CC BY
35
ПРАКТИКА
ВВЗ СДЕЛАНО В РОССИИ
Обеспечение
информационной безопасности РФ
в ходе реализации стратегических национальных задач
Развитие информационных телекоммуникационных систем неразрывно связано с проблемой обеспечения их безопасности. Автор статьи видит выход в производстве и разработке доверенного телекоммуникационного оборудования в России с целью его дальнейшего использования на российских инфокоммуникационных сетях.
В текущем году выпущен ряд государственных проектов, связанных с вопросами обеспечения безопасности и имеющих самое непосредственное отношение к деятельности компаний телекоммуникационного и ИТ-рынков:
=> Указ Президента Российской Федерации от 15 января 2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; ^ Законопроект от 16 октября 2013 г. .№ 6209п-ПА «О внесении изменений в ФЗ «Об оперативно-розыскной деятельности» и «О федеральной службе безопасности» (отнесение тематики «информационная безопасность» к предмету ОРМ); => проект Приказа Минкомсвязи России об обеспечении проведения ОРМ (в соответствии с которым к 1 июля 2014 г. все Интернет-провайдеры обязаны установить на свои сети оборудование для записи и хранения Интернет-трафика не менее 12 часов); => документы Совета безопасности РФ «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов (КВО) инфраструктуры Российской Федерации». Все заявленные мероприятия имеют своей целью повышение уровня защищенности КВО, а также самой информации и информационно-телекоммуникационных сетей.
ВеКИКАЧЕСТВА № 4 • 2013
Б.Ф. ПОНОМАРЕНКО,
президент Национальной Ассоциации телекоммуникационных компаний «Регулирование качества инфокоммуникаций»
Тем самым создаются дополнительные механизмы, которые, в свою очередь, формируют новые свойства инфотелекоммуникационной инфраструктуры. Обеспечение данных свойств связано как с развертыванием дополнительных комплексов (и технологий), так и с предъявлением новых требований к уже существующим инфо-телекоммуникационным сетям (ИТКС).
И уже существующие, и вновь создаваемые комплексы обеспечивают реализацию определенных функций и, как следствие, относятся (в зависимости от ряда факторов) к той или иной системе сертификации (ФСТЭК, ФСБ, Минкомсвязи, ГОСТ-Р и др.). Обычной является ситуация, когда одному и тому же комплексу в разных системах сертификации предъявляются различные требования. Более того, требования к комплексу могут варьироваться и в рамках одной системы, в частности, в зависимости от категории обрабатываемой информации и самих информационных систем.
В ряде случаев при проведении сертификации сталкиваются с серьезнейшей проблемой: аппаратная платформа, использованная для реализации комплекса, является «черным ящиком», что делает невозможным сертификацию комплекса в принципе. При этом задача сертификации на этапе проектирования и развертывания комплексов не ставилась, а возникла как следствие ужесточения нормативных требований.
Особое значение приобретает задача обеспечения защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак. Для ее решения необходимо определить:
■ характеристики угроз безопасности критической информационной структуры РФ; негативные факторы, влияющие на состояние безопасности данной инфраструктуры и прогноз развития ситуации на ближайшую перспективу;
СДЕЛАНО В РОССИИ
на □□□
□□□
ПРАКТИКА
■ эффективность межведомственного взаимодействия при обеспечении защищенности критической информационной инфраструктуры РФ.
Государственные объекты атомной, топливно-энергетической, транспортной, финансовой, оборонной и другой критической инфраструктуры РФ управляются сложными информационными системами по большей части иностранного производства. Представьте, что может произойти в результате компьютерной атаки даже на одну из этих структур.
Очевидно, что по мере все возрастающего развития и влияния Интернета растет и угроза национальным интересам в сфере информационной безопасности. Отмечается активизация межгосударственного информационного противоборства, фиксируются случаи распространения вредоносного софта, используемого в качестве информационного оружия. Специалисты не исключают возможность использования телекоммуникационных технологий для совершения терактов.
Кибератаки уже стали реальностью. Вспомним, к примеру, вывод из строя центрифуг по обогащению урана в Иране с помощью компьютерного червя Б^хпе^. Другой пример - кибератаки, которым были подвержены компьютеры сети Эстонии2.
Для формирования практических подходов к реализации комплекса организационно-технических мероприятий, направленных на обеспечение безопасности информационных систем КВО, необходима разработка соответствующего пакета руководящих документов, в частности, таких как:
=> порядок классификации информационных систем и информационно-телекоммуникационных сетей (ИТКС); => отраслевая модель угроз ИТКС; => требования по защите ИТКС; => методика оценки степени защищенности ИТКС и др.
Необходимо разрабатывать и внедрять отечественные стандарты, которые соответствовали бы общемировым тенденциям, а также учитывали национальные особенности страны.
Разработка нормативно-правовых документов и практическая реализация на их основе комплекса организационно-технических мероприятий позволит не только получить эффективный инструмент обеспечения защиты ИТКС, контроля степени их защищенности, но и гармонизировать подходы, реализуемые различными ведомствами.
Актуальность данных работ подтверждается возрастающей сложностью технологических процессов, ростом автоматизации, интеллектуальной насыщенности технологических процессов и, следовательно, потенциальной уязвимости ИТКС к угрозам информационной безопасности.
Прямым следствием усложнения технологических процессов является повышение зависимости от производителей импортного оборудования и АСУ.
Вопросы гарантий производителя неизбежно выходят на первый план при оценке как необходимых мер защиты, так и тяжести возможных последствий. Отсутствие контроля производителя делает малоэффективным использование иных средств и механизмов защиты.
Примером «потери контроля над технологиями» является установка пакета продуктов безопасности компании МсА1ее. Одна из технологий - «Удаленное включение выключенных устройств» после установки пакета работает на уровне чипсета, осуществляя неконтролируемую заказчиком модификацию софта, включение и повторное выключение оборудования. При этом технология работает в обход всех стандартно используемых средств защиты.
Вот почему на современном этапе вопрос создания отечественной аппаратуры стоит наиболее остро. Ни для кого не секрет, что на российских сетях зарубежная техника и программное обеспечение составляют, по разным оценкам, до 80%.
Решать задачи по защите информации в таких условиях чрезвычайно сложно. Необходимо договариваться с поставщиками, чтобы оборудование было «чистым». Известны же примеры, когда техника имела так называемые «backdoor»3. Совсем недавно были обнародованы случаи поставки даже бытовой техники со встроенными жучками, снабженными чипами для связи по Wi-Fi.
Недавний скандал, связанный с деятельностью Агентства национальной безопасности США, подтвердил, что американские технологические компании сотрудничают с разведкой.
Возможный выход в данной ситуации - создание аппаратуры по технологии зарубежного производителя на российских предприятиях под контролем отечественных специалистов с обязательной сертификацией на территории России. И для защиты ИТКС наиболее надежный способ - цифровой суверенитет путем производства отечественных чипов для работы на российских сетях.
компьютерный червь Stuxnet, обнаруженный в Иране, предназначен для вывода из строя центрифуг по обогащению урана.
2Компьютерная сеть Эстонии в конце апреля 2007 г в ходе массовых беспорядков, связанных с решением правительства перенести памятник Воину-освободителю, подверглась атакам хакеров. Была затруднена работа правительства, канцелярии президента. правящих партий, банков и газет.
3Бэкдор, backdoor (от англ. back door - чёрный ход) - программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.
№ 4 • 2013 ВеКкАЧЕСТВА
39
ПРАКТИКА
333 33
з
СДЕЛАНО В РОССИИ
«Российская корпорация средств связи» (РКСС) -первая в России компания, которая специализируется на производстве и разработке доверенного телекоммуникационного оборудования. РКСС входит в состав холдинга ОАО «Росэлектроника» Госкорпорации «Ростехнологии».
Для РКСС обеспечение доверенности является неким базовым свойством, позволяющим: => обеспечить заказчиков оборудованием, которое готово к сертификации уже на этапе проектирования; => обеспечить заказчиков оборудованием, сертификация которого возможна уже при его эксплуатации. Актуальность данного подхода также подтверждается законодательными инициативами, в частности, решениями Совета безопасности. В соответствии с этими решениями было введено понятие «критически важный объект» (КВО), которое пока не обеспечено соответствующими техническими регламентами (в том числе, сертификационными требованиями), детализирующими требования по безопасности функционирования инфраструктуры КВО.
Цель РКСС - создание интегрированных доверенных решений для ИТ-инфраструктуры в России. При этом используется типовой подход к проектированию комплексных автоматизированных систем безопасности города, муниципальных образований, КВО с учетом обеспечения информационной безопасности (см. рисунок). Чтобы реализовать поставленную задачу, РКСС в сотрудничестве с мировыми лидерами ИТ-индустрии разрабатывает и производит на территории РФ сертифицирован-
ное телекоммуникационное оборудование с применением российских решений в области криптографии и шифрования. Тем самым, РКСС обеспечивает адаптацию зарубежных технологий с учетом требований российского рынка, осуществляет взаимодействие с передовыми зарубежными компаниями в интересах инновационного развития ИТ-отрасли России.
При этом «доверенность - как свойство» обеспечивает важнейшие требования безопасности и надежности, включая:
сборку на сертифицированных российских предприятиях ГК «Ростехнологии»; 100%-ный контроль комплектующих; установку эталонного программного обеспечения; 100%-ное тестирование готовых изделий; дополнительные испытания по требованию заказчика; сертификацию в соответствии с требованиями российских органов сертификации, в том числе по требованиям информационной безопасности; использование сертифицированных систем сетевой безопасности, в том числе собственной разработки (например, фиксированного аппаратного 1Р-шифратора «Заслон»);
разработку эксплуатационной документации на русском языке;
разработку средств контроля и управления работой телекоммуникационного оборудования; гарантийное и послегарантийное обслуживание. ■
Сервисы
Снсгема ЕШЛеОНЛОлЧДСН.'й
Едннаи БД
ПйППОрТП
объектов
упрааррниажкх
система
уп РУЛЕНИИ
система мониторинга педвкжньиебъектсм]
Система
управпаний
услугами
Центр
СИ Ведомств
НЦУКС
СЦ Ругмочальной цн| июоуиуии ичеипии но гики; ни
СЦ Двгга ртнмвнта СЦ Адм и ннстрнцнн медицины катастроф города
СЦ/ДЦ МЧС
сц Департамента транспорта
СЦ/ДЧ ГИБДД
СЦ/ДЧ ГУВД
Информационная магистраль
Главный центр мониторинге
Информационная магистраль
Локальные центры мониторинга
лцм аэропорт® ЛЦМ стадиона
Источники информации
• М'Рвн."тН{1Н ЛИ»
РидФоииФрр^дцня
Сосю«ич объсчтоа <э полонам ■?!«чг« 'плр>т*Н|>п/гч»«эр»чя в/м.
Интернет 1—1 СМИ
местоположения объекта (ГИС)
Информация 1—1 из баз данных
Единая госте&ан электронная к;
Компоненты комплексной автоматизированной системы «Безопасный город», разработанной РКСС
40
ВеКИКАЧЕСТВА № 4 • 2013
