Об итальянском опыте в области развития информационных и коммуникационных технологий (ИКТ) и их прикладного использования для создания национальных е-систем

1. Характеристика государственного механизма координации работы в сфере ИКТ.

В настоящее время в Италии, наряду с правовым урегулированием проблем, возникающих в сфере электронной торговли, происходит активный разносторонний процесс развития и совершенствования системы государственного и административного управления, в основе которого лежит всеобщая информатизация учреждений государственного сектора, создание общенациональных электронных систем и их взаимодействие как между собой, так и с предприятиями и населением посредством внедрения ИКТ. Свидетельством повышенного внимания со стороны Правительства Италии к данным вопросам является проводимая реорганизация государственных органов, координирующих политику в рассматриваемой области. В частности, в 2001 году это выразилось в учреждении Министерства по инновациям и технологиям Италии и создании соответствующего Управления по инновациям и технологиям при администрации Совета министров.

К данному Министерству перешли полномочия управления и координации национальной политики в указанной сфере от действовавшего самостоятельно до этого момента Комитета по информатизации государственных учреждений (Autorita' per l'Informatica nella Pubblica Amministrazione - AIPA). Ожидается, что в ближайшее время AIPA будет преобразован, слившись с т.н. Техническим центром при администрации Совета министров, в рабочий орган при Министерстве и продолжит выполнение текущих задач по развитию информатизации итальянского общества. Предположительно, Комитет будет переименован в Национальное агентство по инновациям и технологиям.

Вместе с тем, важнейшей задачей AIPA продолжает оставаться подготовка т.н. "трехлетнего плана" информатизации государственно-административных органов страны, обновляемого и утверждаемого ежегодно. План включает предложения для Правительства по финансированию конкретных тематических проектов и программ в рассматриваемой области (электронная система декларирования и оплаты налогов, электронный рынок работы, электронное удостоверение личности, национальная информационная сеть, e-procurement, унифицированная система персонала и десятки других) и соответствующих дальнейших мероприятий в отдельных министерствах, центральных и региональных органах управления и администрациях. Данная работа проводится Комитетом в соответствии с действующими законодательными и нормативными документами, директивами Правительства и по согласованию с текущими нуждами всех перечисленных выше типов организаций. С этой целью AIPA готовит и рассылает в администрации различного уровня соответствующий циркуляр, включающий «основные направления трехлетнего развития» и запрос на предоставление предложений от администраций по их текущим требованиям к финансированию проектов. На основании этих предложений и формируется вышеуказанный план.

2. Нормативная база.

В сфере правового регулирования электронной торговли в настоящее время в Италии действуют около тридцати директив ЕС и более двух десятков национальных нормативных актов, принятых в основном в развитие положений директивных указаний ЕС.

К разряду основных нормативных правовых актов Италии, регулирующих порядок осуществления электронной торговли, относится закон от 31.03.98 г. № 114 «О реформе законодательства в сфере электронной торговли», закон от 15.03.97 г. № 59 «Об электронной подписи», декрет Председателя Совета министров Италии от 8.02.99 г. «Об электронном документе и кодовых ключах». Вопросы защиты прав потребителей в сфере электронной торговли регулируются нормами 5 главы Гражданского кодекса Италии, введенной в действие законом от 21.12.99г. № 526.

Кроме вышеуказанных национальных законодательных актов, регламентация этого вида торговли осуществляется директивами ЕС, основными из которых являются директива 2000/31/СЕ «Об основных юридических аспектах предоставления услуг информационными фирмами в области электронной торговли» (введена в действие законом от 17.07.2000 г. № 178), директива 1985/577/СЕЕ «О юридическом статусе контракта, заключенного за пределами коммерческого офиса» (введена в действие законом от 3.02.92 г. № 27), директива 1997/55/ЕС «О рекламе в сфере электронной торговли» (введена в действие законом от 25.02.2000 г. № 67) и директива 2000/46/СЕ, которой определялся перечень и юридический статус государственных организаций в странах-членах ЕС, уполномоченных осуществлять контроль в сфере электронной торговли. Законом от 15.03.97 г. № 59 была установлена административная ответственность за нарушения правил электронной торговли в виде штрафа в размере от 5 млн. ит. лир (около 2500 евро) до 30 млн. ит. лир (примерно 15000 евро) и лишения права заниматься электронным бизнесом.

Что касается развития системы государственного и административного управления в сфере ИКТ, то важнейшими правительственными решениями, в соответствии с которыми скоординирована работа по подготовке вышеуказанного нового «трехлетнего плана», являются Директива Министра по инновациям и технологиям «Основные направления в области информатизации администраций» от 21 декабря 2001 года и подготовленный на ее основе в феврале 2002 года Межминистерским комитетом по информатизации общества документ «десять приоритетных задач на ближайшее время», утвержденный Премьер-министром Италии 13 февраля 2002 года. Сформулированные «10 приоритетов» широко охватывают и пронизывают многие стороны деятельности государственного и административного аппарата. В тоже время отмечается, что определенные приоритетные задачи не исключают возможности для формулирования и реализации автономных специфических целей в рассматриваемой области отдельно взятыми центральными административными органами.

К "десяти приоритетным задачам" относятся:

*1*. Все приоритетные услуги должны быть доступны в режиме on line.

При рассмотрении данного направления было осуществлено определение категории «приоритетные услуги», т.е. имеющие наиболее важное значение для граждан и предприятий, и, следовательно, подлежащие первоочередному включению в инициативы по информатизации соответствующих центральных и местных государственных администраций. На основе детализированного перечня услуг, соответствующим образом структурированного и включавшего более 600 пунктов, был проведен отбор по жесткой системе, использовавшей шесть критериев «полезности»:

• средняя частота использования услуги;
• «дополнительная ценность» (valore aggiunto) услуги для пользователя (на базе параметров, определенных e-Europe: «Registration», «Licence», «Income», «Return»);
• предрасположенность к использованию Интернета той частью пользователей, к которым адресована услуга;
• соответствие среднего объема платежей (если предусмотрено услугой) порядку осуществления on line;
• доступность канала, лучшего чем Интернет для распределения услуги для пользователей;
• отсутствие «ошибочных» (falsi) услуг.

В результате было определено ядро из 80 приоритетных услуг. Первичная экспертная оценка позволила определить, что к настоящему моменту в Италии лишь около 5% приоритетных услуг (которые затрагивают хотя бы 50% населения) задействованы соответствующим образом. Согласно задачам, поставленным правительством страны, в пределах 2005 года все приоритетные услуги должны стать доступными on line.

Для достижения поставленных в рамках данного направления целей, согласно мнению итальянских специалистов, должны быть проведены следующие мероприятия:

• реализация национального плана e-government;
• активация национального портала;
• создание национальной сети, которая эффективным образом связала бы все административные органы;
• реализация мер, предусмотренных указанной выше Директивой Министра по инновациям и технологиям;
• со-финансирование действий центральных и местных администраций посредством создания т.н. национального фонда стимулирования;
• определение т.н. высших территориальных центров (centri di eccellenza territoriali).

Однако отмечается возможность сдерживания реализации перечисленных мероприятий по причине недостаточности средств, выделяемых государством на их финансирование. По оценкам специалистов, для этих целей потребуется 1 миллиард 50 миллионов евро, в то время как к настоящему моменту доступно лишь около 250 миллионов евро. В этой связи определенный расчет делается на получение дополнительных ресурсов, которые должны быть сэкономлены в результате реализации самих программ по переведению услуг в режим on line.

*2*. Введение в обращение 30 миллионов электронных удостоверений личности (carte di identita' elettroniche - CIE) и национальных карт обслуживания (carte nazionali dei servizi - CNS).

К настоящему моменту в стране существует порядка 10 тысяч CIE и ни одной CNS. Согласно имеющимся планам их количество в 2005 году должно составить 16 и 14 миллионов соответственно. Главной задачей реализации данной программы является создание национальной инфраструктуры для обеспечения идентификации в сети и доступа посредством этих двух видов документов в унифицированном виде по всей территории страны и для всех государственных и административных учреждений. Важным моментом в продвижении указанных планов в настоящее время является подготовка нормативной базы, которая имела бы более высокий по сравнению с настоящим уровень надежности работы с удостоверяющими документами. Прежде всего, это касается ожидаемых постановлений Министерства внутренних дел Италии, которые должны будут включать технические нормы по отношению к CIE и CNS. Выпуск 30 миллионов электронных документов, реализация системы выдачи и обеспечения их безопасности МВД, а также активация т.н. call center, потребуют, по оценке экспертов, около 320 миллионов евро в дополнение к предоставленным в распоряжение для этих целей 40 миллионам евро. В тоже время, использование CIE и CNS позволит устранить свыше 40 различных видов обращения к услугам, ликвидирует затраты, связанные с применением бумажных удостоверений и большого числа пропусков и других документов, сэкономив 340 миллионов евро.

*3*. Миллион цифровых подписей.

Развитие системы предоставления цифровых подписей специальными аккредитованными сертификационными структурами, по оценке специалистов, не требует каких-либо особенных расходов, поскольку затраты ложатся на долю стороны, гражданина или предприятия, обращающейся за получением сертификата подписи. К настоящему моменту основной задачей в данной области для достижения обозначенной цели является необходимость формирования т.н. вторичной рабочей нормативной базы (инструкций и циркуляров), которая дополнила бы организационно-оперативные и технологические наработки.

*4*. 50% расходов на приобретение материальных ценностей и услуг посредством e-procurement.

В настоящее время в Италии практически завершено определение с нормативно-законодательной точки зрения критериев и методов использования телематических процедур для осуществления материально-технического обеспечения государственных и административных организаций. Существующие объемы расходов в стране на приобретение материальных ценностей и услуг для нужд государственных структур посредством e-procurement оцениваются в 250 миллионов евро. Согласно же планам в 2005 году они должны вырасти до 12 миллиардов евро. Затраты для государства на реализацию такого процесса рационализации и упрощения процедуры закупок административными органами, по оценке специалистов, составят около 94 миллионов евро. При этом единовременный экономический эффект сбережения финансовых средств от введения e-procurement в государственных структурах прогнозируется в размере 1,4 миллиарда евро, а последующая средне оценочная экономия в 90% затрат от процесса приобретения при осуществлении операции закупки на сумму около 200 миллионов евро.

*5*. Все внутреннее почтовое сообщение посредством e-mail.

Согласно планам итальянского правительства, с целью значительного снижения внутренних расходов на коммуникации, управление рабочим взаимодействием и производственной деятельностью, а также для повышения характеристик процесса обращения информации, вся внутренняя переписка в государственных и административных структурах должна быть переведена в 2005 году на использование электронной почты. В настоящее время ее доля составляет 40%. Необходимые расходы на реализацию системы электронной почты в центральных администрациях оцениваются в 50 миллионов евро.

*6*. Все платежные обязательства и финансовые ордера управляются в режиме on line.

Создание электронной системы платежей при государственных администрациях обеспечит снижение стоимости соответствующих процессов, позволит вести эффективный текущий мониторинг расходов и улучшит управление государственными финансовыми потоками. Количество обязательств и платежей («электронных ордеров»), управляемых в режиме on line в настоящее время в Италии составляет около 3.000, в 2005 году планируется довести их число до 25 миллионов. Преобразование в электронный вид всех платежных документов, финансовых бланков и отметок об оплате является в настоящий момент предметом рассмотрения для издания соответствующего правительственного декрета, который должен будет определить новые методологии управления в данной сфере. Кроме того, уже предусмотрено распределение средств на программу электронной подписи, на которую выделено порядка миллиона евро. Однако, по имеющимся оценкам, общие расходы на реализацию задач по этому направлению составят 100 миллионов евро.

*7*. Квалификация всех государственных служащих, имеющих соответствующий допуск.

Из общего числа государственных служащих в Италии, имеющих соответствующие обязанности и допуск, в настоящее время обеспеченны сертификатом ECDL start (European Computer Driving Licence) лишь 30%. Благодаря запуску пилотного проекта по профессиональной подготовке и сертификации под координацией Министерства по инновациям и технологиям и Департамента по государственному управлению администрации Совета министров, в 2005 году все сотрудники будут иметь сертификаты, соответствующие европейским стандартам. Общие затраты на реализацию программ в этой сфере оцениваются в 110 миллионов евро.

*8*. Треть учебно-профессиональной подготовки переводится на использование e-learning.

Достижение цели по переходу от настоящих 4% к 33% в 2005 году применения режима on line в обучении требует проведения мероприятий по определению смешанной дидактической методологии, реализации экспериментальных моделей через пилотные проекты, формированию базового ядра руководств и направлений. Общие необходимые расходы на их реализацию оцениваются в 165 миллионов евро.

*9*. 2/3 учреждений центральной государственной администрации с доступом on line к информации о ходе своей работы.

На данном направлении рассматривается задача предоставления требуемого уровня «прозрачности» в деятельности государственных администраций и обеспечения доступа on line гражданам и предприятиям к информации по вопросам административного функционирования, затрагивающего их интересы. Количество учреждений центральной администрации в Италии, которые предоставляют пользователям такой доступ в электронном режиме, составляет порядка 5% от их общего числа. В 2005 году этот показатель, как планируется, должен будет составить 70%. Также в рамках данного направления должны быть реализованы проекты по созданию т.н. «желтых страниц» государственных организаций и сертифицированной электронной почты для граждан и предприятий. Общий объем необходимых финансовых средств для реализации целей в рассматриваемой сфере оценивается в 250 миллионов евро.

*10*. Все учреждения, предоставляющие услуги, обеспечиваются системой «customer satisfaction».

В данном разделе рассматривается вопрос создания эффективной системы мониторинга качества услуг с целью его дальнейшего повышения и активизации взаимосвязи гражданин-пользователь и государственное учреждение, что означает распространение компетенций и опыта «измерения customer satisfaction» и последующее создание при каждой отдельной администрации т.н. программ непрерывного улучшения. По оценкам специалистов, реализация систем мониторинга потребует финансирования около 50 миллионов евро.

3. Итальянские проекты в области e-government.

На основе определенных в указанном выше документе задач и приоритетных направлений в рассматриваемой области Министерство по инновациям и технологиям Италии совместно с AIPA приступило к разработке и реализации пяти национальных проектов, относящихся к сфере «электронного правительства»:

• электронное правительство в региональных и местных структурах;
• национальный портал;
• электронное удостоверение личности;
• национальная сеть;
• безопасность ИКТ.

План e-government для региональных и местных структур.

В настоящее время около половины всех ресурсов (120 миллионов евро), выделенных согласно национальному плану e-government для местных организаций, находятся в стадии распределения. Итальянские специалисты отмечают, что, несмотря на недостаточность финансовых средств, если рассматривать в целом требования по инновационному и технологическому развитию регионов, провинций и коммун (согласно административному делению Италии), речь идет о беспрецедентном для страны выделении ресурсов на решение вопросов связанных с задачами информатизации местных государственных органов.

Рассматриваемые приоритетные задачи по информатизации местных администраций нацелены на обеспечение граждан и предприятий доступом через электронные сети к основным общественным услугам максимально большего количества местных государственных учреждений, а также на предоставление услуг в единой инфраструктуре со стороны регионов (областей) местным организациям, расположенным на соответствующей территории.

Отбор проектов, которые планируется субсидировать, будет осуществляться Управлением по инновациям и технологиям при администрации Совета министров Италии на основе перечня «приоритетных услуг», сформированного с позиции требований конечного пользователя, т.е. нацеленных на удовлетворение т.н. «жизненных интересов» граждан и предприятий, а не в привязке к организации различных администраций. Центральное финансирование, которое должно будет покрыть до 50% всех затрат, будет осуществляться предпочтительно в отношении проектов, представляемых самими участвующими субъектами: как по «вертикальному» методу (подключение местных учреждений, принадлежащих к данной территориальной единице), так и по «горизонтальному» принципу (например, объединение различных коммун). Особое внимание будет уделяться решениям, которые могли бы взаимно использоваться между администрациями или облегчать перенос методологий от одного учреждения к другому.

В июле 2002 года завершился процесс оценки управлением по инновациям и технологиям представленных проектов и начата реализация отобранных из них. Проекты, получившие таким образом доступ к государственному финансированию, должны будут осуществляться под наблюдением и постоянным мониторингом посредством специально учрежденных т.н. территориальных компетентных центров.

Национальный портал.

Согласно планам итальянского правительства первая версия национального электронного портала, получившего название e-Italia, реализована в 2002 году. Посредством e-Italia каждый гражданин сможет осуществлять ознакомление и обращение к услугам, предоставляемым на всех сайтах, принадлежащих государственным организациям, наиболее простым и эффективным способом быть ориентированным и адресованным в электронной среде в выборе предлагаемых услуг. Основные цели создания национального портала сформулированы следующим образом:

• создание единой точки доступа к услугам государственных административных учреждений;
• обеспечение легкости использования и взаимосвязи также для людей с отклонениями;
• предоставление четкой и целостной информации о государственной организации;
• обеспечение немедленного стандартизированного доступа к услугам посредством использования электронных удостоверений личности и национальных карт обслуживания;
• содействие развитию «перекрещивающихся» услуг;
• осуществление мониторинга качества услуг за счет обратной связи с пользователем, который имеет возможность выражать свое мнение по данному вопросу.

Для решения указанной задачи в настоящее время в стадии реализации находится ряд мероприятий, имеющих целью создание:

• единой системы удостоверения (установления подлинности);
• образца (парадигмы), с помощью которого легко осуществлять диалог и поиск;
• органической интеграции существующих информационных массивов и услуг, ускоряя их количественное и качественное развитие;
• управляющей структуры, «подпитки» портала и поддержки пользователей.

В общей сложности предусматривается финансирование данного проекта на сумму около 30 миллионов евро.

Электронное удостоверение личности.

В результате реализации планов по данному проекту, по мнению специалистов, Италия должна занять ведущую позицию среди европейских стран по введению в действие и применению электронных удостоверений личности. Ближайшей задачей на этом направлении является апробация на практике углубленного использования CIE в качестве инструмента установления личности гражданина и средства доступа к услугам в режиме on line посредством распространения к концу года 2 миллионов электронных документов. Коммуны, которые не смогут использовать CIE, могут проработать вопрос о введении в практику электронных национальных карт обслуживания, которые используют тот же стандарт, что и электронные удостоверения личности, для реализации услуг в сети. С 2004 года планируется переход к полномасштабному режиму распространения CIE, который должен будет достигнуть уровня 5-6 миллионов документов в год.

Национальная сеть.

В настоящее время в Италии уже существует единая сеть государственных учреждений, которая соединяет все центральные административные структуры с их периферийными отделениями, а также с некоторыми регионами. В качестве последующего шага на данном направлении рассматривается реализация более широкой национальной сети, которая позволила бы всем местным администрациям иметь собственные сети, соответствующие и управляемые по единым стандартам в отношении передачи, характеристик и безопасности, которые будут установлены Министерством по инновациям и технологиям.

Безопасность ИКТ.

Тематика обеспечения безопасности в работе с данными, находящимися в управлении и хранении государственных административных органов, является одним из ключевых пунктов всего национального плана по общей информатизации государственных структур. Базовым документом, определяющим в настоящее время политику итальянского государства в области обеспечения безопасности при создании национальных е-систем, является Постановление «Безопасность в области ИКТ в государственном управлении», разработанное Министерством по инновациям и технологиям совместно с Министерством коммуникаций и утвержденном Председателем Совета министров Италии 16 января 2002 года. Главная задача государства по обеспечению безопасности в рассматриваемой сфере на настоящий момент определена в документе как проведение всестороннего изучения вопросов соотношения «риски - безопасность» и дальнейшая выработка мер по снижению уязвимости, обеспечению целостности и надежности национального информационного достояния, а также достижение и удержание передовых позиций в данной области на европейском уровне. Общая ответственность и руководство работой по решению указанной задачи возложены на Министерство по инновациям и технологиям и Министерство коммуникаций Италии.

В этой связи в Постановлении определены следующие приоритетные направления деятельности на первом этапе формирования единой системы ИКТ безопасности в государственном управлении и сформулирован т.н. критерий «базового минимума безопасности».

А. Проведение в короткие сроки самоанализа уровня собственной ИКТ безопасности государственными и административными учреждениями страны на основе специально разработанной инструкции.

В. Определение и реализация требуемых инициатив в привязке к критерию «базового минимума» по выработке единого, но одновременно всесторонне учитывающего отдельные специфики, национального подхода к формированию основных принципов обеспечения ИКТ безопасности государственного управления. По замыслу авторов документа, данные принципы не будут исчерпывать и строго регламентировать все аспекты рассматриваемой проблематики, а должны представить собой серию технико-оперативных указаний, направленных на содействие принятию государственными и административными органами обоснованных конкретных решений по важнейшим проблемам обеспечения безопасности и одновременной разработке основ национальной системы ИКТ безопасности в государственном управлении.

Кроме того, Управлению по инновациям и технологиям при Совете министров Италии и Министерству коммуникаций поручено осуществление выработки программы действий итальянского правительства в области ИКТ безопасности, которая должна сосредоточиться на следующих направлениях:

1. Концептуальная разработка и последующая реализация организационной модели национальной ИКТ безопасности. К этой работе должны быть привлечены все задействованные в данной сфере государственные, научные и академические структуры в соответствии с профилем их деятельности, что обеспечит органичный и комплексный подход к решению вопросов в области ИКТ безопасности;
2. Учреждение Национального комитета по ИКТ безопасности, осуществляющего управление и координацию различными инициативами, направленными на решение задач и определение стандартов безопасности;
3. Определение национальной схемы информационно-методического обеспечения по вопросам безопасности путем разработки соответствующих инструкций, директив и стандартов, а также процедуры аккредитации и сертификации;
4. Разработка Национального плана ИКТ безопасности государственного управления;
5. Осуществление сертификации по ИКТ безопасности в государственных и административных органах.

4. Базовый минимум безопасности.

Приложением к указанному постановлению разработан документ под названием «базовый минимум безопасности», целью которого является предоставить Министерствам и другим государственным и административным органам необходимую информацию для определения мер по защите от возможных угроз в рассматриваемой области, которые должны быть реализованы в приоритетном порядке.

В документе приводится базовая организационно-структурная модель ИКТ безопасности государственного учреждения (министерства, ведомства и т.п.), которая включает следующие органы:

• руководитель государственного учреждения является лицом, возглавляющим, отвечающим и координирующим в целом вопросы обеспечения ИКТ безопасности в структуре;
• технический советник по ИКТ безопасности является главным помощником руководителя в подготовке и принятии решений по соответствующим вопросам, обеспечивает взаимодействие главы учреждения с комитетом по ИКТ безопасности;
• комитет по ИКТ безопасности представляет собой орган, уполномоченный разрабатывать основные направления и меры по защите технологических инфраструктур и информационного достояния, управление которыми, как правило, ведется в «автоматическом» режиме;
• ответственный за ИКТ безопасность, в компетенцию которого входит выработка тактических решений по исполнению указаний руководителя учреждения и указанного комитета;
• руководители самостоятельных подразделений учреждения, в область деятельности которых входит непосредственно или косвенно (обработка, передача и т.п.) работа с информационными ресурсами и ИКТ средствами;
• ответственный за автоматизированные информационные системы - инстанция, учрежденная законодательным декретом 39/93, в чью компетенцию входит планирование мероприятий по автоматизации рабочих процессов в учреждениях, выработка мер предупреждения и безопасности, определение возможностей взаимодействия в рассматриваемой сфере с внешними субъектами;
• внешний администратор, предоставляющий необходимые услуги для функционирования ИКТ систем, которые требуют соответствующего контроля со стороны органов, отвечающих за ИКТ безопасность в государственном учреждении.

Согласно требованиям, заложенным в документе, для эффективного и надежного функционирования организационной структуры обеспечения ИКТ безопасности в учреждении должна быть сформирована система управления (management system) ИКТ безопасностью, которая включала бы следующие основные аспекты:

• разработка т.н. «карты безопасности», документа, отражающего задачи и цели деятельности по обеспечению безопасности, ее основные направления, определенные административным руководством, а также собственную организационно-структурную модель и процедуры по введению ее в действие;
• формулирование основных направлений деятельности по обеспечению ИКТ безопасности, в которых были бы сконцентрированы в соответствии с «картой» директивные указания и постановления по вопросам создания, совершенствования, управления, контроля и оценки принимаемых мер в рассматриваемой области;
• определение конкретизированных направлений обеспечения безопасности (нормы), которые подразумевают выработку нормативных материалов по различным аспектам в сфере безопасности, затрагивающих организационную структуру, персонал и системы учреждения и периодически обновляемых в соответствии с текущими организационными и технологическими изменениями;
• выработка специальных процедур, направленных на поддержку оперативного управления соответствующими технологическими средствами обеспечения ИКТ безопасности. Основные области применения таких процедур должны затрагивать следующее: управление «System Security»; управление «Network Security»; жизненный цикл программного обеспечения; оперативное управление; непрерывность функционирования (Contingency Plan); управление в чрезвычайных и аварийных ситуациях; контроль и мониторинг системы безопасности; безопасность персонала.

Как подчеркивается в упомянутом документе, важнейшим процессом при планировании, реализации и управлении какой-либо системой ИКТ безопасности является проведение анализа и мониторинга рисков (ISMS - information security management system). В этой связи перед каждым государственным и административным учреждением ставится задача осуществления в соответствии с международными стандартами по безопасности изучения и последующего контроля по вопросам рисков и уязвимости в области собственной ИКТ безопасности. Схема проведения такого анализа выглядит следующим образом.

1. Определение и оценка информационного достояния предусматривает разработку перечня ценностей организации, относящихся к информационным ресурсам и ИКТ процессам и оцениваемым с позиции задач ISMS;
2. Оценка угроз представляет собой формирование перечня потенциальных угроз в привязке к указанному выше списку информационных ценностей и на основе существующих данных о наиболее известных и распространенных уязвимых моментах в ИКТ системах;
3. Оценка «уязвимости» подразумевает составление списка уязвимых моментов в системе по схеме аналогичной предыдущему пункту;
4. Идентификация и планирование средств контроля за безопасностью включает определение и документационное оформление всех средств контроля (имеющихся и планируемых) в привязке к упомянутому списку информационных ценностей и результатами предыдущих ревизий состояния вопросов ИКТ безопасности;
5. Анализ рисков является процедурой сбора и обобщения всей совокупности сведений, относящихся к информационным ценностям, угрозам и уязвимым моментам и полученным в ходе выполнения предыдущих фаз изучения, с целью выработки наиболее простого и практичного подхода к определению мер по противодействию рискам;
6. Идентификация и выбор средств контроля безопасности и снижения рисков. Для каждого отдельного пункта из списка информационных ценностей проводится определение задач контроля и на основе соответствующих ему типов потенциальных угроз и уязвимых моментов осуществляется выбор средств контроля, которые обеспечивали бы решение данных задач;
7. Признание рисков подразумевает при необходимости проведение последующей процедуры снижения рисков путем подбора дополнительных средств контроля на основе реально имеющихся требований.

Раздел документа, посвященный физическому и логическому контролю доступа к ИКТ системам, включает определение базовых норм по их осуществлению. Ключевыми моментами в осуществлении физического контроля доступа являются:

• строгая регламентация процедурами как общего характера, так и специальными в отношении отдельно взятого объекта контроля;
• охват всех физических областей, содержащих сетевое оборудование, LAN, электрооборудование, установки кондиционирования, телефоны, линии передачи данных, средства копирования и обработки документов и любые другие элементы, обеспечивающие работу системы;
• отдельное упорядочивание доступа к т.н. «критическим зонам» с соответствующим определением уровней и требований безопасности;
• информирование персонала в отношении компетенции и расписания осуществления доступа;
• проведение оценки эффективности контроля в привязке к обычному рабочему режиму и в другое время;
• осуществление контроля доступа к т.н. «производственным центрам» (центры данных, телекоммуникационные узлы и т.п.) посредством магнитных карт и smart-карт.

Осуществление логического контроля доступа в систему должно осуществляться посредством обязательного использования идентификаторов и паролей в привязке к типу конкретного пользователя и его уровня доступа и на основании норм закона 675/96. В тоже время пароль рассматривается как минимально требуемое средство защиты. При наличии повышенных требований безопасности должны использоваться более надежные средства такие, как smart-карты, средства с функциями «single signon» и т.п.

Учитывая, что компьютерные вирусы являются одной из важнейших угроз функционированию ИКТ систем и информационному достоянию, обязательным является осуществление антивирусных мер, среди которых: установка антивирусных средств как на server, так и на client; ежедневный или по установке в памяти анализ системы; еженедельное или при появлении новых вирусов обновление коммерческих антивирусных систем; анализ на входе передаваемой по сетям информации; анализ информации, перемещаемой в периметре сети, посредством систем доступа (firewall, server posta) и другие. К антивирусному программному обеспечению предъявляются следующие требования:

• способ функционирования не воздействует на систему, минимальное влияние на ресурсы памяти и возможность оптимизации ее загруженности;
• наличие функций определения вирусов bootstrap и file;
• возможность нахождения вирусов в памяти (базовый реквизит антивирусного продукта);
• возможность распознавания самоизменяющихся вирусов;
• возможность выявления заражений, относящихся к сектору Master Boot Record;
• возможность идентификации и локализации вируса в сжатых файлах или находящегося вне файла, но сжатого вместе с ним;
• возможность изменения направления вывода в файл или на печать;
• возможность автоматического уведомления сетевого администратора о наличии вируса;
• возможность контролировать работу антивируса в случае открытия файлов из сети сразу же при обращении;
• возможность управления в реальном времени загружаемыми из внешней сети файлами (при использовании защищенных соответствующим образом серверов);
• высокая скорость исполнения;
• низкие в процентном отношении показатели «ложных тревог»;
• способ обновления укомплектован функциями эффективного распознавания вирусов автокриптированного типа;
• обеспечение целостности файлов обновления (контроль посредством checksum);
• возможность точного определения области поиска с целью ускорения применения;
• доступность работы с опцией удаления;
• возможность выявления «скрытых» вирусов (stealth) нового поколения, которые действуют, принимая на себя управление или нарушая запросы прерывания аппаратного и программного обеспечения в компьютере, чтобы избежать распознавания;
• возможность нахождения вирусов в условия одновременно активных нескольких частей;
• возможность контроля RAM-памяти по всем ее адресам;
• возможность определения и устранения вируса в отсутствии команды пользователя, исполняемая с заданной периодичностью;
• невозможность для пользователя изменить конфигурацию программ без наличия соответствующего доступа;
• другие критерии, касающиеся обеспечения собственной установки и функционирования антивирусного программного обеспечения и взаимодействия с пользователем.

Важное значение в документе придается вопросу организации управления ИКТ системой в аварийных и чрезвычайных условиях. При планировании аспектов обеспечения ИКТ безопасности обязательным является создание специальной организационной структуры, призванной обеспечить немедленное и эффективное реагирование на негативное событие, приведение системы к нормальному функционированию и устранение аварийных последствий. Такое подразделение получило название Computer Emergency Response Team при администрации (CERT-AM).

При определении организационной структуры такого подразделения представители государственных и административных учреждений, отвечающие за ИКТ безопасность, должны руководствоваться следующими основными характеристиками CERT-AM:

• количественный состав и область деятельности данного подразделения, которое, как предполагается, в большинстве случаев будет являться частью описанной выше организационной модели ИКТ безопасности;
• структура может быть как централизованная, так и распределенная;
• необходимость централизованного механизма взаимодействия (коммуникации) с целью снижения оперативных и временных затрат на реагирование;
• наличие оповещающего о «тревоге» механизма, распределенного в зоне ответственности команды;
• подбор персонала, обладающего соответствующей технической компетенцией и способностью к совместной работе, что должно содействовать удержание ситуации под контролем.

5. Важнейшие мероприятия в Италии в области ИКТ.

Главным национальным мероприятием, посвященном вопросам совершенствования системы государственного управления и внедрения для этой цели ИКТ, является выставка-конференция «Форум П.А.», проводимая ежегодно на выставочном комплексе «Фьера ди Рома» в г.Риме. В рамках мероприятия представляются экспозиции итальянских и международных организаций, промышленных предприятий и ассоциаций, действующих на рынке ИКТ, проводится серия конференций и семинаров с участием представителей центральных органов государственного управления, местных администраций, негосударственных структур и т.д. Подробная информация о мероприятии содержится на сайте Интернет: www.forumpa.it

Другим важнейшим событием, проходящем ежегодно в Италии в области ИКТ, является выставка-конференция «СМАУ», центральное мероприятие которого проводится на выставочном комплексе г.Милана. В течение года проходит также серия сопутствующих «СМАУ» мероприятий в других городах Италии (Рим, Бари, Неаполь, Катания). На мероприятии представлены экспозиции большинства национальных и зарубежных фирм, предприятий и организаций, действующих на итальянском рынке ИКТ. В рамках «СМАУ» проводятся специализированные конференции и семинары с участием различных государственных и частных структур. Подробная информация обо всех аспектах мероприятия (в т.ч. на английском языке) находится на сайте Интернет: www.smau.it