Geum.ru

Представлена концепция развития разработки и использования свободного программного обеспечения в Российской Федерации

Вид материалаДокументы

Содержание


Субд линтер
Подобный материал:

Открытое и отечественное программное обеспечение – основа безопасности России


С


.С. КОВАЛЕВСКИЙ

Российская академия естественных наук, Москва

Фонд социального страхования РФ, Москва


ОТКРЫТОЕ И ОТЕЧЕСТВЕННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ –
ОСНОВА БЕЗОПАСНОСТИ РОССИИ


Представлена концепция развития разработки и использования свободного программного обеспечения в Российской Федерации. Для обеспечения информационной безопасности Российской Федерации и возрождения отечественной отрасли информационных технологий предложено создать функционально полный набор системных программ, применяемых при разработке информационных систем любой сложности. Приводится результат успешной эксплуатации крупномасштабной информационной системы Фонда социального страхования РФ.


Информатизация улучшает характеристики сложных систем, уменьшает время их реакции, снижает вероятность появления ошибок. Возрастает управляемость системой, доступность информации, радикально увеличиваются объёмы хранимых данных и уменьшается время доступа к ним. Одновременно с этим появляются новые риски: конфиденциальности, целостности, доступности. Доклад рассматривает разработку открытого отечественного ПО как один из вариантов купирования дополнительных рисков автоматизации.

Информатизация деятельности практически всех отраслей народного хозяйства и деятельности человека в целом – вопрос времени. За последние тридцать лет в нашей стране работа с вычислительной техникой и компьютерами вылилась из закрытых институтов и «ящиков» сперва в обязательные курсы вузов, а последние лет 10 уже не является экзотикой и в средних школах.

Удобство работы с цифровым представлением информации неоспоримо, а возможности ограничиваются тремя факторами: технической грамотностью оператора, текущим уровнем программного обеспечения и техническими возможностями аппаратуры. Все три ограничения год за годом становятся всё более и более призрачными.

Однако новые возможности всегда таят в себе и новые «подводные камни». Вместе с доступностью информации возникают трудности с обеспечением её конфиденциальности, лёгкость управляемости приводит к угрозам потери контроля, большие объемы данных, сконцентрированные в одном месте, легко могут стать жертвой обстоятельств или злого умысла.

Любой из нас может оказаться в ситуации, когда сведения о его мобильном телефоне или почте попадут в Интернет – в этом случае мы получаем головную боль в виде рассылки надоедливой рекламы или звонков со стороны распространителей дешевой парфюмерии. Люди, работающие удалённо, точно сталкивались с ситуацией, когда им не удавалось подключиться к удалённому рабочему месту из-за слишком большого числа пользователей, либо когда их сессию завершали не в меру усердные коллеги. Результаты выхода из строя или потери флеш-накопителей с почти доделанной дипломной работой, архивом переписки и т.п. перечислять даже не стоит.

Переходя с уровня отдельного пользователя на корпоративный уровень, либо на уровень государства в целом, все эти проблемы и риски следует возводить в квадрат или даже в куб. Не заостряя внимания на обеспечении корпоративной безопасности, что является прерогативой руководства каждой отдельно взятой компании, рассмотрим вопросы информационной безопасности государства и варианты её обеспечения.

Для обеспечения информационной безопасности государства созданы соответствующие институты власти, а также выделены отдельные комитеты в различных ведомствах.

В данном докладе основной упор будет сделан на нормативные документы Федеральной службы по техническому и экспортному контролю.

Под защитой информации понимается предотвращение её утечки, а также несанкционированное и непреднамеренное воздействие на защищаемую информацию.

Защита информации обеспечивается со следующих позиций:
  • правовая защита;
  • техническая защита;
  • криптографическая защита;
  • физическая защита.

По способам защиты выделены следущие направления:
  • защита информации от утечки;
  • защита информации от несанкционированного воздействия;
  • защита информации от непреднамеренного воздействия;
  • защита информации от разглашения;
  • защита информации от несанкционированного доступа;
  • защита информации от преднамеренного воздействия;
  • защита информации от иностранной разведки.

Если оценивать ситуацию в соответствии с приведёнными критериями, то в большей части государственных организаций положение выглядит безрадостно. Зайдя в паспортный стол, можно увидеть, что операционистка раскладывает пасьянс за компьютером с Windows XP. В ЖЭКе или районной поликлинике в большинстве случаев работают с бумажными карточками, документы набивают в Office или пишут от руки. Более крупные организации осваивают невероятные суммы на покупку серверов IBM и установку на них ПО Oracle, правда, не сообщая о конкретных успехах.

Если потратить некоторое время на анализ, можно понять, что решения, завязанные на иностранных производителей ПО, в случае работы с государственными информационными системами, несут в себе существенные риски:
  • правовые риски:
        • высока вероятность установки нелицензионного ПО (недавний пример – «дело Поносова»);
        • лицензионные риски приостановки сопровождения ПО (в качестве примера – приостановка продаж Windows XP);
        • длительность лицензирования для использования в государственных организациях (в отдельных случаях невозможность лицензирования из-за закрытого кода продуктов);
  • материальные риски:
        • дороговизна установки;
        • дороговизна лицензирования для использования в ряде государственных организаций;
        • неэффективность приобретаемого функционала на общую затраченную сумму (ПО зачастую имеет более широкую специализацию, чем от него требуется, либо требует доработки);
        • эффект чистого оттока инвестиций из сферы развития информационных продуктов;
  • информационные риски:
        • риск утечки информации, представляющей государственную тайну;
        • риск потери информации, представляющей государственную тайну;
        • риск потери контроля над системами, реализующими государственную безопасность;
        • риск потери технологической независимости при разработке информационных систем, реализующих государственную безопасность;
        • невозможность сопровождения ряда подсистем сторонними фирмами из-за работы с данными, представляющими государственную тайну.

В качестве купирования подобных рисков можно предложить создание ряда открытых программных продуктов, которые могли бы заменить иностранное ПО с закрытым кодом либо иностранное ПО с неудовлетворительными условиями распространения. Анализ показывает, что базовый набор программных продуктов, реализующих функционал для государственных ИС, относительно невелик:
  • операционная система;
  • СУБД;
  • офисный пакет;
  • система электронного документооборота.

Рассмотрим положительные и отрицательные стороны подобной программы в целом и с точки зрения государственной ИС.

Основные плюсы разработки отечественного ПО:
  • сокращение всех правовых рисков, в первую очередь, рисков отказа от сопровождения;
  • инвестирование во внутреннее производство продукта;
  • создание дополнительных рабочих мест;
  • купирование информационных рисков за счет получения открытого, максимально удобного для лицензирования продукта, либо, как вариант, поднадзорная разработка продукта.

Основные минусы разработки отечественного ПО:
  • возникновение инвестиционных рисков при вложении средств в разработку отечественного ПО;
  • первоначальные затраты на внедрение и переобучение персонала;
  • необходимость подготовки институциональной базы, разработка соотвествующих ГОСТ.

Приведённые минусы безусловно справедливы для систем общего пользования. Однако будучи рассмотренными с точки зрения государственных ИС, эти сложности видоизменяются.

Первый и важнейший риск, инвестиционный, перекладывается на плечи конечных разработчиков, наиболее успешно проявивших себя в отрасли.

Более того, текущий анализ показывает, что инвестиционный риск по приведённому минимальному комплекту программ незначителен:
  • существует набор операционных систем отечественного или совместного производства, с заметной долей отечественных разработчиков, с открытым кодом на базе Linux, часть из них уже прошли государственное лицензирование:
        • Alt Linux;
        • Mandriva;
        • ОС МВС;
  • на рынке информационных продуктов присутствуют СУБД отечественного производ­ства:
        • СУБД HyTech;
        • СУБД ЛИНТЕР;
  • в свободном доступе существует офисный пакет с открытым кодом, OpenOffice, в том числе, и в составе ОС, упомянутых выше, который также обеспечивает совместимость с офисным пакетом Microsoft Office.

Рассмотрим сложности первичного внедрения ПО и обучения персонала:
  • затраты на первичное внедрение отечественных продуктов зачастую оказываются сопоставимыми с затратами на внедрение аналогичных продуктов иностранных разработчиков. В данном случае невысокая степень информатизации части государственных структур может только пойти на пользу. Более того, узкая специализация и заведомо известный спектр задач приводят к тому, что многие требования к собственным разрабатываемым продуктам могут быть снижены, чего зачастую нельзя сделать относительно поставляемых коробочных продуктов и решений;
  • риски, связанные с внедрением ПО, сокращаются прямо пропорционально качеству и скорости взаимодействия заказчика с исполнителем. В случае с отечественным заказчиком качество взаимодействия потенциально может выводиться на более высокий уровень;
  • с точки зрения обучения персонала, организации учебных курсов, семинаров, подготовки учебных материалов, частоты и качества взаимодействия, преимущества потеценциально на стороне отечественных разработчиков. Приложение идентичных средств резидентом и нерезидентом в данном случае будет усилено отсутствием институциональных ограничений в пользу первого;
  • реализация программных продуктов в рамкай единых концепций графического интерфейса так же приводит к снижению времени обучения. Ярким примером в данном случае могут быть новые linux-подобные системы с графическим интерфейсом, не уступающим разработкам компании Microsoft.

Последняя из основных сложностей, разработка соответствующей институциональной базы и подготовка стандартов, также возникает как в случае внедрения иностранного ПО, так и в случае внедрения ПО отечественного. Здесь можно отметить очевидную перемену настроений законодательных органов. Государство стало заинтересовано в развитии собственных информационных технологий в областях, затрагивающих интересы безопасности. Более того, если ранее отечественные ГОСТ по информационной тематике являлись калькой ISO, то теперь появляются федеральные законы и подзаконные акты, явным образом отражающие интересы властных структур в области информатизации [1, 2].

Примером удачной разработки и внедрения единой интегральной информационной системы, построенной на отечественных программных продуктах, является ЕИИС «Соцстрах». Ядром информационной системы является СУБД HyTech, работающая более чем в 450 структурных подразделениях Фонда социального страхования РФ.

ЕИИС объединяет работу программных продуктов, необходимых как для эффективной организации работы внутри ФСС РФ, так и для реализации задач, возложенных на данный внебюджетный фонд.

ЕИИС включила в себя следующие программные продукты:
  • служебные («Администратор»);
  • внутреннего пользования («Бухгалтерия», «Делопроизводство», «Зарплата», «Материальные активы», «Отдел кадров», «Штатное расписание», «Справочник телефонов» и т.д.);
  • производственный функционал («Возмещение вреда», «Камеральные проверки», «Медицинские услуги», «Обеспечение ТСР», «Оздоровление детей», «Отчеты Ф1-НС», «Профилактика», «Путёвки», «Расчёт размера утраченного заработка», «Ревизор», «Регистратор», «Реестр родовых сертификатов», «Страховые случаи», «Форма 1-СНР», «Форма 4», «Форма 6», «Юрист» и т.д.);
  • глобальные системы мониторинга РМВ («Финансовый контроль», онлайн-портал «Поисково-мониторинговая система ФСС РФ»).

Как видно из этого внушительного списка, существует довольно широкий список задач, успешно решаемых отечественными разработчиками на отечественных же продуктах, равно как и широкий спектр отечественных интеграторов, применяющих программные решения собственной разработки.

Таким образом, вариант купирования рисков внедрения информационных систем в государственные органы путем разработки собственных, отечественных программных продуктов с открытым кодом имеет право на жизнь, и, более того, неоднократно оправдал себя на протяжении последнего десятилетия.


СПИСОК ЛИТЕРАТУРЫ

  1. Авинова Ю. Информационная политика Российского государства на современном этапе: концептуальные и основные задачи [Электронный ресурс]: Институт развития свободы информации. − Режим доступа к ресурсу: dainfo.org/info/page?tid=633200007&nd=458202135.
  2. CNews Аналитика. Средства защиты информации и бизнеса 2008 [Электронный ресурс]: Интернет-издание о высоких технологиях. − Режим доступа к ресурсу: .ru/reviews/free/security2008/index.shtml.