек через электронную почту (около 12%),
- около 5% утечек осуществляется через съемные носители;
- доля утечек, связанных с кражей и утерей смартфонов и планшетов, снизилась по сравнению с 2013 годом до 0,6%;
- через системы мгновенного обмена сообщениями (IM) происходит менее 1% утечек.
Наиболее эффективной мерой по борьбе с утечками информации в государственных организациях является использование DLP-систем (систем предотвращения утечек). Однако проникновение этих систем в госорганах пока невелико и по оценкам специалистов занимает около 15%. А те немногие организации, где системы защиты от утечек внедрены, используют их в основном для проведения расследования после произошедшей утечки.
Эксперты выделяют несколько причин того, что DLP-системы не получили широкого распространения в госструктурах. Во-первых, в нормативно-методических документах по технической защите информации отсутствуют обязательные требования к применению подобных средств. Во-вторых, подобные проекты весьма масштабны и поэтому имеют высокую стоимость. В-третьих, если применять DLP-системы для построения системы защиты информации ограниченного доступа, то это будет накладывать на них требование по обязательной сертификации на соответствие требованиям по безопасности информации.
Однако есть предположение, что высокие темпы развития государственных ИС различного уровня, формирование «новых» видов защищаемой информации и требований по их защите приведут к тому, что DLP-системы в ближайшем будущем станут неотъемлемой частью системы защиты информации.
А пока довольно распространенным методом борьбы с утечками информации является полный запрет на коммуникации сотрудников с внешним миром. Также проводится комплекс организационных мер, например разъяснительные работы. А технические меры часто ограничиваются системами контроля подключения съемных носителей или устройств.
По рекомендациям экспертов построение системы защиты информации необходимо начинать с выявления чувствительных для организации данных, т.е. провести категорирование всего объема информационных ресурсов. Далее следует разработать правила использования, перемещения, хранения различных категорий информации. Кроме того, очень важно подготовить персонал для эффективной работы системы и постоянно осуществлять повышение их квалификации.
Если же организация пока не готова внедрять подобные системы, то необходимо начать с повышения осведомленности сотрудников. Рекомендуется разъяснять им правила работы с критичной информацией, важность соблюдения этих правил, а также последствия от их невыполнения.
Таким образом, можно сделать вывод, что случаи утечек информации в государственном секторе не так уж редки, чему способствует разнообразие каналов утечек и неуважительное отношение госорганов к данной проблеме. Однако использование DLP-систем, которые являются достаточно эффективными для решения этих проблем при правильной их настройке и внедрении, на сегодняшний день слабо распространено. Около 15% госучреждений применяют такие системы, остальные же придерживаются традиционных мер, а именно организационных и технических.
ЗАКЛЮЧЕНИЕ
В современных условиях проблема обеспечения комплексной безопасности и антитеррористической защищенности в зданиях массового скопления людей остается актуальной. Её решение возможно только путём применения комплексного подхода, сочетающие в себе основные мероприятия по противодействию терроризму, противопожарной безопасности, меры по развитию общей культуры людей в области безопасности жизнедеятельности, обучению поведению в различных опасных и чрезвычайных ситуациях природного, техногенного и социального характера.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Гринин А. С., Новиков В. Н. Безопасность жизнедеятельности: Учебное пособие / А. С. Гринин, В. Н. Новиков. — М.: ФАИР-ПРЕСС, 2003. — 288 с.
2. Зазулинский, В.Д. Безопасность жизнедеятельности в чрезвычайных ситуациях: учебное пособие для студентов гуманитарных вузов / В.Д. Зазулинский. — М.: Издательство «Экзамен», 2006. — 254, с.
3. Сергеев В.С. Защита населения и территорий в чрезвычайных ситуациях.—3-е изд -.перераб. и доп.—М.: Академический Проект, 2003.— 432 с.— («Саийеатиз»).