03.07.06. -- "Безопасность превыше всего":аудит ИКТ-систем по-английски
Материал из Egg.elrussia.ru.
Одной из главных проблем перехода с бумажного на электронный документооборот остается проблема безопасности. Так, британская The Police Information Technology Organization(PITO) начала очередной этап проекта, направленного на выявление «ахиллесовой пяты» систем электронного документооборота, с последующей корректировкой нормативных актов для повышения защищенности электронного документооборота - IT Health Check Scheme.
История проекта
The Police Information Technology Organization формально является неправительственной организацией, однако членами правления (высшего руководящего органа) являются государственные служащие, занимающие посты в Министерстве внутренних дел Великобритании, Association of Chief Police Officers (ACPO), и иных ведомств, что говорит о значении работы организации. Это неудивительно, ведь PITO занимается разработкой, внедрением и обслуживанием ИКТ-систем государственных органов Великобритании, в частности, органов правопорядка и системы уголовного судопроизводства. Таким образом, можно говорить о большой роли (PITO) в организации электронного документооборота в органах государственной власти Соединенного королевства.
В 2003 году PITO заключило с правительственной организацией CESG (the Government's National Technical Authority for Information Assurance) рамочное соглашение, которое предполагало создание проекта IT Health Check Scheme. Роль проекта заключалась в том, чтобы стандартизировать программные приложения, используемые органами государственной власти. Для выявления слабых мест информационных систем, и разработки рекомендаций по стандартизации применялись специализированные тесты, а также ряд проверок на соответствие квалификации пользователей ИКТ-систем предъявляемым требованиям. Проект имел большую актуальность, так как аудируемые в рамках IT Health Check Scheme технологические решения являются одними из составляющих т.н. Сriminal Justice Extranet – (CJX) – ИКТ-системы, связывающей систему органов правопорядка Великобритании в единое целое. С помощью CJX авторизованный пользователь может не только получить доступ к базам данных полиции Великобритании, но также осуществлять переговоры по защищенным линиям связи, иметь доступ к данным архивов преступлений, и т.п. Она связывает офисы полиции, судов, прокуратуры, а также взаимодействует с иными государственными ИКТ-системами. И возможность несанкционированного доступа к данной системе для государства крайне нежелательна.
Проект же IT Health Check Scheme направлен не только на выявление уязвимых мест, но также и на проверку пользователей вышеупомянутой системы – как на соответствие использования информационных ресурсов по назначению, так и на «пользовательскую грамотность» - умение работать с системой в наибольшей эффективностью.
Для осуществления проверки, привлекаются частные компании, прошедшие строгий отбор. В зависимости от результата проверок, компания занимает определенное место в рейтинге тестеров. Система оценок в рейтинге чрезвычайно проста: «Зеленая метка» рейтинга – милости просим. «Красная метка» - access denied.
Примечательно, что, хотя рейтинги присваиваются компании в целом, уход из ее рядов всех сотрудников, прошедших обучение для работы в системе CJX, автоматически приводит к получению «красной метки».
Подобный подход позволяет правительству Великобритании решать сразу несколько задач:
• Аудит на безопасность (поиск слабых мест системы, ошибок в программном коде)
• Аудит на соответствие (проверка знаний и умений пользователей системы)
• Формирование «инфраструктуры доверия» (как среди госслужащих, так и среди населения)
• Обеспечение своевременного изменения профильного законодательства (в зависимости от результатов тестов и проверок).
Возможно, рассмотренная практика аудирования не идеальна – однако она работает. И лучшим подтверждением ее пользы является недавно анонсированный «перезапуск» проекта. Значит за три года существования IT Health Check Scheme доказал свою востребованность и успешность.
