Диссертация (1152266), страница 34
Текст из файла (страница 34)
Адресатами этойпрограммы были практически все граждане Польской Республики, так как еезадачей является предупреждение, выявление и смягчение последствий явлений исобытий, связанных с ограничением доступа к телеинформационным системам,часть из которых должна обеспечить возможность коммуникации гражданингосударство и предприниматель-государство.В связи с характером и сущностью целей программы выделены были двегруппы ее адресатов:государственная е-Администрация и другие субъекты, управляющиересурсами телеинформационной инфраструктуры, важными для государства;202бенефициары систем, сетей и телеинформационных услуг, которыесоставляли телеинформационную инфраструктуру государства.Реализация программы, связанной с увеличением безопасности системыэлектронныхгосударственных услуг, требовала участия и сотрудничества рядасекторов и организаций, контролируемых государством. Исполнение задачпрограммы и достижение ею предполагаемых результатов потребовало такжесоздания механизмов участия и сотрудничества лиц, не связанных с публичнойадминистрацией, в частности, это относилось к предприятиям, управляющимкритической телеинформационной инфраструктурой.Основными исполнителями программы охраны е-Администрации являлисьсубъекты, несущие ответственность за защиту критической инфраструктурыстраны, и прежде всего критической телеинформационной инфраструктуры.Ведущую роль в реализации программы играли: Министерство Внутренних Дел иАдминистрации(MSWiA), какгосударствакритическуюиорган, отвечающий за компьютеризациюинфраструктуру,иАгентствоВнутреннейБезопасности (ABW), как орган, отвечающий за внутреннюю безопасностьгосударства.
Так как только небольшая часть критической инфраструктуры,включая телеинформационную, является собственностью государства, в то времякак большинство ресурсов находятся в частной собственности, большую роль восуществлении программы играли те частные субъекты, которые являютсясобственниками ресурсов, составляющих инфраструктуру государства. Нижеперечислены все стороны, участвующие в реализации этой программы:Министерство Внутренних Дел и Администрации (MSWiA);Агентство Внутренней Безопасности (ABW);Министерство Национальной Обороны (MON);Служба Военной Контрразведки (SKW);другие органы публичной администрации;частныеорганизации-владельцыресурсов,которыекритической телеинформационной инфраструктурой государства.являются203Меройэффективностипринятыхдействийбудетявлятьсяоценкаразработанных правил, институтов и отношений, которые позволют реальносуществовать эффективной системе защиты критической телеинформационнойинфраструктуры государства.
Одним из основных методов воздействия наэффективность установленных действий, выполняемых многими учреждениями,является точное определение круга задач каждого из субъектов и определениеответственности за их выполнение или за отказ выполнения.Практика показала, что проекты с участием большого количествасубъектов, где недостаточно уточнен вопрос об ответственности за данныедействия,былиобреченынапровал.Поэтомуприсозданииправил,определяющих организационно-институциональные действия этой программыбезопасности,особоевниманиебылоуделеночеткомураспределениюответственности за отдельные действия конкретных субъектов.Особо интересными проектами являлись системы превентивного характера,которые могут обнаруживать новые виды угроз с помощью их активного поиска всети. Примером может служить система HoneySpiderNetwork, используемая дляпроведения автоматизированного поиска вредоносных веб-страниц, которыесейчас являются одним из основных способов проведения сетевых атак.
Надостремиться использовать как можно более широкий спектр различных видовсистем безопасности для обеспечения безопасности критических ресурсов вобласти ИКТ.Планируется проводить регулярные учения, которые состоят в проведенииконтролируемых атак, симулирующих кибертеррористические действия. Учениядолжны включать в свою сферу действия многих лиц, которые имеют ресурсы,составляющие критическую телеинформационную инфраструктуру государства.Тесты будут использоваться для оценки текущего сопротивления критическойтелеинформационной инфраструктуры на кибератаки, указания слабых местбезопасности и подготовки рекомендаций для будущих профилактических мер.Занятия организуются и координируются командой cert.gov.pl [258; 303].204В соответствии с «Планом Компьютеризации Государства на 2007-2010годы», приложением к Распоряжению Совета Министров от 28 марта 2005 года,отделом Телеинформационной Безопасности Агентства Внутренней Безопасности(ABW) были построены: Технический Центр Координации НациональнойСистемы Защиты Критической Телеинформационной Инфраструктуры и системаARAKIS-GOVдля(AgregacjaAnalizaiKlasyfikacjaIncydentówSieciowych)поддержки управления телеинформационной безопасности с целью заранеепредостерегать публичную администрацию об угрозах, обнаруженных вИнтернете.
Они образуют основу создания слоев сетевой безопасности дляЭлектронной Платформы Услуг Государственной Администрации е-PUAP, атакже отдельной сети правительства. Программа «Безопасная е-Администрация»должна окончательно охватить политикой безопасности, разработанной в еерамках, все ключевые государственные разработки по информатизации.Важнымипартнерамиправительственныхучрежденийидругихорганизаций, отвечающих за телеинформационную безопасность в действиях,направленных на повышение безопасности в киберпространстве, являютсяпроизводителиаппаратногоипрограммногообеспечения.Развитиесотрудничества с этими партнерами, включая обмен опытом и ожиданий,является одним из основных факторов, оказывающих существенное влияние насистему общественного и специализированного образования, а также качествосоздаваемых систем.
Особое значение имеет сотрудничество организаций,отвечающих за телеинформационную безопасность, с производителями систембезопасности. Надо стремиться предоставлять отдельным и институциональнымпользователям решения, предназначенные для защиты информации.Задачей таких служб, как Агентство Внутренней Безопасности (ABW) иСлужба Военной Контрразведки (SKW), имеющих (в соответствии с законом озащите секретной информации) полномочия в сфере сертификации средствкриптографическойзащиты,являютсяинициированиесотрудничестваиинспирация фирм создавать новые решения и способствовать их активнойпопуляризации.205Программа защиты киберпространства Польской Республики на 2009-2011годы была программой с широким спектром деятельности.
Это первыйправительственный документ, всесторонне охватывающий вопросы безопасностикибернетическогопространствагосударства.Основнымпреимуществомпрограммы было четкое определение целей и направлений деятельности,будущих рамок ее осуществления и лиц, ответственных за координациюреализации. С точки зрения национального интереса важно то, что программа«Безопасная е-Администрация» была создана в то время, когда в Польше не былзарегистрирован ни один телеинформационный инцидент по сравнению снападением, какое произошло в Эстонии. Реализация этой программы являетсяодним из компонентов превентивной политики государства, благодаря которомубудут запущены процессы, которые могут в значительной степени способствоватьпредотвращению нарушения безопасности киберпространства государства вбудущем.Программа «Безопасная е-Администрация», учитывая ее обширныйхарактер, по существу, не являлась программным документом, но обеспечивалаоснову для разработки исполнительных проектов.
В исполнительных проектахбудут определены, в частности, роли внедряющих субъектов и сотрудничающих вреализации очередных частей программы; подробный график деятельности, сучетом типов, последовательности и сроков реализации задач, определениефинансовых последствий введенных решений и т.д.
В исполнительные проектыбудут также включены виды деятельности законодательного характера, особенноюридическоеурегулированиетелеинформационнойорганизацииинфраструктурызащитыгосударстваикритическойвидыдеятельноститехнического характера, такие как разработка расширения и внедренияинструментов, приложений и процедур, повышающих способность государствареагироватьпроектовнакибертеррористическиереализациипрограммыатаки.будетПортфельтакжеисполнительныхдополненпроектамикрупномасштабных мероприятий, образовательного характера, осведомленностью206егополучателейвобластинеобходимостизащитыкиберпространствагосударства.Вседействия,связанныессозданиеминформационныхсистем,необходимых для функционирования и развития е-Администрации, а такжеобеспечения ее безопасности в киберпространстве должны основываться на точноподготовленныхинституциональныхдокументах.Основыстратегииинформатизации Польши были включены в документы «Новая е-Польша»,«Ворота Польши» и «Национальный План Развития».
Многие записи в этихдокументахпроисходятотпредыдущихотчетовКонгрессаПольскойИнформатики или являются совместимыми с требованиями, содержащимися вних. Анализируя их, можно отметить, что некоторые из них должны бытьдоработаны и следует обратить внимание на следующее:использованиюпартнерство(PPP)такихилимеханизмов,аутсорсинг,какдолжнагосударственно-частноепредшествоватьоценкафункциональности и экономии средств, истекающая из их применения вконкретном случае;коэффициенты оценки эффективности государственной администрациидолжны относиться к оценке удовлетворенности прежде всего гражданина, а неадминистрации, которая не заинтересована в эффективности своей работы;создаваятехническиестандартыдлястроительстваисвязейинформационных систем для государственной администрации, необходимопозаботиться об их гибкости и способности адаптироваться к новым техническимрешениям;обязательноинформационнойнадосистемыпринятьположение,должноосуществлятьсячтовнедрениелюбойпосле принятиявсехзаконодательных актов, согласно которым должна работать данная система;управлениереализациейпубличныхинформационныхинвестицийдолжно быть основано на законодательных актах, касающихся архитектурыпроектируемой информационной системы.207Рассматривая проблему безопасной администрации следует помнить, чтозачастую использование основных правил безопасности является достаточнымдля достижения целей политики в области безопасности.