В настоящее время информационная безопасность - среди важнейших направлений государственной политики Республики Узбекистан. Важно понимать, что под государственной информационной политикой понимается особая сфера жизни и деятельности людей, связанная с воспроизводством и распространением информации, удовлетворяющей интересы государства и гражданского общества и направленной на обеспечение творческого, конструктивного диалога между ними.
О том, какая работа проводится в сфере обеспечения информационной безопасности в нашей стране, рассказала ведущий инженер Базовой организации по стандартизации ГУП «Unicon.uz» Дилора ДЖАМАТОВА.
- Какими нормативно-правовыми актами контролируется информационная безопасность в Узбекистане?
- Вопрос обеспечения информационной безопасности (ИБ) - среди основных для любой организации. Говоря простым языком, ИБ - комплекс правовых, организационных, программных, технических и физических мер, гарантирующих достижение целостности, конфиденциальности и доступности сведений.
Хотелось бы отметить, что работа по компьютеризации и информатизации в нашей стране началась еще в начале XXI века. Именно принятие в 2003 году Закона Республики Узбекистан «Об информатизации» обусловило первые шаги в этом процессе. Документ позволил на законодательном уровне сформировать в первую очередь главные принципы, цели и задачи данного процесса и регулирование связанных с ним отношений в общих чертах. Установление этих границ является обязательным, так как без них ни общество, ни государство не могут определить свой дальнейший путь развития как в стратегическом, так и тактическом плане.
Закон «О принципах и гарантиях свободы информации» регламентирует меры обеспечения информационной безопасности на всех трех уровнях: личности, общества и государства. Поэтому данный документ по праву считается основополагающим, на основании которого регулируются общественные отношения при получении, использовании, хранении данных, в области информационных технологий, в том числе информационной безопасности.
Кроме того, в соответствии со статьей 14 данного документа информационная безопасность общества достигается путем обеспечения развития основ демократического гражданского общества, свободы массовой информации; недопущения противоправного информационно-психологического воздействия на общественное сознание, манипулирования им; сохранения и развития духовных, культурных и исторических ценностей общества, научного и научно-технического потенциала страны; создания системы противодействия информационной экспансии, направленной на деформацию национального самосознания, отрыв общества от исторических и национальных традиций и обычаев, дестабилизацию общественно-политической обстановки, нарушение межнационального и межконфессионального согласия.
Информационная безопасность личности обеспечивается путем создания необходимых условий и гарантий свободного доступа к информации, защиты тайной частной жизни от противоправных информационно-психологических воздействий. Информация о персональных данных физических лиц конфиденциальна.
Кроме того, не допускаются сбор, хранение, обработка, распространение и использование сведений о частной жизни, а равно информации, нарушающей тайну частной жизни, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме случаев, установленных законодательством. Запрещается использование информации о физических лицах в целях причинения им материального ущерба и морального вреда, а также воспрепятствования в реализации их прав, свобод и законных интересов.
Бурное развитие интернета и информационных технологий способствовало появлению электронной цифровой подписи (ЭЦП). Закон «Об электронной цифровой подписи» регулирует отношения в данной сфере. Кроме того, в настоящее время этот нормативно-правовой акт принимается в новой редакции, инициатором которого является Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан. В разработке документа также участвовали специалисты Unicon.uz.
ЭЦП полноценно заменяет подпись от руки и обладает такой же юридической силой, но имеет ряд преимуществ перед обычной подписью: надежность, гарантию неизменности документа после подписания, невозможность подделки и более широкую сферу применения.
В настоящее время необходимое условие развития информационного общества - кибербезопасность, за которой может стоять практически бесконечный список проблем безопасности и их решений от технических до законодательных. С этой целью принят Закон «О кибербезопасности», согласно которому защита интересов личности, общества и государства от внешних и внутренних угроз в киберпространстве является приоритетом.
Также приняты Указ Президента «О мерах по дальнейшему совершенствованию сферы информационных технологий и коммуникаций» от 19 февраля 2018-го, постановление лидера страны «О мерах по совершенствованию системы контроля за внедрением информационных технологий и коммуникаций, организации их защиты» от 21 ноября 2018 года, Указ главы государства «Об утверждении Стратегии «Цифровой Узбекистан - 2030» и мерах по ее эффективной реализации» от 5 октября 2020-го.
Как справедливо отметил Президент Шавкат Мирзиёев, активное внедрение передовых технологий и развитие глобального информационно-коммуникационного пространства динамично трансформируют все процессы, способствуют появлению новых форм сотрудничества на уровне континентов, регионов, государств и бизнеса.
Любое обеспечение информационной безопасности нуждается в контроле и проверке, которые не могут быть произведены только лишь методом индивидуальной оценки без учета международных и государственных стандартов.
- Расскажите о главной цели стандартов в области систем управления информационной безопасностью (СУИБ).
- Формирование стандартов информационной безопасности происходит после четкого определения ее функций и границ. Это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандартизация в области ИБ выгодна и профессионалам, и потребителям соответствующих продуктов и услуг, так как позволяет установить оптимальный уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов информационной безопасности.
Система управления ИБ заключается в том, чтобы предоставить модель, которой необходимо руководствоваться при ее внедрении и эксплуатации. Это включает в себя международные стандарты, определяющие требования к СУИБ, контролю рисками, метрики и измерения, а также руководство по внедрению.
ISO/IEC 27000 - серия международных стандартов, опубликованных совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссии (IEC). Она содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания СУИБ.
Предназначение систем управления информационной безопасностью - защита информационных активов организации, которая включает политики, процедуры, руководящие указания, а также взаимосвязанные с ними ресурсы и разные виды деятельности. СУИБ представляет собой системный подход к созданию, внедрению, эксплуатации, мониторингу, анализу, техническому обслуживанию и совершенствованию ИБ организаций при достижении ими своих бизнес-целей.
- Системы управления информационной безопасности более актуальны и важны для предприятий государственного или частного сектора?
- Одинаково важны для предприятий как государственного, так и частного сектора. В любой отрасли производства это инструмент, который обеспечивает поддержку электронного бизнеса.
В настоящее время в Узбекистане быстрыми темпами осуществляется работа по гармонизации международных стандартов, в которой участвуют специалисты ГУП «Unicon.uz».
Стараниями нашего коллектива за годы независимости Узбекистан вошел в число стран, имеющих собственные алгоритмы криптографической защиты информации. C этой целью разработан ряд государственных стандартов. Среди них:
- O‘z DSt 1092 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
- O‘z DSt 1105 Информационная технология. Криптографическая защита информации. Алгоритм шифрования данных.
- O‘z DSt 1106 Информационная технология. Криптографическая защита информации. Функция хэширования.
- O‘z DSt 1109 Информационная технология. Криптографическая защита информации. Термины и определения.
- O‘z DSt 1204 Информационная технология. Криптографическая защита информации. Требования безопасности к криптографическим модулям.
- O‘z DSt 2826 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи на базе эллиптических кривых.
ГУП «Unicon.uz» является оператором Единой межведомственной электронной системы исполнительской дисциплины Ijro.gov.uz, отвечает за ее разработку, внедрение, бесперебойное функционирование и безопасность. Это предусмотрено соответствующим распоряжением главы государства от 9 августа 2017 года. Другими решениями Президента и Кабинета Министров на центр также возложены задачи по дальнейшему развитию межведомственных систем, внедрению инновационных решений в деятельность судов и правоохранительных органов.
С 2017 года в структуре ГУП «Unicon.uz» открыт Специализированный производственный департамент, где налажен мелкосерийный выпуск средств криптографической защиты информации.
- Что можно считать основным направлением развития сферы государственных услуг?
- Ключевое направление развития сферы государственных услуг - повышение уровня жизни граждан и улучшение бизнес-среды. Одним из главных принципов предоставления госуслуг является возможность их получения в электронном виде.
Операторы информационных систем обязаны выполнять требования законодательства Республики Узбекистан, связанные с хранением, использованием и обработкой конфиденциальной информации. С этой целью специалистами ГУП «Unicon.uz» разработан проект государственного стандарта «O‘z DSt Информационная технология. Электронные государственные услуги. Общие требования к обеспечению информационной безопасности».
Основными задачами обеспечения ИБ при оказании электронных государственных услуг и обработке конфиденциальной информации являются:
- защита информационных ресурсов от разглашения, утраты и несанкционированного доступа, обеспечение их целостности, доступности и конфиденциальности;
- обеспечение надежного функционирования информационных систем и предоставляемых ими сервисов, защиты от несанкционированного доступа;
- обеспечение конфиденциальности информации.
- Для чего нужны ИБ-стандарты?
- Главная задача стандартов информационной безопасности - создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации IT-продуктов. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.
К примеру, потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы. Они также нуждаются в инструменте, с помощью которого могли бы формулировать свои требования к производителям. При этом заказчика интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения.
В свою очередь производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из имеющегося набора.
При этом эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый IT-продуктами, и предоставить потребителям возможность сделать обоснованный выбор.
Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту, а с другой - должны дать обоснованный ответ пользователям, удовлетворяет продукт их или нет.
Таким образом, перед стандартами ИБ стоит непростая задача - примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. При этом ущемление потребностей хотя бы одной из них приведет к невозможности взаимодействия и, следовательно, не позволит решить общую задачу - создать защищенную систему обработки информации.
* * *
С момента своего создания Unicon.uz, внося достойный вклад в развитие ИКТ, стала одной из ведущих научно-технических организаций Узбекистана, обладающей достаточным потенциалом для решения этих задач. В настоящее время комплексные научно-технические проблемы в области информационных технологий и коммуникаций решаются при непосредственном участии ученых и специалистов Unicon.uz.
Беседовала
Анастасия Боровикова.
«Правда Востока».