Оптимизация внедрения концепции "Таза Коом"
Опыт внедрения электронного правительства Эстонии, технология X-Road, нынешнее состояние системы межведомственного электронного взаимодействия. Разработка методов оптимизации последующего внедрения концепции "Таза Коом" в Кыргызской Республике.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 20.06.2019 |
| Размер файла | 2,4 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
С чего начинается и чем заканчивается оказание услуги (работа инфосистемы) ;
Каков механизм идентификации;
Какие операции выполняются, в каком порядке;
Кто выполняет операции в процессе;
Какие документы используются и появляются в процессе;
В каких операциях эти документы используются / появляются;
Какие инструменты, материалы, программное обеспечение и базы данных используются в процессе и в каких операциях;
Какие показатели эффективности и где именно фиксируются в процессе;
3.3 Акцентирование внимания на IT структуре
При реализации подключения к СМЭВ «Тундук» было озвучено множество требований. Подавляющая часть требований касалась уровня безопасности. Для функционирования в системе X-Road подключаемым информационным системам государственных органов и коммерческих организаций необходимо самостоятельно разрабатывать адаптеры - программные комплексы для корректного взаимодействия в системе. На данный момент главным затруднением является разработка адаптера, ввиду того, что необходим индивидуальный подход в написании программного кода адаптера. Администраторы СМЭВ предоставляют лишь методологические указания, по данной причине реализация программы замедляется. Каждая организация/учреждение разрабатывают свой собственный адаптер по своей индивидуальной методике, данная методика не может подойти для другой организации. Также при написании адаптера возникают различного рода ошибки. Ввиду того, что система X-Road поддерживает 2 типа передачи информации по принципу передачи файла WSDL (технология обмена данными в формате сообщений XML) возникают трудности в определении спецификации и методологии разработки. Существует 2 типа технологии WSDL, оба должны генерировать WSDL файл, необходимый для корректной идентификации данных в системе. Они строятся по 2 различным технологиям: REST и SOAP. Технологическая спецификация обоих различается кардинально. В данном случае REST более упрощенный.
Необходимо отметить, что в системе X-Road ошибки подразделяются на две группы: Technical Issue и Non-Techincal Issue. После описания всех моделей сообщений и снабжения сервисов метаданными, дальше потребуется чтобы библиотека XRoadLib сгенерировал WSDL файлы динамически. Генерация WSDL происходит на основе метаданных, которыми мы снабдили сервисы и модели.
На данный момент в нашей республике уровень развития IT сферы находится на низком уровне. Профессиональные качества специалистов, требуемые для данных проектов, недостаточны ввиду того, что не уделяется должное внимание развитию IT сферы в любом государственном органе. Также необходимо учесть, что в стране наблюдается дефицит IT специалистов. Существует «отток мозгов» в другие страны. Ввиду низкой заработной платы специалисты с достаточным уровнем знаний вынуждены выезжать заграницу.
Представляют угрозу критические недоработки в сетевой инфраструктуре по причине низкого финансирования данной сферы. Также ключевым моментом здесь является финансирование данной категории в условиях ограниченного бюджета. На данный момент данная сфера находится в плачевном состоянии. Большинство данных хранится в бумажном виде, нет централизованных баз данных. Даже существующие базы данных не могут полноценно предоставить нужную информацию в полном объеме.
Отдельный момент стоит затронуть на безопасности систем. Практически во всех государственных органах не соблюдаются требования по содержанию серверных помещений, функционирования серверов, предназначенных для выполнения высокопоставленных задач. Пользователи систем не соблюдают элементарных правил безопасности при выполнении работ в том или ином ресурсе. Важной проблемой также является то, что не выполняется своевременное обновление систем до актуальных, устраняющих уязвимости системы. Подавляющее большинство пользователей программного обеспечения и операционных систем устраивает пользование нелицензионными пиратскими копиями. Ввиду этого затруднен процесс информатизации государства в целом.
Рассмотрим требования к серверному помещению, которые должны быть законодательно закреплены: серверное оборудование аппаратно-программного комплекса и системы хранения данных размещаются в серверном помещении. Серверное помещение располагается в отдельных, непроходных помещениях без оконных проемов. При наличии оконных проемов они закрываются или заделываются негорючими материалами. Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами.
Серверное помещение защищается от проникновения загрязняющих веществ. Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения. Двери серверного помещения составляют не менее 1, 2 метра в ширину и 2, 2 метра в высоту, открываются наружу или раздвигаются. Конструкция рамы двери не предусматривает порога и центральной стойки. Серверное помещение оборудуется фальшполом и (или) фальшпотолком для размещения кабельных систем и инженерных коммуникаций. Через серверное помещение исключается прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением на верхних этажах. Монтаж коммуникационных каналов для прокладки силовых и слаботочных кабельных сетей здания выполняется в отдельных или разделенных перегородками кабельных лотках, коробах или трубах, разнесенных между собой. Слаботочные и силовые шкафы устанавливаются раздельно и закрываются на замок. Прокладка кабелей через перекрытия, стены, перегородки осуществляется в отрезках несгораемых труб с герметизацией негорючими материалами. Серверное помещение надежно защищается от внешнего электромагнитного излучения.
При размещении оборудования в серверном помещении: - обеспечивается исполнение правил технической эксплуатации электроустановок потребителей, утвержденных уполномоченным органом в сфере энергетики; - обеспечивается исполнение требований поставщиков и (или) производителя оборудования к установке (монтажу), нагрузке на перекрытия и фальшпол, с учетом веса оборудования и коммуникаций; - обеспечивается наличие свободных служебных проходов для обслуживания оборудования; - учитывается организация воздушных потоков системы обеспечения микроклимата; - учитывается организация системы фальшполов и фальшпотолков.
При техническом сопровождении оборудования, установленного в серверном помещении, подразделением, уполномоченным лицом, документируются: - обслуживание оборудования; - устранение проблем, возникающих при работе аппаратно-программного обеспечения; - факты сбоев и отказов, а также результаты восстановительных работ; - послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания. Форма и способ документирования определяются самостоятельно государственным органом или органом местного самоуправления, организацией. Вмешательство в работу находящегося в эксплуатации оборудования возможно только с разрешения уполномоченного лица. Основные и резервные серверные помещения располагаются на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям. Для обеспечения безопасности серверов, отказоустойчивости и надежности функционирования:
В серверном помещении применяются способы расположения оборудования, обеспечивающие снижение рисков возникновения угроз, опасностей и возможностей несанкционированного доступа;
Поддерживается в актуальном состоянии список лиц, авторизованных для осуществления сопровождения объектов информационной инфраструктуры, установленных в серверном помещении;
Серверное помещение оборудуется системами: - контроля и управления доступом; - обеспечения микроклимата; - охранной сигнализации; - видеонаблюдения; - пожарной сигнализации; - пожаротушения; - гарантированного электропитания; - заземления;
Отказоустойчивость инфраструктуры серверного помещения должна составлять не менее 99, 7 процента.
Система контроля и управления доступом обеспечивает санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери. Устройство центрального управления системы контроля и управления доступом устанавливается в защищенных от доступа посторонних лиц отдельных служебных помещениях, в том числе в помещении поста охраны. Доступ персонала охраны к программным средствам системы контроля и управления доступом, влияющим на режимы работы системы, должен быть исключен. Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием.
Система обеспечения микроклимата должна включать системы кондиционирования, вентиляции и мониторинга микроклимата. Системы обеспечения микроклимата серверного помещения не должна объединяться с другими системами микроклимата, установленными в здании. Температура в серверном помещении поддерживается в диапазоне от 20 єС до 25 єС при относительной влажности от 45 до 55 процентов. Мощность системы кондиционирования воздуха должна превышать суммарное тепловыделение всего оборудования и систем. Система кондиционирования воздуха обеспечивается резервированием. Электропитание кондиционеров серверного помещения осуществляется от системы гарантированного электропитания или системы бесперебойного электропитания. Система вентиляции обеспечивает приток свежего воздуха с фильтрацией и подогревом поступающего воздуха в зимний период. В серверном помещении давление создается избыточным для предотвращения поступления загрязненного воздуха из соседних помещений. На воздуховодах приточной и вытяжной вентиляции устанавливаются защитные клапаны, управляемые системой пожаротушения. Системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации. Система мониторинга микроклимата контролирует климатические параметры в серверных шкафах и телекоммуникационных стойках: - температуру воздуха; - влажность воздуха; - запыленность воздуха; - скорость потока воздуха; - задымленность воздуха; - открытие (закрытие) дверей шкафов
Система охранной сигнализации серверного помещения выполняется отдельно от систем безопасности здания. Сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта. Контролю и охране подлежат все входы и выходы серверного помещения, а также внутренний объем серверного помещения. Система охранной сигнализации имеет собственный источник резервированного питания.
Расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования. Угол обзора и разрешение камер должны обеспечить распознавание лиц. Изображение с камер выводится на отдельный пульт в помещение круглосуточной охраны.
Система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания. В серверном помещении устанавливаются два типа датчиков: температурные и дымовые. Датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком. Сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны.
Система пожаротушения серверного помещения оборудуется автоматической установкой пожаротушения, независимой от системы пожаротушения здания. Установка пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу. Запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также ручных датчиков, расположенных у выхода из помещения. Время задержки выпуска огнегасителя составляет не более 30 секунд. Оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения. Система пожаротушения выдает команды на закрытие защитных клапанов системы вентиляции и отключение питания оборудования. Серверное помещение, оборудованное системой пожаротушения, оснащается вытяжной вентиляцией.
Система гарантированного электропитания предусматривает наличие двух вводов электропитания от разных источников внешнего электропитания на напряжение ~400/230 В, частотой 50 Гц и автономного генератора. Все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе. Параметры линий электропитания и сечение жил определяются исходя из планируемой суммарной потребляемой мощности оборудования и подсистем серверного помещения. Линии электропитания выполняются по пятипроводной схеме. Система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания. Мощность и конфигурация источников бесперебойного питания рассчитываются с учетом всего запитываемого оборудования и запаса для перспективного развития. Время автономной работы от источников бесперебойного питания рассчитывается с учетом потребностей, а также необходимого времени для перехода на резервные линии и времени запуска генератора в рабочий режим.
Система заземления серверного помещения выполняется отдельно от защитного заземления здания. Все металлические части и конструкции серверного помещения заземляются с общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления. Открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки. Заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов).
Размещение сервера в кабинетах, архивных, подсобных и иных помещениях запрещается.
Таким образом можно предположить, что вышеуказанные требования практически не выполняются в 90% государственных органов. Это в свою очередь замедляет процесс перехода в цифровую эру. Необходимо устранять данные пробелы в содержании серверных помещений.
3.4 Стратегия кибербезопасности
Кибербезопасность - это любая деятельность, предназначенная для защиты пригодности и целостности сети и данных. Она нацелена на устранение различных угроз, не давая им проникать или распространяться в сети. Существует множество видов продуктов для сетевой безопасности, выпускаемых производителями по всему миру. Требования кибербезопасности подготовлены для того, чтобы Оператор выбрал наиболее подходящий продукт из предлагаемых производителями по всему миру.
Ниже приведен пример требований кибербезопасности, установленных Оператором в Японии.
Сеть должна быть сегментирована на зоны и должна быть спроектирована таким образом, чтобы было легко предпринимать меры безопасности.
Для обеспечения безопасности должно быть создано ограничение доступа (ACL/VLAN и т. д.) к Сети, чтобы достичь минимального количества соединений.
Доступ к серверу должен быть ограничен по системе белого списка, потому что сервер обрабатывает важную информацию, и доступ к контенту является относительно легким.
Доступ к Сети через Интернет соединение и через внешние сети должны быть ограничены по системе белого списка.
Сеть ISP должна защищать от крупномасштабной DDoS-атаки для обеспечения стабильной работы сети передачи данных.
Множественная защита, такая как мера безопасности конечной точки, должна быть обеспечена для обработки целевых атак.
Интернет-трафик должен быть расшифрован с использованием SSL (Secure Sockets Layer, на рус. - Протокол защиты информации) и проверяться фильтрацией URL-адресов, антивирусом и в изолированной среде (Sandbox).
Характеристики защиты от угрозы, которая не может быть обнаружена стандартными функциями оборудования мер безопасности, должны быть улучшены путем создания оригинальной IPS (Intrusion Prevention System, на рус. - Система предотвращения вторжений) или подписи IDS (Intrusion Detection System, на рус. - Система обнаружения вторжений).
Характеристики меры безопасности от внешней атаки должны быть улучшены путем проведения корреляционного анализа журнала SIEM (Security information and event management) вместе с мерой безопасности конечной точки и мерой безопасности Сети.
Уровень 2 (Ethernet) возвращает плохую связь между терминалами; если данная плохая связь не может быть обнаружена с помощью корреляционного анализа журнала SIEM, то она должна быть обнаружена функцией меры безопасности с использованием определенной последовательной информации.
В случае нового определения дополнительной зоны, доступ к Сети должен быть ограничен на основании определения зоны.
Чтобы предотвратить атаку на другие сети через собственную сеть, должны быть предприняты минимальные меры безопасности (блокирование плохой связи во время DNS авторизации) вдобавок к ограничению доступа Сети.
Для обнаружения плохой связи с внутренним сервером и Интернетом должна быть предусмотрена функция мер безопасности с использованием определенной последовательной информации.
Чтобы визуализировать степень перегрузки сети, должна быть предусмотрена функция сбора и анализа выборочного потока.
Мера для кибербезопасности должна быть оптимизирована с учетом конфиденциальности, целостности и доступности услуг Интернета.
Чтобы предоставлять услуги Сети стабильно, сети, процедуры которых различны, должны быть физически и логически разделены, и не должны иметь взаимовлияния.
Чтобы отвечать разносторонней и сложной кибератаке, должна быть рассмотрена дополнительная мера безопасности, если необходимо.
Текущая проблема кибербезопасности. Проблема заключается в том, что кибератаки становятся настолько разносторонними и сложными в соответствии с текущими исследованиями и разработками в области кибербезопасности, что будет очень трудно защитить сеть от атаки обычными требованиями кибербезопасности. Отмечается, что в мире могут существовать продукты, которые имеют внутреннюю функцию для кражи важной информации. В Японии было сообщено недавно, что внутри китайского телекоммуникационного оборудования кое-что подобное было обнаружено.
Первоначально ФКС в США рекомендовала операторам не внедрять китайские телекоммуникационные оборудования. Вслед за Соединенными Штатами, Австралия, Новая Зеландия и Англия запретили китайским телекоммуникационным компаниям продавать свои оборудования местной телекоммуникационной компании. Кроме того, правительство Японии приняло решение исключить китайские телекоммуникационные оборудования 7 декабря 2018 года.
Проанализировав эти данные можно предположить, что наша республика также могла бы следовать такой политике.
3.5 Подготовка граждан в цифровой трансформации
На данный момент председателем Государственного комитета информационных технологий и связи Кыргызской Республики является Дастан Догоев, он построил свою карьеру в ИТ-менеджменте и курировал реализацию биометрических данных в 2015 году. Сейчас он первый человек, отвечающий за оцифровку в стране и имеет большой опыт работы с технологиями и данными. Именно данный человек указывал, что процесс оцифровки, скорее всего, потребует больше времени, чем ожидалось. Анализ показывает, что 60% населения не готовы к цифровым преобразованиям. Для исправления этого необходимо разработать минимальный набор навыков. Ввиду недоступности ИКТ технологий большинство населения не имеет необходимого минимального набора навыков. Необходимо обучить 1 млн человек, в том числе 5 тыс. сотрудников государственных органов. Независимо от расположения, каждый должен иметь возможность получать государственные услуги.
Понимание защиты персональных данных онлайн среди пользователей - данный фактор рассматривает, насколько признают и понимают ли Интернет пользователи и заинтересованные лица из государственного и частных секторов важность защиты данных персонального характера онлайн, а также обращают ли они внимание на свои права на неприкосновенность частной жизни.
Несмотря на принятие Закона Кыргызской Республики «Об информации персонального характера» в 2008 году, который представляет собой важную меру, обеспечивающую, внедрение эффективных политик и процедур по защите персональных данных организациями государственного и частного секторов, участники исследования считают, что понимание защиты персональных данных онлайн все еще на начальной стадии развития. Большинство пользователей не уверены в том, как данные, которые они предоставляют, используются компаниями или государственными органами, и не знакомы с имеющимися в наличии мерами защиты, направленными на предотвращение утечки данных. В результате некоторые пользователи могут проявлять «слепое» доверие к защите данных и раскрытию персональных данных онлайн, не учитывая аспекты безопасности. По мнению участников, такое поведение присуще молодым людям, пользующимся платформами социальных медиа. На другом конце спектра пользователи показывают общее недоверие к защите их персональной информации, опасаясь, что информация, которую они раскрывают, будет утеряна или использована государственными органами ненадлежащим образом. В связи с такой обеспокоенностью многие граждане не захотели делиться своими биометрическими данными с правительством, что требуется для целей идентификации личности в ходе проведения выборов в стране.
Повышение осведомленности. Данный фактор сосредоточен на распространении и структуре программ по повышению осведомленности о рисках и угрозах кибербезопасности, их устранению, направленных на широкую публику и лиц, занимающих руководящие позиции.
Отсутствие осведомленности о вопросах кибербезопасности в Кыргызстане признавалось в ходе обсуждений с различными заинтересованными лицами во время проведения обзора. В связи с новизной вопроса программы по повышению осведомленности еще не разработаны: не проводятся ни отраслевые, ни национальные кампании. Однако некоторые участники выразили мнение о том, что до разработки и реализации национальных программ по повышению осведомленности в области кибербезопасности необходимо, в первую очередь, повысить ИКТ грамотность. В то же время, для распространения сообщений, связанных с вопросами безопасности, можно использовать кампании по повышению уровня грамотности в сфере ИКТ. Этот экономически выгодный шаг можно реализовать даже до начала работы над созданием национальной программы повышения осведомленности о вопросах кибербезопасности. Участники различных групп заинтересованных лиц выразили единодушное мнение о том, что правительство является наиболее подходящим органом для координации программы по повышению осведомленности в области кибербезопасности. При этом правительство должно работать совместно с другими заинтересованными лицами, в частности, из частного сектора, гражданского общества, научных кругов и ИТ экспертов.
Даже несмотря на то, что в момент проведения обзора какие-либо скоординированные усилия по повышению осведомленности в области кибербезопасности не предпринимались, отдельные пользователи начали использовать социальные медиа такие как, Facebook, ВКонтакте или Одноклассники, для информирования других пользователей платформ о рисках кибербезопасности и о безопасном поведении онлайн. Аналогичным образом, отмечаются отдельные попытки повысить осведомленность на организационном уровне, чтобы обеспечить осведомленность сотрудников об онлайн рисках. Национальные проекты, реализуемые международными организациями такими как, Детский фонд ООН (ЮНИСЕФ) или Программа развития ООН (ПРООН), которые работают над вопросами электронного управления или грамотности детей в сфере ИКТ, включают компоненты, повышающие осведомленность об информационной безопасности. Однако данные компоненты зачастую получают только небольшую часть проектного финансирования, что ограничивает их объем и возможность отслеживать результативность кампаний.
Среди лиц, занимающих руководящие позиции в государственном и частном секторе, уровень осведомленности о вопросах кибербезопасности очень ограничен, что является одной из причин того, что повышение осведомленности в области кибербезопасности не считается приоритетом. Курсы по повышению осведомленности в области кибербезопасности для сотрудников старшего звена проводятся только в телекоммуникационном секторе. Аналогичных курсов для государственного сектора или иных представителей частного сектора не проводится.
В целом, участники исследования выразили обеспокоенность о разрозненном характере текущих попыток повысить осведомленность и призвали к централизованному подходу, в основе которого будут лежать существующие инициативы и опыт.
3.6 Основа для образования
Данный фактор рассматривает важность высококачественного обучения по вопросам кибербезопасности и наличие квалифицированных преподавателей. Более того, данный фактор изучает необходимость в повышении качества обучения на национальном и институциональном уровне, а также сотрудничество между правительством и отраслью в обеспечение того, чтобы инвестиции в обучение соответствовали потребностям среды кибербезопасности во всех секторах. Развитие образовательных платформ по вопросам кибербезопасности находится на начальной стадии формирования в Кыргызской Республике и представляет собой наиболее продвинутый параметр потенциала в стране. Существует множество бакалаврских и магистерских программ в сфере ИКТ, например, бакалаврская и магистерская программа в сфере ИКТ и систем и разработки программного обеспечения в Кыргызско-Российском Славянском Университете и в Кыргызском Государственном Техническом Университете, магистерская и докторская программы в области компьютерной инженерии в Кыргызско-Турецком университете «Манас», или курсы по компьютерной лингвистике и коммуникационным сетям и системам в Ошском технологическом университете.
Несколько университетов также предлагают специальные программы по вопросам безопасности, включая информационную безопасность (Кыргызский Государственный Технический Университет) и отдельные курсы в рамках более общих программ как, например, магистерская программа в области компьютерной инженерии в Кыргызско-Турецком университете «Манас», которая включает курс по информационной безопасности.
Несмотря на то, что некоторые участники из академических кругов указали на наличие планов по расширению докторских программ, текущие программы по данной тематике ограничены бакалаврскими и магистерскими программами, поэтому специальных программ с присвоением степени в сфере кибербезопасности пока не существует. Более того, существующие программы, которые затрагивают вопросы кибербезопасности, ориентируются исключительно на студентов ИКТ и технических программ обучения; для студентов других программ как, например, со специализацией в юриспруденции или бизнесе, такого рода курсы не предлагаются.
Что касается обучения вопросам кибербезопасности на уровне начальной и средней школы, Министерство образования и науки КР начало разрабатывать предмет «компьютерная грамотность», включающий компонент кибербезопасности, для учеников пятого класса и выше. В настоящее время предмет внедрен в пилотном режиме. Однако, по мнению нескольких участников, обучение ИКТ и кибербезопасности должно стать неотъемлемой частью учебной программы с первого класса. Наличие квалифицированных преподавателей отмечается как одно из препятствий в развитии и становлении обучения в сфере кибербезопасности для студентов и школьников разных возрастов.
Также было отмечено, что важный шаг к обеспечению соответствия университетских курсов потребностям рынка - установить связь отрасли с научными кругами в деле разработки образовательных программ в области кибербезопасности. Такие инициативы не носят регулярного характера и не скоординированы, несмотря на наличие некоторых инициатив сотрудничества между телекоммуникационным сектором и научными кругами, включая трансграничное сотрудничество с университетами и компаниями в России.
Аналогично сектору образования, учебные курсы предоставляются преимущественно разрозненно различными организациями и отличаются по своей глубине и охвату. Существуют учебные курсы по вопросам кибербезопасности для ИТ экспертов, особенно в телекоммуникационном и финансовом секторах, на которые, по мнению участников, есть высокий спрос. Однако несколько участников затронули вопрос качества обучения, поскольку, на их взгляд, основными целями данных тренингов являются продажа коммерческой продукции или услуг и «охота за талантами». Более того, международные программы обучения и сертификации как, например, предлагаемые Microsoft или Oracle, являются слишком дорогостоящими для многих организаций. Те организации, которые могут себе позволить подобного рода программы профессиональной подготовки кадров, направляют специалистов на обучение в другие страны, в т. ч. Россию, Казахстан, Германию и Индию. Как следствие, можно сделать вывод, что местные программы не удовлетворяют спрос в обучении. Поскольку учебные программы постепенно расширяются на национальном уровне, передача знаний между сотрудниками представляет собой эффективный и малозатратный способ повышения навыков. Участники не могли поделиться примерами, когда знания эффективно передавались или считались переданными.
Некоторые участники также критиковали отсутствие сотрудничества между научными кругами и частным сектором. В большинстве случаев программы обучения разрабатываются университетами или компаниями изолированно, то есть, координированного подхода к разработке данного рода программ среди организаций и секторов пока не существует. Это ведет к пробелу между спросом и предложением в контексте обучения по вопросам кибербезопасности. Совместные программы обучения, объединяющие научные круги и частный сектор, могли бы оптимизировать использование редких финансовых ресурсов и экспертизы, а также адаптировать тренинги потребностям обучаемых.
Рекомендации. С учетом информации, представленной в обзоре уровня развития образования, обучения и навыков в области кибербезопасности, следующие рекомендации предлагаются Кыргызской Республике. Эти рекомендации направлены на предоставление консультаций и описание шагов, которые необходимо предпринять для улучшения действующего потенциала в области кибербезопасности с учетом Модели развития потенциала в области кибербезопасности, разработанной Центром. Повышение осведомленности:
Разработать национальную программу повышения осведомленности о вопросах кибербезопасности как часть мероприятий по повышению уровня ИКТ грамотности для определенных целевых групп, фокусируясь на самых уязвимых пользователях, в частности, на молодежи. Назначить государственный орган ответственным за реализацию и мониторинг программы по повышению осведомленности в области кибербезопасности.
Координировать разработку и реализацию программы повышения осведомленности с соответствующими заинтересованными лицами из частного сектора, научных кругов и гражданского общества.
Разработать специальную программу повышения осведомленности для руководителей частного и государственного секторов.
Основы для образования:
Разработать специальные программы обучения с присвоением степени в области кибербезопасности и расширить спектр курсов по вопросам кибербезопасности для студентов нетехнических факультетов (юридический факультет, факультет менеджмента и т. д.).
Создать образовательные программы по вопросам кибербезопасности для преподавателей, чтобы обеспечить наличие квалифицированных сотрудников, которые могли бы преподавать вновь созданные курсы по кибербезопасности.
Координировать консультации среди правительства, частного сектора, научных кругов и заинтересованных лиц из гражданского общества, результаты которых будут учитываться при определении приоритетов образования в области кибербезопасности. Разработать инициативы сотрудничества для укрепления взаимодействия между университетами и национальной экономикой.
Интегрировать модули по кибербезопасности в учебную программу начальной и средней школ.
Основы профессиональной подготовки кадров:
Определить потребности в обучении по вопросам кибербезопасности и разработать учебные курсы, семинары, онлайн ресурсы для целевых демографических групп, включая других профессионалов (за исключением ИТ). Обеспечить понимание потребностей в обществе и задокументирование перечня требований к данного рода обучению.
Разработать программу обмена знаниями в целях усиления сотрудничества и координации между поставщиками обучающих услуг из частного сектора и научных кругов.
Создать инициативы, направленные на создание рабочих мест по вопросам кибербезопасности внутри организаций, и стимулировать работодателей обучать сотрудников для того, чтобы они стали профессионалами в области кибербезопасности.
Институционализировать передачу знаний между обученным и необученным персоналом внутри организаций в целях максимизации результатов обучения.
Стремиться к тому, чтобы обучающие программы по кибербезопасности соответствовали потребностям страны в обучении и предоставлять финансовую поддержку при участии в дорогостоящих местных курсах.
3.7 Законодательная база
В рамках настоящего фактора рассматриваются законодательные и регулятивные рамки, связанные с кибербезопасностью, включая законодательные основы в сфере ИКТ безопасности, неприкосновенности частной жизни, свободы речи и иных прав человека онлайн, защиты персональных данных, защиты прав детей, защиты прав потребителей, интеллектуальной собственности, материального и процессуального законодательства по вопросу кибер преступлений.
Развитие законодательной базы, полностью регулирующей вопросы кибербезопасности и киберпреступлений все еще находится на начальной стадии в Кыргызстане. В то время как ряд законов рассматривают некоторые аспекты кибербезопасности (защита персональных данных или доступ к информации в ведении государственных органов), другие ключевые аспекты (защита прав детей онлайн и т. д.) пока не нашли отражения на законодательном уровне. Соответствующие положения можно найти в следующих нормативных правовых актах:
Конституция Кыргызской Республики 2010 года
Уголовный кодекс Кыргызской Республики 1997 года
Закон Кыргызской Республики «О средствах массовой информации» 1992 года
Закон Кыргызской Республики «О гарантиях и свободе доступа к информации» 1997 года
Закон Кыргызской Республики «Об электрической и почтовой связи» 1998 года
Закон Кыргызской Республики «О правовой охране программ для электронных вычислительных машин и баз данных» 1998 года
Закон Кыргызской Республики «Об авторском праве и смежных правах» 1998 года
Закон Кыргызской Республики «Об информатизации и электронном управлении» 1999 года
Закон Кыргызской Республики «О национальной безопасности» 2003 года
Закон Кыргызской Республики «Об электронном документе и электронной цифровой подписи» 2004 года
Закон Кыргызской Республики «О доступе к информации, находящейся в ведении государственных органов и органов местного самоуправления Кыргызской Республики» 2006 года
Закон Кыргызской Республики «Об информации персонального характера» 2008 года
Закон Кыргызской Республики «Об электронном документе и электронной цифровой подписи» 2009 года
Закон Кыргызской Республики «О биометрической регистрации граждан Кыргызской Республики» 2014 года [13].
В ходе исследования участники выразили обеспокоенность касательно реализации данных законов, поскольку во исполнение многих из них не были приняты подзаконные акты, в которых бы определялись роли и ответственность за их правоприменение.
Кыргызстан еще не принял специальных законов и подзаконных актов, регулирующих защиту прав человека онлайн, тем не менее, страна ратифицировала несколько международных инструментов в сфере защиты прав человека, включая Международный пакт о гражданских и политических правах, Конвенцию против пыток и других жестоких, бесчеловечных и унижающих достоинство видов обращения и наказания, Конвенцию о ликвидации всех форм дискриминации в отношении женщин, Конвенцию о правах ребенка и Международную конвенцию о ликвидации всех форм расовой дискриминации. Фундаментальные принципы прав человека кодифицированы в Разделе II (Права и свободы человека) Конституции Кыргызской Республики, включая право на частную жизнь, тайну переписки, которая также включает электронную связь (Статья 29), свободу выражения и свободу мнений (Статья 31) и свободу ассоциации (Статья 35). В дополнение, конфиденциальная информация, переданная средствами электронной связи, особо защищается Законом КР «Об электрической и почтовой связи» (Статья 21), а право на доступ к информации, находящейся в ведении государственных органов, защищается Законом КР «О доступе к информации в ведении государственных органов и органов местного самоуправления Кыргызской Республики» (Статья 3. Однако участники отметили, что действующее законодательство в сфере прав человека может быть недостаточным для решения всех вопросов защиты прав человека онлайн и во время проведения расследований кибепреступлений, указывая на необходимость во вторичном законодательстве. В частности, отсутствуют защитные меры при проведении расследований правоохранительными органами, включая электронные доказательства.
Среди различных правовых аспектов, которые оценивались в МРПК, Кыргызская Республика достигла наибольшего прогресса в сфере защиты персональных данных. Закон КР «Об информации персонального характера» 2008 года определяет конкретные инструкции по обработке и защите персональных данных, включая процессы сбора данных, ограничения на удержание данных и запрет раскрытия информации третьим лицам без согласия лица. Однако акт в реализацию закона до сих пор не был принят. Кроме того, участники из различных государственных учреждений обратили внимание на то, что некоторые его положения недостаточно детально прописаны, и указали на отсутствие специального органа, ответственного за надзор и мониторинг исполнения закона, что в итоге приводит к недостаткам в реализации.
Положений по другим направлениям законодательства в области кибербезопасности пока не было принято. Кодекс Кыргызской Республики «О детях» 2012 года содержит положения о правах детей и их защите от вреда, но в нем отсутствуют положения, касающиеся онлайн пространства или использования детьми технологий. Важные аспекты защиты прав детей онлайн (предотвращение доступа детей к вредному онлайн контенту, защита прав детей онлайн, защита от онлайн обольщения или кибер оскорблений и т. д.), еще не нашли своего отражения в законодательстве. Однако недавние инциденты, связанные с указанной ранее онлайн игрой «Голубой кит» и использованием Интернета для рекрутинга в террористических целях, побудили общественные обсуждения вопроса защиты детей онлайн и могут далее привести к внесению соответствующих поправок в законодательство в целях заполнения существующих пробелов. Ведущее агентство в данной ситуации - местный офис ЮНИСЕФ - начал разрабатывать информационные листки по вопросам защиты прав детей онлайн и запустил акцию, направленную против самоубийств, связанных с игрой «Голубой кит».
Закон, который бы регулировал защиту прав потребителей онлайн, на данный момент отсутствует, что, впрочем, присуще большинству развивающихся стран и стран с переходной экономикой. Несмотря на то, что Закон Кыргызской Республики «О защите прав потребителей» 1997 года предусматривает общие положения по защите прав потребителей, а Закон КР «Об электрической и почтовой связи» упоминает, что права потребителей защищены при электронной коммуникации (Статья 36), вопрос о принятии специальных нормативных правовых актов, защищающих потребителей от онлайн мошенничества, пока не рассматривался. Данное положение возможно по причине крайне ограниченного количества сервисов электронной торговли в стране.
Аналогичным образом, несмотря на наличие законодательных актов, предусматривающих общие нормы, в целом, законодательство в области интеллектуальной собственности не применимо к онлайн контенту и услугам. Тем не менее, вопросы интеллектуальной собственности в онлайн среде, программное обеспечение с открытым исходным кодом и лицензии Creative Commons стали предметом публичных обсуждений и могут послужить основой для разработки соответствующего законодательства в будущем. Общественный фонд «Гражданская инициатива интернет политики» играет важную роль в таких дебатах.
Национальное законодательство в сфере кибер преступлений пока отсутствует. Статьи 289 по 291 Главы 28 (Преступления в сфере компьютерной информации) Уголовного кодекса признают уголовными деяниями неправомерный доступ к компьютерным данным, создание, использование и распространение вредоносных программ для электронных вычислительных машин (ЭВМ) и несанкционированное уничтожение, блокирование и модификацию компьютерных данных. Однако в соответствии с недавними поправками в Уголовный кодекс две из указанных выше статей были отменены, оставив всего лишь одну статью (290), касающейся создания, использования и распространения вредоносных программ для ЭВМ. Более того, совершение многих злонамеренных действий (онлайн мошенничество, кража идентификационных данных и т. д.) не влечет за собой уголовное преследование. Отсутствуют и конкретные положения, устанавливающие четкие процедуры, защитные меры и принципы проведения расследований с использованием цифровых доказательств. В результате, милиция опирается только на традиционные процедуры в расследовании кибер преступлений.
В целом, законодательные акты, регулирующие кибербезопасность и киберпреступления в Кыргызстане, находятся все еще на стадиях стартапа и начального формирования, так как они не охватывают все аспекты кибербезопасности (защита прав потребителей онлайн, цифровые доказательства, защита прав человека онлайн и т. д.), а правоприменительная практика еще недостаточно развита по причине непринятия актов в реализацию законов и отсутствия специально уполномоченных органов.
С учетом обзора уровня законодательной и регулятивной базы для развития потенциала кибербезопасности, Центр разработал следующий набор рекомендаций для рассмотрения Правительством Кыргызской Республики, направленных на повышение существующего потенциала в области кибербезопасности с учетом аспектов Модели развития потенциала в области кибербезопасности, разработанной Центром. Рекомендации для законодательной базы:
Дополнить действующее законодательство актами, касающимися вопросов кибербезопасности, киберпреступлений и защиты данных. Разработать поправки или новые акты, регулирующие в полной мере проблематику киберпреступлений, защиты прав человека онлайн, защиты прав детей онлайн, защиты прав потребителей онлайн и защиты интеллектуальной собственности онлайн.
Принять акты о вступлении в силу существующих (и при этом недействующих законов и наделить соответствующие органы ответственностью за мониторинг исполнения законов в сфере кибербезопасности и защиты данных.
Разработать и принять акты, касающиеся процессуальных полномочий при проведении расследований кибепреступлений и преступлений, с использованием электронных доказательств.
3.8 Ответственное раскрытие информации
Данный фактор изучает наличие основ ответственного раскрытия информации о получении и распространении уязвимой информации в секторах и, при наличии достаточного потенциала, регулярный обзор и обновление таких основ. Ни в государственном, ни в частном секторе нет политики ответственного раскрытия информации, однако участники выразили мнение, что частный сектор больше продвинулся в данном направлении. Фокусируясь на финансовом секторе (несмотря на то, что в нем уязвимости становятся все большей проблемой), уязвимости рассматриваются как конфиденциальная информация, имеющая коммерческую ценность. Как следствие, организации скрывают любые обнаруженные проблемы и не обмениваются официальной информацией с другими учреждениями внутри сектора или с другими секторами.
Не так давно Национальный банк начал инициативу по созданию платформы, где все финансовые учреждения будут обязаны делиться разведывательной информацией об угрозах. Однако в настоящий момент есть только один форум, где эксперты могут неформально обмениваться информацией. В дополнение, небольшой союз банков организовывает семинары, на которых представляются различные гипотетические сценарии, основанные на реальных кибер атаках. На данных семинарах эксперты объясняют, как различные инструменты используются в кибер атаках и какие уязвимости могут быть затронуты. Что касается инцидентов, участники отметили, что финансовые учреждения обращаются к экспертам и стараются скрыть информацию о киберинцидентах (т. е. в случае, когда ряд терминалов вышел из строя по причине кибер атаки, официальное заявления банка содержало в качестве причины объяснение о том, что велось обновление системы.
В телекоммуникационном секторе нет платформ для обмена разведывательноаналитической информацией об угрозах. Как было озвучено в ходе обзора, телекоммуникационный сектор представляет собой довольно небольшой рынок и при этом руководство компаний опирается на личные связи для обмена такого рода информацией. Участники отметили, что в данном секторе пока не возникало инцидентов в сфере кибербезопасности, что предполагает низкий уровень стимулов для обмена аналитической информации и ответственного раскрытия информации.
Рекомендации. С учетом обзора стандартов развития, организаций и технологий, следующие рекомендации представляются на рассмотрение Правительства Кыргызской Республики. Такие рекомендации направлены на предоставление советов и обозначения шагов, которым необходимо следовать для улучшения действующего потенциала в области кибербезопасности с учетом Модели развития потенциала в области кибербезопасности.
Рекомендации по соблюдению стандартов:
Создать программу по укреплению потенциала Правительства адаптировать или принимать международные стандарты для определения исходных показателей в контексте организационной кибербезопасности.
Создать или назначить учреждение, ответственное за реализацию, аудит и оценку успешных стандартов в государственном и частном секторах.
Продвигать принятие международных ИТ стандартов, в частности, в процессе закупок и развития программного обеспечения.
Продвигать осведомленность и реализацию стандартов среди МСБ
Создать рамки для оценки эффективности стандартов закупок и развития программного обеспечения
Контроль над технической безопасностью:
Продвигать среди пользователей понимание важности антивредоносного программного обеспечения
Поощрять ИСП и банки предлагать антивредоносные и антивирусные услуги
Установить показатели для оценки эффективности технического контроля в государственном секторе
Разработать процессы в обоснование более строго технического контроля с учетом методологий оценки рисков в государственном секторе
Создать учреждение или наделить его полномочиями по определению потребности и соблюдения технических мер контроля за кибербезопасностью таких как, SANS 20, CESG 10 steps и PAS 55 в государственном секторе
3.9 Формирование устойчивого электронного правительства. Кибербезопасность
Кибербезопасность - ключевой фактор в формировании устойчивого электронного правительства. С самого начала, еще на этапе проектирования необходимо принимать стратегические меры по обеспечению безопасности. Глобальное сообщество все в большей степени рассматривает ИКТ как основное средство для социально-экономического развития, но предупреждает, что злоупотребление этими технологиями поднимает вопросы государственной безопасности, защиты отдельных лиц и предприятий в связи с бурным развитием глобальной связи. Правительствам необходимо улучшать процедуры, основанные на ИКТ, для обеспечения непрерывного онлайн обслуживания, а также для защиты данных и конфиденциальности людей. В Исследовании установлено, что нужно менять существующие процедуры, а также повышать грамотность в вопросах кибербезопасности среди государственных служащих. В нем отмечается, что нападения в целях вымогательства все чаще затрагивают предприятия и потребителей, а в рамках широкомасштабных кампаний распространяются огромные объемы вредоносных писем. В мае 2017 года кибератака WannaCry вызвала серьезные сбои в критически важных информационных инфраструктурах компаний и больниц в более чем 150 странах, что послужило толчком к более активному глобальному сотрудничеству. Наиболее распространенные препятствия для формирования устойчивого электронного правительства - это недостаточная подготовка и доступность, а также цифровая неграмотность. Существует потребность в доверии, безопасности и конфиденциальности, которые можно обеспечить путем принятия следующих мер в области кибербезопасности: принятие согласованного набора законов на региональном и международном уровнях в отношении использования ИКТ в преступных или других пагубных целях; интеграция соответствующих технических возможностей для выявления и реагирования на кибератаки и для обеспечения атмосферы доверия и безопасности; и установление минимальных критериев безопасности и схем сертификации для программных приложений и систем. Для создания безопасной системы электронного правительства поставщики, промышленные предприятия и производители должны сотрудничать между собой. Таким образом можно с самого начала обеспечить безопасность устройств, а пользователи смогут их обновлять и, в частности, вносить изменения в конфигурацию. Переход на цифровые технологии необходимо тщательно планировать и постоянно обновлять план, чтобы обеспечить безопасность и актуальность на пути к устойчивому развитию.
Известно, собственно, что лишь только полный и системный подход к выполнению установленных задач способен привести к достижению намеченных целей. Это в абсолютной мере относится и к процессу реализации «Таза Коом», предполагающего внедрение новейших информационных технологий в сфере государственного управления. Успех внедрений во многом зависит от корректности постановки вопросов, требующих решения и заключения.
Но мониторинг одобренного правительством плана реализации событий и мероприятий по реализации концепции цифровой трансформации толкует о недостающем качестве его подготовки. Документ, включающий в себя 55 приоритетных задач, по сущности, считается сводом планов, осуществленным на базе поручений госорганам дать многообещающие планы в сфере информационно-коммуникационных технологий. Почти все из них предполагают собой локальные события в рамках настоящей работы государственных органов. При данном, в план мероприятий не вошли десятки своевременных ИКТ-проектов, запланированных министерствами и ведомствами.
Подобные документы
Создание единого Интернет-портала государственных услуг, объединяющего в рамках общей системы навигации сайты государственных органов в Интернет. Анализ реализации концепции "электронного правительства" в России. Основные проблемы и пути их преодоления.
реферат [1,6 M], добавлен 19.06.2014Разработка универсальной системы электронного документооборота HotDoc с разграничением прав доступа пользователей, с эффективной системой поиска документа, с возможностью внедрения в различные организации. Реализация программы в виде веб-приложения.
дипломная работа [5,5 M], добавлен 24.09.2012Общая характеристика крупного учебного, научного и научно-методического образования подготовки специалистов. Принципы и ступени разработки и внедрения системы менеджмента качества. Реляционная модель базы данных и система электронного анкетирования.
курсовая работа [609,4 K], добавлен 13.07.2011Использование интерактивных средств обучения в младшей школе. Анализ необходимости внедрения современных компьютерных технологий в начальную школу. Разработка электронного экзаменатора по информатике средствами Visual Basic, описание созданной программы.
дипломная работа [4,5 M], добавлен 19.12.2013Корпоративные информационные системы класса enterprise resource planning (ERP). Анализ проблем внедрения ERP-систем для малого бизнеса. Стадии проекта, план-график проекта. Риски проекта внедрения. Методики "быстрого запуска". Метод анализа иерархий.
дипломная работа [2,0 M], добавлен 23.08.2017Понятие электронного правительства. Место электронного правительства в решении задачи формирования информационного общества в Российской Федерации. Применимость требований Системного проекта к уровням и ветвям власти. Измерение количества информации.
курсовая работа [3,8 M], добавлен 06.01.2013Основные понятия и преимущества электронного документооборота над бумажным. Проблемы внедрения системы, реализация электронного документооборота. Обеспечение подготовки, автоматизация, форматы и стандарты обмена. Обеспечение гарантированной доставки.
реферат [1,0 M], добавлен 23.02.2011Общие понятия об e-learning. Области применения продукта. Модели и технологии. Исследование и анализ программных инструментов. Создание учебного курса для преподавателей инженерно-экономического факультета. Оценка эффективности внедрения такого обучения.
дипломная работа [4,7 M], добавлен 03.05.2018Анализ угроз и проблем информационной безопасности, технологий защиты информационных систем. Применение данных технологий для пресечения возможных нарушителей и угроз. Выработка требований к технологиям в системе Э-Правительства Кыргызской Республики.
магистерская работа [2,5 M], добавлен 16.05.2015Проблемы внедрения информационной системы. Процесс разработки и внедрения автоматизированной информационной системы на примере музея "Галерея изящных искусств". Рекомендации по устранению основных рисков или снижению степени их влияния на проект.
курсовая работа [3,0 M], добавлен 07.05.2015