Научная статья на тему 'Проблемные вопросы состояния и развития нормативно-правового обеспечения технической защиты информации в автоматизированных системах управления и информационно-телекоммуникационных системах'

Проблемные вопросы состояния и развития нормативно-правового обеспечения технической защиты информации в автоматизированных системах управления и информационно-телекоммуникационных системах Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
423
73
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Проблемные вопросы состояния и развития нормативно-правового обеспечения технической защиты информации в автоматизированных системах управления и информационно-телекоммуникационных системах»

6 ТЕХНОЛОГИЯ ПРОГРАММИРОВАНИЯ,

АВТОМАТИЗАЦИЯ ЛОГИЧЕСКОГО ПРОЕКТИРОВАНИЯ И ЗАЩИТА _ИНФОРМАЦИИ

ПРОБЛЕМНЫЕ ВОПРОСЫ СОСТОЯНИЯ И РАЗВИТИЯ НОРМАТИВНО-ПРАВОВОГО ОБЕСПЕЧЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ А.Д. Катаржнов, Е.А. Проценко

В статье рассматриваются положение дел и проблемные вопросы нормативно-правового обеспечения технической защиты информации в АСУ и ИТКС, и пути их решения.

Современный этап развития Российской Федерации характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

Анализ положения дел в области информатизации и защиты информации в России показывает, что информационные технологии принципиально изменили объем и важность информации, обращающейся в технических средствах ее хранения, обработки и передачи. В настоящее время одним из главных ресурсов Российской Федерации, основной ее экономического потенциала становится информация и информационные технологии. При этом всеобщая компьютеризация основных сфер деятельности привела к появлению широкого спектра внутренних и внешних угроз, нетрадиционных каналов утечки информации и несанкционированного доступа к ней.

При расширении процессов информатизации в ключевых сегментах информационной инфраструктуры России все больше функций передается автоматизированным системам управления (АСУ) и информационно-телекоммуникационным системам (ИТКС), включая органы государственной власти, учреждения и организации связи, транспортные и топливно-энергетические комплексы, финансово-кредитные системы, предприятия с вредными производствами, объектами жизнеобеспечения и коммунального хозяйства крупных населенных пунктов. Нарушения в работе указанных систем могут привести к техногенным катастрофам, экологическим, экономическим, социальным и другим чрезвычайным ситуациям и катастрофам с необратимыми последствиями, большими человеческими жертвами и материальным ущербом.

Качественное обеспечение этих процессов требует создания огромных баз данных, соответствующих хранилищ и коммуникаций для обмена данными, вовлекает в процесс управления большие группы специалистов, что, в свою очередь, создает дополнительные проблемы. Наиболее важной из них является возрастающая уязвимость АСУ и ИТКС в указанных сегментах информационной инфраструктуры государства в отношении угроз безопасности информации, показанных на рис. 1.[1]

В соответствии с Доктриной информационной безопасности Российской Федерации [2] необходимо решить ряд задач:

• повысить безопасность информационных систем, включая сети связи;

• интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации;

• обеспечить защиту сведений ограниченного доступа;

• расширять международное сотрудничество России в области развития и безопасного использования информационных ресурсов, противодействия угрозе информационного противоборства в информационной сфере.

Основными сферами реализации угроз безопасности информации для Российской

Федерации являются:

• сфера экономики;

• сфера внутренней политики;

• сфера правоохранительной и судебной деятельности;

• сфера предупреждения и ликвидации чрезвычайных ситуаций;

Основными из существующих угроз являются:

• нарушение технологии обработки информации;

• перехват информации в сетях передачи данных и на линиях связи;

• несанкционированный доступ к информации, находящейся в банках и базах данных.

УГРОЗЫ ИНФОРМАЦИИ

Проявляется в нарушении

Конфиденциальности

-Разглашение -Утечка - НСД

Достоверности

Фальсификация Подделка ■ Мошенничество

Целостности

- Искажение

- Ошибки

- Потери

Доступности

- Нарушение связи

- Воспрещение получения

Рис .1. Угрозы информации

Реализация угроз безопасности информации относительно большинства информационных телекоммуникационных систем, АСУ технологическими процессами потенциально-опасных объектов, ведомственных сетей связи может привести к возникновению чрезвычайных ситуаций от локального до трансграничного масштаба, создать угрозу жизни людей и повлиять на экологическую безопасность Российской Федерации.

Оценка защищенности АСУ потенциально-опасными объектами и ИТКС в ключевых сегментах информационной структуры показывает следующее. • Состояние и организация защиты АСУ и ИТКС в указанных сегментах информационной структуры требует безотлагательного решения проблемных вопросов с целью обеспечения безопасности и устойчивости их функционирования:

- нет четкого определения широкого перечня внутренних и внешних угроз, нетрадиционных каналов утечки информации и несанкционированного доступа к ней, а также к АСУ и ИТКС;

- имеет место неопределенность в правовом статусе и в уровне требований по защите информации конфиденциального характера и другой информации, циркулирующей в АСУ и ИТКС, критически важных сегментов информационной инфра-

структуры Российской Федерации, а также недостаточна правоприменительная практика в этой области;

- в ряде органов власти и организаций обработка информации ограниченного доступа в автоматизированных системах осуществляется с нарушением требований федеральных законов, руководящих и нормативных документов ФСТЭК России (ранее Гостехкомиссия России) в области обеспечения безопасности информации. Защита информации в основном сводится к использованию встроенных механизмов защиты операционных систем, резервному копированию, архивированию баз данных и использованию антивирусных программ. При этом внедрение АСУ потенциально-опасных объектов осуществляется без учета возможных угроз их функционированию, в том числе угроз информационного терроризма во всех его проявлениях;

- недостаточно финансирование мероприятий по обеспечению информационной безопасности государства;

- отсутствуют федеральные и региональные целевые программы в области информационной безопасности, прежде всего по защите АСУ и ИТКС в ключевых сегментах информационной инфраструктуры государства;

- существующая на государственном уровне межведомственная разобщенность ведут к дублированию выполняемых работ по информационной безопасности России.

• Уровень информационной безопасности этих систем значительно отстает от масштабов и темпов возрастания внутренних и внешних угроз.

• В случае реализации угроз информационной безопасности со стороны внешних или внутренних источников угроз возможны утечка конфиденциальной и технологической информации, ее искажение, нарушение целостности и доступности, что может привести к возникновению чрезвычайных ситуаций и нанести ущерб национальным интересам государства.

• Снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности.

• Недостаточное методическое руководство в организации работ по защите информации в органах власти и организациях со стороны вышестоящих ведомств и органов исполнительной власти.

Анализ состояния нормативно-правового обеспечения технической защиты информации (ТЗИ) показывает, что в настоящее время в Российской Федерации эту систему формирует:

• 26 государственных и межгосударственных стандартов ГОСТ и ГОСТ Р;

• 17 руководящих документов Гостехкомиссии России, не включая документы с грифом ДСП;

• 50 стандартов в оборонных отраслях промышленности и Министерстве обороны России.

Состояние указанных нормативных документов отстает от современного уровня развития информационных технологий и требуемого нормативного обеспечения, не соответствует современному уровню развития международной нормативно-правовой базы и не учитывает международный опыт и практику разработки нормативных документов в области информационной безопасности.

Чтобы сократить это отставание, в период с 1999 года по настоящее время ФСТЭК России совместно с другими министерствами и ведомствами внесли ряд предложений по совершенствованию нормативно-правовой и методологической базы в данной области. На основе международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation) [3] были утверждены три государственных стандарта ГОСТ Р ИСО/МЭК

15408-1-2002 [4], 15408-2-2002 [5], 15408-3-2002 [6], которые определяют критерии оценки безопасности информационных технологий и позволяют определить требования по формированию заданий по безопасности в соответствии с положениями международных стандартов, и как ранее отмечалось, призваны предотвратить угрозы:

• несанкционированного раскрытия информации (обеспечение конфиденциальности);

• обеспечения достоверности информации;

• несанкционированного модифицирования и/или уничтожения информационно-программных ресурсов (обеспечение целостности);

• обеспечения своевременного и санкционированного получения информации (обеспечение доступности).

В развитие данных стандартов по заказу ФСТЭК был разработан ряд нормативных и методических документов, в которых зафиксированы современные решения и методологии:

• руководство по разработке профилей защиты (типовой набор сведений, которым должны удовлетворять продукты и/или системы определенного класса) и заданий по безопасности (совокупность требований к конкретной разработке) [7];

• руководство по регистрации профилей защиты [8];

• руководства по разработке семейств профилей защиты [9, 10].

- Контролируемый доступ - Меточная защита - Многоуровневые операционные системы в средах, требующих средней робастности - Межсетевые экраны корпоративного уровня - Межсетевые экраны провайдерского уровня - Одноуровневые операционные системы в средах, требующих средней робастности - Клиентские операционные системы;

- Системы управления базами данных - Средство защиты ресурсов компьютера от несанкционированного доступа на начальном этапе его загрузки - Средства построения виртуальных локальных вычислительных сетей - Средства построения виртуальных частных вычислительных сетей;

- Билинговые системы - Средства доверенной загрузки ЭВМ - Системы обнаружения вторжений - Удостоверяющие центры - Инфраструктуры открытых ключей - Защита от несанкционированного доступа к информации.

Данные профили защиты разработаны с учетом профилей, выработанных в других странах.

• Разработан и утвержден ГОСТ Р 34.10-94 [11], определяющий процессы формирования и проверки электронной цифровой подписи, который в скором будущем должен стать межгосударственным стандартом.

• Разработан проект классификатора техники защиты информации (средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления) [12].

• Разработан проект государственного стандарта, определяющего общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации [12].

В стадии разработки находятся следующие документы:[10]:

• концепция обеспечения безопасности изделий информационных технологий;

• положение по организации разработки, испытаний, производства и эксплуатации безопасных информационных технологий;

• базовая модель угроз безопасности ИТ;

• положение об оценке и сертификации ИТ;

• методология (типовые методики) оценки по общим критериям;

• проект «Программы комплексной стандартизации в области защиты информации, составляющей государственную тайну», расширяющий требования ФЗ «О техниче-

ском регулировании» [13] и ФЗ «О государственной тайне» [14] путем создания более 30 национальных стандартов и рекомендаций по стандартизации:

- общий технический регламент «Безопасность информации, составляющей государственную тайну»;

- общий технический регламент «Безопасность техники защиты объектов как носителей информации, составляющей государственную тайну»;

- специальный технический регламент «Безопасность информации, составляющей государственную тайну, для информационных и телекоммуникационных технологий»;

- специальный технический регламент «Безопасность информации, составляющей государственную тайну, для систем управления военного назначения».

В заключении следует отметить, что указанный пакет документов и профилей защиты должен составить целостную систему нормативно-методических документов по оценке безопасности информационных технологий, внедрение которых позволит обеспечить единую классификацию и кодирование техники защиты информации, что снизит разобщенность разработчиков и изготовителей, согласует их работу по разработке систем качества и обеспечит получение доступа на международный рынок сертифицированных продуктов и продукции, так как сложно обеспечивать национальную и тем более информационную безопасность Российской Федерации, используя информационные продукты и услуги, в разработке и предоставлении которых, потенциально могут участвовать спецслужбы иностранных государств.

Также возникает необходимость:

• законодательно определить статус информации, циркулирующей в АСУ и ИТКС в ключевых сегментах информационной инфраструктуры Российской Федерации;

• законодательно закрепить ответственность за выдачу сертификата на несоответствующие требованиям информационные продукты;

• разработать нормативы и методические документы, устанавливающие критерии отнесения информации к основным сегментам информационной инфраструктуры России (в том числе с учетом возможного ущерба в результате нарушения работоспособности АСУ и ИТКС);

• федеральным органам исполнительной власти, уполномоченным в области защиты информации, разработать целевые программы в области информационной безопасности, прежде всего по защите АСУ и ИТКС в сегментах информационной инфраструктуры государства, и принять соответствующие нормативные документы, конкретизирующие необходимые требования по их технической защите;

• пересмотреть устаревшие нормы и стандарты, а также федеральные целевые программы по развитию информационной сферы государства и уточнить их разделы в области информационной безопасности;

• усилить работу по контролю за привлечением к разработке и внедрению АСУ в защищенном исполнении и средств защиты информации только организаций, имеющих лицензию федерального органа исполнительной власти, уполномоченного в области защиты информации.

Литература

1. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М.: Академический проект; Гаудеамус, 2-е изд. 2004.

2. Доктрина информационной безопасности Российской Федерации» (утв. Президентом РФ 09.09.2000 N Пр-1895) // Российская газета, № 187, 28.09.2000.

3. Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model; Part 2: Security functional requirements; Part 3: Security assurance requirements. - ISO/IEC 15408-1-2-3-1999.

4. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель. М.: ИПК Издательство стандартов, 2002.

5. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М.: ИПК Издательство стандартов, 2002.

6. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М.: ИПК Издательство стандартов, 2002.

7. Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003. http://www.gostexkom.ru/_ispo.htm

8. Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты. Гостехкомиссия России, 2003. http://www.gostexkom.ru/_ispo.htm

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

9. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты. Гостехкомиссия России, 2003. http://www.gostexkom.ru/_ispo.htm

10. Калайда И. А. Состояние и перспективы развития нормативно-методической базы в области безопасности информационных технологий (08.04.2004). http://www.infofo-rum.ru/detail.php?pagedetail=895

11. ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. Госстандарт России.

12. Отчет об итогах работы Всероссийского научно-исследовательского института стандартизации за 2003 год. http://www.vniistandart.com/general/inst/2003.shtml?05

13. Федеральный закон от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» // Российская газета. 31 декабря 2002. № 245.

14. Закон РФ от 21 июля 1993 г. N 5485-1 «О Государственной тайне» // Российская газета. 21 сентября 1993.

15. Галатенко В.А. Основы информационной безопасности / Под редакцией члена-корреспондента РАН В.Б. Бетелина. М.: ИНСТИТУТ.РУ «Интернет-Университет Информационных Технологий», 2003.

16. Галатенко В.А. Стандарты информационной безопасности / Под редакцией члена-корреспондента РАН В.Б. Бетелина. М.: ИНСТИТУТ.РУ «Интернет-Университет Информационных Технологий», 2003.

i Надоели баннеры? Вы всегда можете отключить рекламу.