Особенности получения доступа и использования информационных ресурсов сети «Интернет» в системе МВД России
Передача информации в технических каналах связи МВД России
В 2002 году Правительством Российской Федерации было принято Постановление о Федеральной целевой программе «Электронная Россия 2002-2010 годы». Одной из целей, преследуемых Программой, является повышение качества и эффективности государственного управления на основе организации ведомственного информационного обмена и обеспечения эффективного использования органами государственной власти информационных и коммуникационных технологий. Очевидно, что органы внутренних дел, как один из инструментов осуществления государственной власти, не могли остаться в стороне от выполнения задач, поставленных перед ними этой Программой. В 2002 году Приказом № 562 МВД России была утверждена «Концепция развития информационно-вычислительной системы МВД России на 2002-2006 годы». Концепция определила основные направления, принципы и механизмы совершенствования информационного обеспечения на 2002-2006 годы. В 2004 году в рамках положений Концепции разработана Программа МВД России «Создание единой информационно-телекоммуникационной системы органов внутренних дел», рассчитанная на 2005-2008 годы. Программа ЕИТКС является тактическим мероприятием МВД России по исполнению Концепции информационно-вычислительной системы. В ней заложены конкретные мероприятия с технико-экономическим обоснованием их исполнения, определением сроков исполнения и требуемого финансирования по каждому мероприятию на каждый год.
20 мая 2008 г. Приказом № 435 была утверждена новая редакция Программы, которая рассчитана до 2011 года.
Целью Программы является создание единой информационно-телекоммуникационной инфраструктуры информационного обеспечения органов внутренних дел Российской Федерации для обеспечения технической возможности повышения эффективности деятельности ОВД по защите прав и свобод граждан, обеспечения законности, правопорядка и общественной безопасности путем реконструкции и оборудования объектов ОВД новыми и перспективными телекоммуникационными и программно-техническими комплексами с использованием современных телекоммуникационных, информационных и биометрических технологий. Реализация программы позволит повысить уровень безопасности общества и государства, уменьшить потери общества от преступлений, оптимизировать затраты на предупреждение, пресечение и раскрытие преступлений, уменьшить потери государства от проявлений террористического характера, обеспечить требуемый уровень контроля за миграционными процессами в стране, повысить уровень доверия населения к органам внутренних дел, снизить уровень социальной напряженности, снизить уровень вовлеченности финансовых ресурсов государства и населения в противоправную деятельность, в том числе террористическую деятельность банд и группировок; повысить уровень инвестиционной привлекательности российской экономики; обеспечить выполнение государством международных обязательств.
Основные задачи, решаемые Программой, следующие:
1. Создание интегрированной универсальной транспортной среды связи органов внутренних дел, обеспечивающей взаимодействие с телекоммуникационной системой внутренних войск МВД России, телекоммуникационными системами органов государственной власти, включая правоохранительные органы, а также доступ сотрудников внутренних дел к услугам публичных и специальных федеральных информационно-телекоммуникационных систем.
2. Развитие автоматизированных банков данных общего пользования на базе унифицированных программно-технических комплексов информационно-аналитических и экспертно-криминалистических центров органов внутренних дел.
3. Совершенствование информационно-технологического обеспечения органов внутренних дел путем создания специализированных территориально распределенных автоматизированных информационных систем по приоритетным направлениям оперативно-служебной деятельности органов внутренних дел на базе новых и перспективных информационных технологий, в том числе интеллектуальных технологий поддержки принятия управленческих решений.
4. Интеграция создаваемых в рамках Программы автоматизированных банков данных общего пользования, специализированных территориально распределенных информационных систем и уже существующих автоматизированных информационных систем в единое информационное пространство органов внутренних дел, организация санкционированного оперативного доступа сотрудников органов внутренних дел к информационным ресурсам общего и специального назначения в режиме реального времени.
5. Обеспечение необходимого уровня информационной безопасности при информационно-телекоммуникационном обеспечении органов внутренних дел. При реализации указанных задач предполагается применение принципов и стандартов единой федеральной архитектуры создания и реализации целевых адресных программ с учетом мероприятий, направленных на решение задач МВД России, предусмотренных ФЦП «Электронная Россия (2002 - 2010 гг.)», с целью недопущения дублирования работ за счет средств федерального бюджета, а также получения материального эффекта от реализации мероприятий, предусмотренных Программой.
Мероприятия по реализации пятой задачи ориентированы на комплексное решение задачи развития специальной технической инфраструктуры для обеспечения гарантированного уровня информационной безопасности и его соответствия требованиям законодательства Российской Федерации и руководящих документов в области информационной безопасности при информационно-телекоммуникационном обеспечении деятельности органов внутренних дел, в том числе обеспечение выполнения следующих функций по защите информации:
1) идентификация и аутентификация пользователей;
2) разграничение доступа к информационным и техническим ресурсам;
3) межсетевое экранирование;
4) криптографическая защита информационного обмена;
5) антивирусная защита;
6) предотвращение утечки информации за счет побочных электромагнитных излучений и наводок;
7) обеспечение возможности электронно-цифровой подписи для обеспечения электронного юридически значимого документооборота.
В рамках реализации задачи обеспечения информационной безопасности Приказом МВД Российской Федерации № 497 от 7 августа 2004 г. утверждено «Положение о системе передачи информации с ограниченным доступом (СПИОД), не содержащей сведений, составляющих государственную тайну, в технических каналах связи в системе МВД России».
Безопасность информации, циркулирующей в СПИОД, обеспечивается путем реализации комплекса правовых, организационных и технических мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, искажения (подделки), несанкционированного уничтожения, модификации и копирования информации.
Положение определяет, что СПИОД представляет собой защищенную систему передачи данных, организованную с целью обеспечения возможности безопасного, в том числе заверенного электронной цифровой подписью (ЭЦП), обмена информацией конфиденциального характера в электронной форме.
СПИОД построена по иерархически-территориальному принципу и включает в себя:
1) главный орган управления безопасностью (ГОУБ), осуществляющий общее управление СПИОД, который находится в центральном аппарате МВД России;
2) межрегиональный орган управления безопасностью, осуществляющий управление СПИОД на уровне ГУ МВД России по федеральным округам;
3) региональный орган управления безопасностью, осуществляющий управление СПИОД на уровне МВД, ГУВД, УВД субъектов Российской Федерации, УВДТ, ГУВДРО, СОБ;
4) орган управления безопасностью, осуществляющий управление СПИОД на уровне главных управлений (управлений) МВД России;
5) абонентский пункт (АП) подразделений органов внутренних дел и внутренних войск, функционирующих в СПИОД.
Технология электронного документооборота в СПИОД включает в себя обеспечение защиты электронных документов от утечки, хищения, искажения и подделки, передачу документов по каналам связи в защищенном виде, проверку их подлинности и перенесение их подлинников (оригиналов) на бумажный носитель.
Подготовка подлинника (оригинала) электронного документа включает в себя следующие этапы:
1) подготовка текста электронного документа с установленными реквизитами;
2) подписание электронного документа ЭЦП пользователя;
3) защита электронных документов в процессе их прохождения по СПИОД.
Используемые в СПИОД сертифицированные средства криптографической защиты информации (СКЗИ) обеспечивают два уровня защиты электронных документов:
1) обнаружение случайных или преднамеренных искажений документа, которое достигается за счет подтверждения ЭЦП документа;
2) защита текста документа от несанкционированного ознакомления, которое достигается за счет криптографического преобразования электронного документа на индивидуальном криптографическом ключе пользователя.
СПИОД использует технические каналы связи в качестве транспортной среды доставки электронных документов. Электронный документ, содержащий конфиденциальную информацию, должен передаваться только после его зашифрования. Во время сеанса пользователи проводят расшифрование полученных зашифрованных электронных документов и проверяют подлинность ЭЦП. В случае нерасшифрования поступившего сообщения или получении отрицательного результата при проверке ЭЦП поступившего документа, о случившемся должна быть немедленно оповещена передающая сторона и вышестоящий орган криптографической защиты.
Перенесение подлинников (оригиналов) электронных документов на бумажный носитель, учет электронных документов и их копий, перенесенных на бумажный носитель, обращение с ними, их архивное хранение определяется нормативными правовыми актами МВД России по вопросам организации делопроизводства и архивного хранения.
Информационная безопасность и аутентификация информации в СПИОД обеспечиваются соответствием принятых администрацией СПИОД процедур оформления взаимоотношений и разрешения конфликтов между всеми участниками СПИОД, а также обеспечением правовых, организационных и технических мер защиты информации. В качестве средств защиты от несанкционированного доступа (НСД) к техническим средствам СПИОД применяются сертифицированные Государственной технической комиссией при Президенте РФ аппаратно-программные комплексы.
Для защиты информации от НСД при ее обработке, хранении и передаче по техническим каналам связи используются сертифицированные Федеральной службой безопасности РФ СКЗИ АП, автоматизированного рабочего места администратора безопасности (АБ).
СКЗИ, предназначенные для обеспечения безопасности хранения, обработки и передачи по техническим каналам связи конфиденциальной информации, а также ключевые документы к ним не должны содержать сведений, составляющих государственную тайну.
При необходимости передачи сообщений по техническим каналам связи по вопросам организации и обеспечения безопасности хранения, обработки и передачи конфиденциальной информации с использованием СКЗИ соответствующие указания должны передаваться только с использованием СКЗИ. Передача по техническим средствам связи ключей, как правило, не допускается, за исключением специально организованных систем с децентрализованным снабжением ключами.
СКЗИ обеспечивают выполнение следующих основных операций:
1) криптографическое преобразование информации;
2) подписание электронного документа ЭЦП; проверку ЭЦП;
3) обнаружение искажений, внесенных умышленно или неумышленно в защищаемую информацию;
4) и другое.
Использование криптографического преобразования информации и ЭЦП в СПИОД обеспечивает конфиденциальность электронных документов и придает им юридическую силу.
Исключение компрометации ключевой информации достигается:
1) строгим соблюдением требований по обеспечению режима безопасности ключевой информации;
2) неукоснительным выполнением всех организационных мер, направленных на защиту ключевой информации от НСД к ней;
3) максимальным ограничением круга лиц, допущенных к ключевой информации;
4) в случае компрометации ключей, принятием всех мер к незамедлительному информированию о случившемся должностных лиц СПИОД, ответственных за безопасность информации, а также к локализации последствий компрометации.
Контроль за организацией и обеспечением безопасности хранения, обработки и передачи конфиденциальной информации по техническим каналам связи с использованием СКЗИ осуществляется в целях получения объективных данных об уровне защиты информации, соответствия условий использования СКЗИ, эксплуатационной и технической документацией на СКЗИ, указанному в сертификате Федеральной службы безопасности Российской Федерации.
Порядок контроля за организацией и обеспечением безопасности хранения, обработки и передачи конфиденциальной информации по техническим каналам связи с использованием СКЗИ определяется ГОУБ.
При использовании СКЗИ для организации и обеспечения безопасности хранения, обработки и передачи конфиденциальной информации по техническим каналам связи, контролю подвергаются лица, осуществляющие организацию и обеспечение безопасности хранения, обработки и передачи конфиденциальной информации по техническим каналам связи с использованием СКЗИ, и пользователи, пользующиеся услугами по криптографической защите своей конфиденциальной информации.
В целях организации доступа к ресурсам сети «Интернет» сотрудников органов внутренних дел Российской Федерации, а также обеспечения информационной безопасности органов внутренних дел Российской Федерации при осуществлении информационного обмена посредством информационных систем, сетей и сетей связи, включая сеть «Интернет», приказом МВД России № 734 от 19 сентября 2006 года были утверждены Правила предоставления доступа и использования ресурсов сети «Интернет» в системе МВД России.
Начальникам всех служб и подразделений МВД России, начиная от центрального аппарата и заканчивая первичным звеном, приказано:
1) организовать использование ресурсов сети «Интернет» в соответствии с Правилами, утвержденными настоящим приказом;
2) организовать обучение сотрудников практической работе в сети «Интернет».
Ответственными за организацию и предоставление доступа к сети «Интернет» являются подразделения, обеспечивающие органы внутренних дел связью, спецтехникой и автоматизацией.