В настоящее время в Италии, наряду с правовым урегулированием проблем,
возни-кающих в сфере электронной торговли, происходит активный разносторонний
процесс развития и совершенствования системы государственного и административного
управле-ния, в основе которого лежит всеобщая информатизация учреждений
государственного сектора, создание общенациональных электронных систем
и их взаимодействие как между собой, так и с предприятиями и населением
посредством внедрения ИКТ. Свидетельством повышенного внимания со стороны
Правительства Италии к данным вопросам является проводимая реорганизация
государственных органов, координирующих политику в рас-сматриваемой области.
В частности, в 2001 году это выразилось в учреждении Министер-ства по
инновациям и технологиям Италии и создании соответствующего Управления
по инновациям и технологиям при администрации Совета министров.
К данному Министерству перешли полномочия управления и координации нацио-нальной
политики в указанной сфере от действовавшего самостоятельно до этого момента
Комитета по информатизации государственных учреждений (Autorita' per l'Informatica
nella Pubblica Amministrazione - AIPA). Ожидается, что в ближайшее время
AIPA будет преобразован, слившись с т.н. Техническим центром при администрации
Совета минист-ров, в рабочий орган при Министерстве и продолжит выполнение
текущих задач по разви-тию информатизации итальянского общества. Предположительно,
Комитет будет пере-именован в Национальное агентство по инновациям и технологиям.
Вместе с тем, важнейшей задачей AIPA продолжает оставаться подготовка
т.н. "трехлетнего плана" информатизации государственно-административных
органов страны, обновляемого и утверждаемого ежегодно. План включает предложения
для Правительства по финансированию конкретных тематических проектов и
программ в рассматриваемой области (электронная система декларирования
и оплаты налогов, электронный рынок ра-боты, электронное удостоверение
личности, национальная информационная сеть, e-procurement, унифицированная
система персонала и десятки других) и соответствующих дальнейших мероприятий
в отдельных министерствах, центральных и региональных орга-нах управления
и администрациях. Данная работа проводится Комитетом в соответствии с
действующими законодательными и нормативными документами, директивами
Прави-тельства и по согласованию с текущими нуждами всех перечисленных
выше типов органи-заций. С этой целью AIPA готовит и рассылает в администрации
различного уровня соот-ветствующий циркуляр, включающий <основные направления
трехлетнего развития> и запрос на предоставление предложений от администраций
по их текущим требованиям к финансированию проектов. На основании этих
предложений и формируется вышеуказан-ный план. В настоящий момент в процессе
подготовки находится <План 2003-2005>.
В сфере правового регулирования электронной торговли в настоящее время
в Ита-лии действуют около тридцати директив ЕС и более двух десятков национальных
норма-тивных актов, принятых в основном в развитие положений директивных
указаний ЕС (не-которые из этих актов, имеющиеся в Италии на английском
языке, будут направлены в Ваш адрес ближайшей диппочтой).
К разряду основных нормативных правовых актов Италии, регулирующих порядок
осуществления электронной торговли, относится закон от 31.03.98 г. № 114
< О реформе законодательства в сфере электронной торговли>, закон от 15.03.97
г. № 59 < Об электрон-ной подписи>, декрет Председателя Совета министров
Италии от 8.02.99 г. <Об электрон-ном документе и кодовых ключах>. Вопросы
защиты прав потребителей в сфере электрон-ной торговли регулируются нормами
5 главы Гражданского кодекса Италии, введенной в действие законом от 21.12.99г.
№ 526.
Кроме вышеуказанных национальных законодательных актов, регламентация
этого вида торговли осуществляется директивами ЕС, основными из которых
являются директи-ва 2000/31/СЕ <Об основных юридических аспектах предоставления
услуг информацион-ными фирмами в области электронной торговли> (введена
в действие законом от 17.07.2000 г. № 178), директива 1985/577/СЕЕ <О
юридическом статусе контракта, заклю-ченного за пределами коммерческого
офиса> (введена в действие законом от 3.02.92 г. № 27), директива 1997/55/ЕС
< О рекламе в сфере электронной торговли> (введена в действие законом
от 25.02.2000 г. № 67) и директива 2000/46/СЕ, которой определялся перечень
и юридический статус государственных организаций в странах-членах ЕС,
уполномоченных осуществлять контроль в сфере электронной торговли. Законом
от 15.03.97 г. № 59 была установлена административная ответственность
за нарушения правил электронной торгов-ли в виде штрафа в размере от 5
млн. ит. лир (около 2500 евро) до 30 млн. ит. лир (пример-но 15000 евро)
и лишения права заниматься электронным бизнесом.
Что касается развития системы государственного и административного управления
в сфере ИКТ, то важнейшими правительственными решениями, в соответствии
с которыми скоординирована работа по подготовке вышеуказанного нового
<трехлетнего плана>, яв-ляются Директива Министра по инновациям и технологиям
<Основные направления в об-ласти информатизации администраций> от 21 декабря
2001 года и подготовленный на ее основе в феврале 2002 года Межминистерским
комитетом по информатизации общества документ <десять приоритетных задач
на ближайшее время>, утвержденный Премьер-министром Италии 13 февраля
2002 года. Сформулированные <10 приоритетов> широко охватывают и пронизывают
многие стороны деятельности государственного и админист-ративного аппарата.
В тоже время отмечается, что определенные приоритетные задачи не исключают
возможности для формулирования и реализации автономных специфических целей
в рассматриваемой области отдельно взятыми центральными административными
органами.
К "десяти приоритетным задачам" относятся:
*1*. Все приоритетные услуги должны быть доступны в режиме on line.
При рассмотрении данного направления было осуществлено определение категории
<приоритетные услуги>, т.е. имеющие наиболее важное значение для граждан
и предпри-ятий, и, следовательно, подлежащие первоочередному включению
в инициативы по ин-форматизации соответствующих центральных и местных
государственных администра-ций. На основе детализированного перечня услуг,
соответствующим образом структуриро-ванного и включавшего более 600 пунктов,
был проведен отбор по жесткой системе, ис-пользовавшей шесть критериев
<полезности>:
средняя частота использования услуги;
<дополнительная ценность> (valore aggiunto) услуги для пользователя (на
базе па-раметров, определенных e-Europe: , , ,
);
предрасположенность к использованию Интернета той частью пользователей,
к ко-торым адресована услуга;
соответствие среднего объема платежей (если предусмотрено услугой) порядку
осуществления on line;
доступность канала, лучшего чем Интернет для распределения услуги для
пользо-вателей;
отсутствие <ошибочных> (falsi) услуг.
В результате было определено ядро из 80 приоритетных услуг. Первичная
эксперт-ная оценка позволила определить, что к настоящему моменту в Италии
лишь около 5% приоритетных услуг (которые затрагивают хотя бы 50% населения)
задействованы соот-ветствующим образом. Согласно задачам, поставленным
правительством страны, в 2003 году этот показатель должен составить 40%,
а в пределах 2005 года все приоритетные ус-луги должны стать доступными
on line.
Для достижения поставленных в рамках данного направления целей, согласно
мне-нию итальянских специалистов, должны быть проведены следующие мероприятия:
реализация национального плана e-government;
активация в пределах 2002 года национального портала;
создание к октябрю 2002 года национальной сети, которая эффективным образом
связала бы все административные органы;
реализация мер, предусмотренных указанной выше Директивой Министра по
инно-вациям и технологиям;
со-финансирование действий центральных и местных администраций посредством
создания т.н. национального фонда стимулирования;
определение т.н. высших территориальных центров (centri di eccellenza
territoriali).
Однако, отмечается возможность сдерживания реализации перечисленных меро-приятий
по причине недостаточности средств, выделяемых государством на их финанси-рование.
По оценкам специалистов, для этих целей потребуется 1 миллиард 50 миллионов
евро, в то время как к настоящему моменту доступно лишь около 250 миллионов
евро. В этой связи определенный расчет делается на получение дополнительных
ресурсов, кото-рые должны быть сэкономлены в результате реализации самих
программ по переведению услуг в режим on line.
*2*. Введение в обращение 30 миллионов электронных удостоверений личности
(carte di identita' elettroniche - CIE) и национальных карт обслуживания
(carte nazionali dei servizi - CNS).
К настоящему моменту в стране существует порядка 10 тысяч CIE и ни одной
CNS. Согласно имеющимся планам их количество в 2003 году должно составить
3,3 миллиона и 4,7 миллиона соответственно, а в 2005 году 16 и 14 миллионов.
Главной задачей реализа-ции данной программы является создание национальной
инфраструктуры для обеспечения идентификации в сети и доступа посредством
этих двух видов документов в унифициро-ванном виде по всей территории
страны и для всех государственных и административных учреждений. Важным
моментом в продвижении указанных планов в настоящее время яв-ляется подготовка
нормативной базы, которая имела бы более высокий по сравнению с на-стоящим
уровень надежности работы с удостоверяющими документами. Прежде всего,
это касается ожидаемых постановлений Министерства внутренних дел Италии,
которые долж-ны будут включать технические нормы по отношению к CIE и
CNS. Выпуск 30 миллионов электронных документов, реализация системы выдачи
и обеспечения их безопасности МВД, а также активация т.н. call center,
потребуют, по оценке экспертов, около 320 мил-лионов евро в дополнение
к предоставленным в распоряжение для этих целей 40 миллио-нам евро. В
тоже время, использование CIE и CNS позволит устранить свыше 40 различ-ных
видов обращения к услугам, ликвидирует затраты, связанные с применением
бумаж-ных удостоверений и большого числа пропусков и других документов,
сэкономив 340 миллионов евро.
*3*. Миллион цифровых подписей, вводимых в течение 2003 года.
Развитие системы предоставления цифровых подписей специальными аккредито-ванными
сертификационными структурами, по оценке специалистов, не требует каких-либо
особенных расходов, поскольку затраты ложатся на долю стороны, гражданина
или предприятия, обращающейся за получением сертификата подписи. К настоящему
моменту основной задачей в данной области для достижения обозначенной
цели является необхо-димость формирования т.н. вторичной рабочей нормативной
базы (инструкций и циркуля-ров), которая дополнила бы организационно-оперативные
и технологические наработки. Согласно имеющимся планам такая база должна
быть подготовлена к августу 2002 года.
*4*. 50% расходов на приобретение материальных ценностей и услуг посредством
e-procurement.
В настоящее время в Италии практически завершено определение с нормативно-законодательной
точки зрения критериев и методов использования телематических проце-дур
для осуществления материально-технического обеспечения государственных
и адми-нистративных организаций. По предварительной оценке, к осени 2002
года должна быть реализована финальная версия платформы e-procurement
для центральных администраций. Существующие объемы расходов в стране на
приобретение материальных ценностей и ус-луг для нужд государственных
структур посредством e-procurement оцениваются в 250 миллионов евро. Согласно
же планам в 2003 году они должны вырасти до 3 миллиардов евро, а в 2005
году до 12 миллиардов евро. Затраты для государства на реализацию такого
процесса рационализации и упрощения процедуры закупок административными
органами, по оценке специалистов, составят около 94 миллионов евро. При
этом единовременный экономический эффект сбережения финансовых средств
от введения e-procurement в госу-дарственных структурах прогнозируется
в размере 1,4 миллиарда евро, а последующая средне оценочная экономия
в 90% затрат от процесса приобретения при осуществлении операции закупки
на сумму около 200 миллионов евро.
*5*. Все внутреннее почтовое сообщение посредством e-mail.
Согласно планам итальянского правительства, с целью значительного снижения
внутренних расходов на коммуникации, управление рабочим взаимодействием
и произ-водственной деятельностью, а также для повышения характеристик
процесса обращения информации, вся внутренняя переписка в государственных
и административных структу-рах должна быть переведена в 2005 году на использование
электронной почты. В настоя-щее время ее доля составляет лишь 10%, промежуточный
показатель 2003 года - 40%. Не-обходимые расходы на реализацию системы
электронной почты в центральных админист-рациях оцениваются в 50 миллионов
евро.
*6*. Все платежные обязательства и финансовые ордера управляются в режиме
on line.
Создание электронной системы платежей при государственных администрациях
обеспечит снижение стоимости соответствующих процессов, позволит вести
эффективный текущий мониторинг расходов и улучшит управление государственными
финансовыми потоками. Количество обязательств и платежей (<электронных
ордеров>), управляемых в режиме on line в настоящее время в Италии составляет
около 3.000, в 2003 году планирует-ся довести их число до 20 миллионов,
а в 2005 году - до 25 миллионов. Преобразование в электронный вид всех
платежных документов, финансовых бланков и отметок об оплате является
в настоящий момент предметом рассмотрения для издания соответствующего
правительственного декрета, который должен будет определить новые методологии
управления в данной сфере. Кроме того, уже предусмотрено распределение
средств на программу электронной подписи, на которую выделено порядка
миллиона евро. Однако, по имеющимся оценкам, общие расходы на реализацию
задач по этому направлению со-ставят 100 миллионов евро.
*7*. Квалификация всех государственных служащих, имеющих соответствующий
допуск.
Из общего числа государственных служащих в Италии, имеющих соответствующие
обязанности и допуск, в настоящее время обеспеченны сертификатом ECDL
start (European Computer Driving Licence) лишь 30%. Благодаря запуску
пилотного проекта по профессио-нальной подготовке и сертификации под координацией
Министерства по инновациям и технологиям и Департамента по государственному
управлению администрации Совета министров, их количество в 2003 году должно
будет составить 60%, а в 2005 году все со-трудники будут иметь сертификаты,
соответствующие европейским стандартам. Общие затраты на реализацию программ
в этой сфере оцениваются в 110 миллионов евро.
*8*. Треть учебно-профессиональной подготовки переводится на использование
e-learning.
Достижение цели по переходу от настоящих 4% к 15% в 2003 году и 33% в
2005 го-ду применения режима on line в обучении требует проведения мероприятий
по определе-нию смешанной дидактической методологии, реализации экспериментальных
моделей че-рез пилотные проекты, формированию базового ядра руководств
и направлений. Общие необходимые расходы на их реализацию оцениваются
в 165 миллионов евро.
*9*. 2/3 учреждений центральной государственной администрации с доступом
on line к информации о ходе своей работы.
На данном направлении рассматривается задача предоставления требуемого
уровня <прозрачности> в деятельности государственных администраций и обеспечения
доступа on line гражданам и предприятиям к информации по вопросам административного
функцио-нирования, затрагивающего их интересы. Количество учреждений центральной
админист-рации в Италии, которые предоставляют пользователям такой доступ
в электронном ре-жиме, составляет порядка 5% от их общего числа. В 2003
году этот показатель, как плани-руется, должен будет составить 30%, а
в 2005 году - 70%. Также в рамках данного направ-ления должны быть реализованы
проекты по созданию т.н. <желтых страниц> государст-венных организаций
и сертифицированной электронной почты для граждан и предпри-ятий. Общий
объем необходимых финансовых средств для реализации целей в рассматри-ваемой
сфере оценивается в 250 миллионов евро.
*10*. Все учреждения, предоставляющие услуги, обеспечиваются системой
.
В данном разделе рассматривается вопрос создания эффективной системы монито-ринга
качества услуг с целью его дальнейшего повышения и активизации взаимосвязи
гражданин-пользователь и государственное учреждение, что означает распространение
компетенций и опыта <измерения customer satisfaction> и последующее создание
при каж-дой отдельной администрации т.н. программ непрерывного улучшения.
По оценкам спе-циалистов, реализация систем мониторинга потребует финансирования
около 50 миллио-нов евро.
На основе определенных в указанном выше документе задач и приоритетных
на-правлений в рассматриваемой области Министерство по инновациям и технологиям
Ита-лии совместно с AIPA приступило к разработке и реализации пяти национальных
проек-тов, относящихся к сфере <электронного правительства>:
электронное правительство в региональных и местных структурах;
национальный портал;
электронное удостоверение личности;
национальная сеть;
безопасность ИКТ.
План e-government для региональных и местных структур.
В настоящее время около половины всех ресурсов (120 миллионов евро), выделен-ных
согласно национальному плану e-government для местных организаций, находятся
в стадии распределения. Итальянские специалисты отмечают, что, несмотря
на недостаточ-ность финансовых средств, если рассматривать в целом требования
по инновационному и технологическому развитию регионов, провинций и коммун
(согласно административному делению Италии), речь идет о беспрецедентном
для страны выделении ресурсов на реше-ние вопросов связанных с задачами
информатизации местных государственных органов.
Рассматриваемые приоритетные задачи по информатизации местных администра-ций
нацелены на обеспечение граждан и предприятий доступом через электронные
сети к основным общественным услугам максимально большего количества местных
государст-венных учреждений, а также на предоставление услуг в единой
инфраструктуре со стороны регионов (областей) местным организациям, расположенным
на соответствующей терри-тории.
Отбор проектов, которые планируется субсидировать, будет осуществляться
Управ-лением по инновациям и технологиям при администрации Совета министров
Италии на основе перечня <приоритетных услуг>, сформированного с позиции
требований конечного пользователя, т.е. нацеленных на удовлетворение т.н.
<жизненных интересов> граждан и предприятий, а не в привязке к организации
различных администраций. Центральное фи-нансирование, которое должно будет
покрыть до 50% всех затрат, будет осуществляться предпочтительно в отношении
проектов, представляемых самими участвующими субъек-тами: как по <вертикальному>
методу (подключение местных учреждений, принадлежа-щих к данной территориальной
единице), так и по <горизонтальному> принципу (напри-мер, объединение
различных коммун). Особое внимание будет уделяться решениям, кото-рые
могли бы взаимно использоваться между администрациями или облегчать перенос
ме-тодологий от одного учреждения к другому.
Согласно имеющимся данным, в июле 2002 года должен был завершиться процесс
оценки управлением по инновациям и технологиям представленных проектов
и начата реализация отобранных из них. Проекты, получившие таким образом
доступ к государст-венному финансированию, должны будут осуществляться
под наблюдением и постоянным мониторингом посредством специально учрежденных
т.н. территориальных компетентных центров.
Национальный портал.
Согласно планам итальянского правительства первая версия национального
элек-тронного портала, получившего название e-Italia, должна быть реализована
в 2002 году. По оценкам итальянцев, портал представит собой фундаментальную
технологическую инфра-структуру для всей страны, поскольку обеспечит связь
всех государственных администра-тивных органов со всем населением Италии.
Посредством e-Italia каждый гражданин смо-жет осуществлять ознакомление
и обращение к услугам, предоставляемым на всех сайтах, принадлежащих государственным
организациям, наиболее простым и эффективным спо-собом быть ориентированным
и адресованным в электронной среде в выборе предлагае-мых услуг. Основные
цели создания национального портала сформулированы следующим образом:
создание единой точки доступа к услугам государственных административных
уч-реждений;
обеспечение легкости использования и взаимосвязи также для людей с отклонения-ми;
предоставление четкой и целостной информации о государственной организации;
обеспечение немедленного стандартизированного доступа к услугам посредством
использования электронных удостоверений личности и национальных карт обслуживания;
содействие развитию <перекрещивающихся> услуг;
осуществление мониторинга качества услуг за счет обратной связи с пользователем,
который имеет возможность выражать свое мнение по данному вопросу.
Для решения указанной задачи в настоящее время в стадии реализации находится
ряд мероприятий, имеющих целью создание:
единой системы удостоверения (установления подлинности);
образца (парадигмы), с помощью которого легко осуществлять диалог и поиск;
органической интеграции существующих информационных массивов и услуг,
уско-ряя их количественное и качественное развитие;
управляющей структуры, <подпитки> портала и поддержки пользователей.
В общей сложности предусматривается финансирование данного проекта на
сумму около 30 миллионов евро.
Электронное удостоверение личности.
В результате реализации планов по данному проекту, по мнению специалистов,
Италия в течение 2002 года должна занять ведущую позицию среди европейских
стран по введению в действие и применению электронных удостоверений личности.
Ближайшей задачей на этом направлении является апробация на практике углубленного
использования CIE в качестве инструмента установления личности гражданина
и средства доступа к услу-гам в режиме on line посредством распространения
к концу года 2 миллионов электронных документов. Коммуны, которые не смогут
использовать CIE, могут проработать вопрос о введении в практику электронных
национальных карт обслуживания, которые используют тот же стандарт, что
и электронные удостоверения личности, для реализации услуг в сети. С периода
2003-2004 годов планируется переход к полномасштабному режиму распро-странения
CIE, который должен будет достигнуть уровня 5-6 миллионов документов в
год.
Национальная сеть.
В настоящее время в Италии уже существует единая сеть государственных
учрежде-ний, которая соединяет все центральные административные структуры
с их периферийны-ми отделениями, а также с некоторыми регионами. В качестве
последующего шага на дан-ном направлении рассматривается реализация более
широкой национальной сети, которая позволила бы всем местным администрациям
иметь собственные сети, соответствующие и управляемые по единым стандартам
в отношении передачи, характеристик и безопасности, которые будут установлены
Министерством по инновациям и технологиям.
Безопасность ИКТ.
Тематика обеспечения безопасности в работе с данными, находящимися в управле-нии
и хранении государственных административных органов, является одним из
ключе-вых пунктов всего национального плана по общей информатизации государственных
структур. Базовым документом, определяющим в настоящее время политику
итальянского государства в области обеспечения безопасности при создании
национальных е-систем, является Постановление <Безопасность в области
ИКТ в государственном управлении>, разработанное Министерством по инновациям
и технологиям совместно с Министерством коммуникаций и утвержденном Председателем
Совета министров Италии 16 января 2002 года. Главная задача государства
по обеспечению безопасности в рассматриваемой сфере на настоящий момент
определена в документе как проведение всестороннего изучения во-просов
соотношения <риски - безопасность> и дальнейшая выработка мер по снижению
уязвимости, обеспечению целостности и надежности национального информационного
достояния, а также достижение и удержание передовых позиций в данной области
на ев-ропейском уровне. Общая ответственность и руководство работой по
решению указанной задачи возложены на Министерство по инновациям и технологиям
и Министерство ком-муникаций Италии.
В этой связи в Постановлении определены следующие приоритетные направления
деятельности на первом этапе формирования единой системы ИКТ безопасности
в госу-дарственном управлении и сформулирован т.н. критерий <базового
минимума безопасно-сти>.
А. Проведение в короткие сроки самоанализа уровня собственной ИКТ безопасно-сти
государственными и административными учреждениями страны на основе специально
разработанной инструкции.
В. Определение и реализация требуемых инициатив в привязке к критерию
<базово-го минимума> по выработке единого, но одновременно всесторонне
учитывающего от-дельные специфики, национального подхода к формированию
основных принципов обес-печения ИКТ безопасности государственного управления.
По замыслу авторов документа, данные принципы не будут исчерпывать и строго
регламентировать все аспекты рассмат-риваемой проблематики, а должны представить
собой серию технико-оперативных указа-ний, направленных на содействие
принятию государственными и административными ор-ганами обоснованных конкретных
решений по важнейшим проблемам обеспечения безо-пасности и одновременной
разработке основ национальной системы ИКТ безопасности в государственном
управлении.
Кроме того, Управлению по инновациям и технологиям при Совете министров
Ита-лии и Министерству коммуникаций поручено осуществление выработки программы
дей-ствий итальянского правительства в области ИКТ безопасности, которая
должна сосредо-точиться на следующих направлениях:
Концептуальная разработка и последующая реализация организационной модели
национальной ИКТ безопасности. К этой работе должны быть привлечены все
задейство-ванные в данной сфере государственные, научные и академические
структуры в соответст-вии с профилем их деятельности, что обеспечит органичный
и комплексный подход к ре-шению вопросов в области ИКТ безопасности;
Учреждение Национального комитета по ИКТ безопасности, осуществляющего
управление и координацию различными инициативами, направленными на решение
задач и определение стандартов безопасности;
Определение национальной схемы информационно-методического обеспечения
по вопросам безопасности путем разработки соответствующих инструкций,
директив и стан-дартов, а также процедуры аккредитации и сертификации;
Разработка Национального плана ИКТ безопасности государственного управления;
Осуществление сертификации по ИКТ безопасности в государственных и админи-стративных
органах.
Приложением к указанному постановлению разработан документ под названием
<базовый минимум безопасности>, целью которого является предоставить Министерствам
и другим государственным и административным органам необходимую информацию
для определения мер по защите от возможных угроз в рассматриваемой области,
которые должны быть реализованы в приоритетном порядке.
В документе приводится базовая организационно-структурная модель ИКТ безопас-ности
государственного учреждения (министерства, ведомства и т.п.), которая
включает следующие органы:
руководитель государственного учреждения является лицом, возглавляющим,
отве-чающим и координирующим в целом вопросы обеспечения ИКТ безопасности
в структуре;
технический советник по ИКТ безопасности является главным помощником руко-водителя
в подготовке и принятии решений по соответствующим вопросам, обеспечивает
взаимодействие главы учреждения с комитетом по ИКТ безопасности;
комитет по ИКТ безопасности представляет собой орган, уполномоченный разраба-тывать
основные направления и меры по защите технологических инфраструктур и
ин-формационного достояния, управление которыми, как правило, ведется
в <автоматиче-ском> режиме;
ответственный за ИКТ безопасность, в компетенцию которого входит выработка
тактических решений по исполнению указаний руководителя учреждения и указанного
комитета;
руководители самостоятельных подразделений учреждения, в область деятельности
которых входит непосредственно или косвенно (обработка, передача и т.п.)
работа с ин-формационными ресурсами и ИКТ средствами;
ответственный за автоматизированные информационные системы - инстанция,
уч-режденная законодательным декретом 39/93, в чью компетенцию входит
планирование мероприятий по автоматизации рабочих процессов в учреждениях,
выработка мер преду-преждения и безопасности, определение возможностей
взаимодействия в рассматриваемой сфере с внешними субъектами;
внешний администратор, предоставляющий необходимые услуги для функциониро-вания
ИКТ систем, которые требуют соответствующего контроля со стороны органов,
от-вечающих за ИКТ безопасность в государственном учреждении.
Согласно требованиям, заложенным в документе, для эффективного и надежного
функционирования организационной структуры обеспечения ИКТ безопасности
в учреж-дении должна быть сформирована система управления (management
system) ИКТ безопас-ностью, которая включала бы следующие основные аспекты:
разработка т.н. <карты безопасности>, документа, отражающего задачи и
цели дея-тельности по обеспечению безопасности, ее основные направления,
определенные адми-нистративным руководством, а также собственную организационно-структурную
модель и процедуры по введению ее в действие;
формулирование основных направлений деятельности по обеспечению ИКТ безо-пасности,
в которых были бы сконцентрированы в соответствии с <картой> директивные
указания и постановления по вопросам создания, совершенствования, управления,
контро-ля и оценки принимаемых мер в рассматриваемой области;
определение конкретизированных направлений обеспечения безопасности (нормы),
которые подразумевают выработку нормативных материалов по различным аспектам
в сфере безопасности, затрагивающих организационную структуру, персонал
и системы уч-реждения и периодически обновляемых в соответствии с текущими
организационными и технологическими изменениями;
выработка специальных процедур, направленных на поддержку оперативного
управления соответствующими технологическими средствами обеспечения ИКТ
безопас-ности. Основные области применения таких процедур должны затрагивать
следующее:
управление ;
управление ;
жизненный цикл программного обеспечения;
оперативное управление;
непрерывность функционирования (Contingency Plan);
управление в чрезвычайных и аварийных ситуациях;
контроль и мониторинг системы безопасности;
безопасность персонала.
Как подчеркивается в упомянутом документе, важнейшим процессом при планиро-вании,
реализации и управлении какой-либо системой ИКТ безопасности является
прове-дение анализа и мониторинга рисков (ISMS - information security
management system). В этой связи перед каждым государственным и административным
учреждением ставится задача осуществления в соответствии с международными
стандартами по безопасности изучения и последующего контроля по вопросам
рисков и уязвимости в области собствен-ной ИКТ безопасности. Схема проведения
такого анализа выглядит следующим образом.
Определение и оценка информационного достояния предусматривает разработку
перечня ценностей организации, относящихся к информационным ресурсам и
ИКТ про-цессам и оцениваемым с позиции задач ISMS;
Оценка угроз представляет собой формирование перечня потенциальных угроз
в привязке к указанному выше списку информационных ценностей и на основе
существую-щих данных о наиболее известных и распространенных уязвимых
моментах в ИКТ систе-мах;
Оценка <уязвимости> подразумевает составление списка уязвимых моментов
в сис-теме по схеме аналогичной предыдущему пункту;
Идентификация и планирование средств контроля за безопасностью включает
опре-деление и документационное оформление всех средств контроля (имеющихся
и планируе-мых) в привязке к упомянутому списку информационных ценностей
и результатами пре-дыдущих ревизий состояния вопросов ИКТ безопасности;
Анализ рисков является процедурой сбора и обобщения всей совокупности
сведе-ний, относящихся к информационным ценностям, угрозам и уязвимым
моментам и полу-ченным в ходе выполнения предыдущих фаз изучения, с целью
выработки наиболее про-стого и практичного подхода к определению мер по
противодействию рискам;
Идентификация и выбор средств контроля безопасности и снижения рисков.
Для каждого отдельного пункта из списка информационных ценностей проводится
определе-ние задач контроля и на основе соответствующих ему типов потенциальных
угроз и уяз-вимых моментов осуществляется выбор средств контроля, которые
обеспечивали бы ре-шение данных задач;
Признание рисков подразумевает при необходимости проведение последующей
процедуры снижения рисков путем подбора дополнительных средств контроля
на основе реально имеющихся требований.
Раздел документа, посвященный физическому и логическому контролю доступа
к ИКТ системам, включает определение базовых норм по их осуществлению.
Ключевыми моментами в осуществлении физического контроля доступа являются:
строгая регламентация процедурами как общего характера, так и специальными
в отношении отдельно взятого объекта контроля;
охват всех физических областей, содержащих сетевое оборудование, LAN,
электро-оборудование, установки кондиционирования, телефоны, линии передачи
данных, средст-ва копирования и обработки документов и любые другие элементы,
обеспечивающие рабо-ту системы;
отдельное упорядочивание доступа к т.н. <критическим зонам> с соответствующим
определением уровней и требований безопасности;
информирование персонала в отношении компетенции и расписания осуществления
доступа;
проведение оценки эффективности контроля в привязке к обычному рабочему
ре-жиму и в другое время;
осуществление контроля доступа к т.н. <производственным центрам> (центры
дан-ных, телекоммуникационные узлы и т.п.) посредством магнитных карт
и smart-карт.
Осуществление логического контроля доступа в систему должно осуществляться
посредством обязательного использования идентификаторов и паролей в привязке
к типу конкретного пользователя и его уровня доступа и на основании норм
закона 675/96. В тоже время пароль рассматривается как минимально требуемое
средство защиты. При наличии повышенных требований безопасности должны
использоваться более надежные средства такие, как smart-карты, средства
с функциями и т.п.
Учитывая, что компьютерные вирусы являются одной из важнейших угроз функ-ционированию
ИКТ систем и информационному достоянию, обязательным является осу-ществление
антивирусных мер, среди которых: установка антивирусных средств как на
server, так и на client; ежедневный или по установке в памяти анализ системы;
еженедель-ное или при появлении новых вирусов обновление коммерческих
антивирусных систем; анализ на входе передаваемой по сетям информации;
анализ информации, перемещаемой в периметре сети, посредством систем доступа
(firewall, server posta) и другие. К антивирус-ному программному обеспечению
предъявляются следующие требования:
способ функционирования не воздействует на систему, минимальное влияние
на ре-сурсы памяти и возможность оптимизации ее загруженности;
наличие функций определения вирусов bootstrap и file;
возможность нахождения вирусов в памяти (базовый реквизит антивирусного
про-дукта);
возможность распознавания самоизменяющихся вирусов;
возможность выявления заражений, относящихся к сектору Master Boot Record;
возможность идентификации и локализации вируса в сжатых файлах или находяще-гося
вне файла, но сжатого вместе с ним;
возможность изменения направления вывода в файл или на печать;
возможность автоматического уведомления сетевого администратора о наличии
ви-руса;
возможность контролировать работу антивируса в случае открытия файлов
из сети сразу же при обращении;
возможность управления в реальном времени загружаемыми из внешней сети
фай-лами (при использовании защищенных соответствующим образом серверов);
высокая скорость исполнения;
низкие в процентном отношении показатели <ложных тревог>;
способ обновления укомплектован функциями эффективного распознавания виру-сов
автокриптированного типа;
обеспечение целостности файлов обновления (контроль посредством checksum);
возможность точного определения области поиска с целью ускорения применения;
доступность работы с опцией удаления;
возможность выявления <скрытых> вирусов (stealth) нового поколения, которые
действуют, принимая на себя управление или нарушая запросы прерывания
аппаратного и программного обеспечения в компьютере, чтобы избежать распознавания;
возможность нахождения вирусов в условия одновременно активных нескольких
частей;
возможность контроля RAM-памяти по всем ее адресам;
возможность определения и устранения вируса в отсутствии команды пользователя,
исполняемая с заданной периодичностью;
невозможность для пользователя изменить конфигурацию программ без наличия
соответствующего доступа;
другие критерии, касающиеся обеспечения собственной установки и функциониро-вания
антивирусного программного обеспечения и взаимодействия с пользователем.
Важное значение в документе придается вопросу организации управления ИКТ
сис-темой в аварийных и чрезвычайных условиях. При планировании аспектов
обеспечения ИКТ безопасности обязательным является создание специальной
организационной струк-туры, призванной обеспечить немедленное и эффективное
реагирование на негативное со-бытие, приведение системы к нормальному
функционированию и устранение аварийных последствий. Такое подразделение
получило название Computer Emergency Response Team при администрации (CERT-AM).
При определении организационной структуры такого подразделения представители
государственных и административных учреждений, отвечающие за ИКТ безопасность,
должны руководствоваться следующими основными характеристиками CERT-AM:
количественный состав и область деятельности данного подразделения, которое,
как предполагается, в большинстве случаев будет являться частью описанной
выше организа-ционной модели ИКТ безопасности;
структура может быть как централизованная, так и распределенная;
необходимость централизованного механизма взаимодействия (коммуникации)
с целью снижения оперативных и временных затрат на реагирование;
наличие оповещающего о <тревоге> механизма, распределенного в зоне ответствен-ности
команды;
подбор персонала, обладающего соответствующей технической компетенцией
и способностью к совместной работе, что должно содействовать удержание
ситуации под контролем.
Главным национальным мероприятием, посвященном вопросам совершенствования
системы государственного управления и внедрения для этой цели ИКТ, является
выставка-конференция <Форум П.А.>, проводимая ежегодно на выставочном
комплексе <Фьера ди Рома> в г.Риме. В рамках мероприятия представляются
экспозиции итальянских и между-народных организаций, промышленных предприятий
и ассоциаций, действующих на рын-ке ИКТ, проводится серия конференций
и семинаров с участием представителей централь-ных органов государственного
управления, местных администраций, негосударственных структур и т.д.
В 2002 году <Форум> состоялся с 6 по 10 мая. Запланированные сроки его
проведе-ния на следующий год - с 5 по 9 апреля. Подробная информация о
мероприятии содержит-ся на сайте Интернет: www.forumpa.it. Торгпредство
располагает также базовым каталогом <Форум П.А. - 2002>, включающим описание
целей мероприятия, программу проведенных в его рамках конференций, список
участников.
Другим важнейшим событием, проходящем ежегодно в Италии в области ИКТ,
является выставка-конференция <СМАУ>, центральное мероприятие которого
проводится на выставочном комплексе г.Милана. В течение года проходит
также серия сопутствующих <СМАУ> мероприятий в других городах Италии (Рим,
Бари, Неаполь, Катания). <СМАУ-2002> в Милане запланировано на 24-28 октября
2002 года. На мероприятии представлены экспозиции большинства национальных
и зарубежных фирм, предприятий и организаций, действующих на итальянском
рынке ИКТ. В рамках <СМАУ> проводятся специализиро-ванные конференции
и семинары с участием различных государственных и частных струк-тур. Подробная
информация о всех аспектах мероприятия (в т.ч. на английском языке) на-ходится
на сайте Интернет: www.smau.it.
Министерство инноваций и технологий Италии (см. по тексту): адрес -
Рим, ул.Барберини, 38; Интернет - www.innovazione.gov.it.
Министерство коммуникаций Италии (см. по тексту): адрес - Рим, пл.Пьетро
ди Брацца, 86; Интернет - www.comunicazioni.it.
Национальная федерация предприятий и ассоциаций ИК отрасли (Федеркомин):
ад-рес - Рим, ул.Барберини, 11; Интернет - www.federcomin.it.
Комитет по информатизации государственных учреждений Италии - AIPA (см.
по тексту): адрес - Рим, ул.Изонцо, 21б; Интернет - www.aipa.it. Торговым
представительст-вом установлены деловые контакты с рядом представителей
данного Комитета, включая ответственного сотрудника за внешние связи г-ном
Талларита Франко. В ходе проведен-ных переговоров с ним с итальянской
стороны была выражена в принципиальном плане заинтересованность в установлении
контактов с российскими организациями, занимаю-щимися вопросами развития
и применения ИКТ, в том числе для рассмотрения вопросов о возможной организации
совместных мероприятий по обмену опытом в данной области.
В целом же на основании материалов таких мероприятий, как <Форум П.А.>
и <СМАУ> можно сделать вывод, что вопросами развития и прикладного использования
ИКТ в Италии занимаются сотни национальных и транснациональных промышленных
предприятий, отраслевых и региональных ассоциаций, государственных и независимых
научно-исследовательских организаций, центральных министерств и ведомств,
местных администраций, представительств европейских и международных государственных
и не-правительственных структур. На сайтах Интернет указанных мероприятий
можно полу-чить их подробный список и базовую информацию.
© Фонд "Новая экономика"