CC BY
72
6 ТЕХНОЛОГИЯ ПРОГРАММИРОВАНИЯ,
АВТОМАТИЗАЦИЯ ЛОГИЧЕСКОГО ПРОЕКТИРОВАНИЯ И ЗАЩИТА _ИНФОРМАЦИИ
ПРОБЛЕМНЫЕ ВОПРОСЫ СОСТОЯНИЯ И РАЗВИТИЯ НОРМАТИВНО-ПРАВОВОГО ОБЕСПЕЧЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ А.Д. Катаржнов, Е.А. Проценко
В статье рассматриваются положение дел и проблемные вопросы нормативно-правового обеспечения технической защиты информации в АСУ и ИТКС, и пути их решения.
Современный этап развития Российской Федерации характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.
Анализ положения дел в области информатизации и защиты информации в России показывает, что информационные технологии принципиально изменили объем и важность информации, обращающейся в технических средствах ее хранения, обработки и передачи. В настоящее время одним из главных ресурсов Российской Федерации, основной ее экономического потенциала становится информация и информационные технологии. При этом всеобщая компьютеризация основных сфер деятельности привела к появлению широкого спектра внутренних и внешних угроз, нетрадиционных каналов утечки информации и несанкционированного доступа к ней.
При расширении процессов информатизации в ключевых сегментах информационной инфраструктуры России все больше функций передается автоматизированным системам управления (АСУ) и информационно-телекоммуникационным системам (ИТКС), включая органы государственной власти, учреждения и организации связи, транспортные и топливно-энергетические комплексы, финансово-кредитные системы, предприятия с вредными производствами, объектами жизнеобеспечения и коммунального хозяйства крупных населенных пунктов. Нарушения в работе указанных систем могут привести к техногенным катастрофам, экологическим, экономическим, социальным и другим чрезвычайным ситуациям и катастрофам с необратимыми последствиями, большими человеческими жертвами и материальным ущербом.
Качественное обеспечение этих процессов требует создания огромных баз данных, соответствующих хранилищ и коммуникаций для обмена данными, вовлекает в процесс управления большие группы специалистов, что, в свою очередь, создает дополнительные проблемы. Наиболее важной из них является возрастающая уязвимость АСУ и ИТКС в указанных сегментах информационной инфраструктуры государства в отношении угроз безопасности информации, показанных на рис. 1.[1]
В соответствии с Доктриной информационной безопасности Российской Федерации [2] необходимо решить ряд задач:
• повысить безопасность информационных систем, включая сети связи;
• интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации;
• обеспечить защиту сведений ограниченного доступа;
• расширять международное сотрудничество России в области развития и безопасного использования информационных ресурсов, противодействия угрозе информационного противоборства в информационной сфере.
Основными сферами реализации угроз безопасности информации для Российской
Федерации являются:
• сфера экономики;
• сфера внутренней политики;
• сфера правоохранительной и судебной деятельности;
• сфера предупреждения и ликвидации чрезвычайных ситуаций;
Основными из существующих угроз являются:
• нарушение технологии обработки информации;
• перехват информации в сетях передачи данных и на линиях связи;
• несанкционированный доступ к информации, находящейся в банках и базах данных.
УГРОЗЫ ИНФОРМАЦИИ
Проявляется в нарушении
Конфиденциальности
-Разглашение -Утечка - НСД
Достоверности
Фальсификация Подделка ■ Мошенничество
Целостности
- Искажение
- Ошибки
- Потери
Доступности
- Нарушение связи
- Воспрещение получения
Рис .1. Угрозы информации
Реализация угроз безопасности информации относительно большинства информационных телекоммуникационных систем, АСУ технологическими процессами потенциально-опасных объектов, ведомственных сетей связи может привести к возникновению чрезвычайных ситуаций от локального до трансграничного масштаба, создать угрозу жизни людей и повлиять на экологическую безопасность Российской Федерации.
Оценка защищенности АСУ потенциально-опасными объектами и ИТКС в ключевых сегментах информационной структуры показывает следующее. • Состояние и организация защиты АСУ и ИТКС в указанных сегментах информационной структуры требует безотлагательного решения проблемных вопросов с целью обеспечения безопасности и устойчивости их функционирования:
- нет четкого определения широкого перечня внутренних и внешних угроз, нетрадиционных каналов утечки информации и несанкционированного доступа к ней, а также к АСУ и ИТКС;
- имеет место неопределенность в правовом статусе и в уровне требований по защите информации конфиденциального характера и другой информации, циркулирующей в АСУ и ИТКС, критически важных сегментов информационной инфра-
структуры Российской Федерации, а также недостаточна правоприменительная практика в этой области;
- в ряде органов власти и организаций обработка информации ограниченного доступа в автоматизированных системах осуществляется с нарушением требований федеральных законов, руководящих и нормативных документов ФСТЭК России (ранее Гостехкомиссия России) в области обеспечения безопасности информации. Защита информации в основном сводится к использованию встроенных механизмов защиты операционных систем, резервному копированию, архивированию баз данных и использованию антивирусных программ. При этом внедрение АСУ потенциально-опасных объектов осуществляется без учета возможных угроз их функционированию, в том числе угроз информационного терроризма во всех его проявлениях;
- недостаточно финансирование мероприятий по обеспечению информационной безопасности государства;
- отсутствуют федеральные и региональные целевые программы в области информационной безопасности, прежде всего по защите АСУ и ИТКС в ключевых сегментах информационной инфраструктуры государства;
- существующая на государственном уровне межведомственная разобщенность ведут к дублированию выполняемых работ по информационной безопасности России.
• Уровень информационной безопасности этих систем значительно отстает от масштабов и темпов возрастания внутренних и внешних угроз.
• В случае реализации угроз информационной безопасности со стороны внешних или внутренних источников угроз возможны утечка конфиденциальной и технологической информации, ее искажение, нарушение целостности и доступности, что может привести к возникновению чрезвычайных ситуаций и нанести ущерб национальным интересам государства.
• Снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности.
• Недостаточное методическое руководство в организации работ по защите информации в органах власти и организациях со стороны вышестоящих ведомств и органов исполнительной власти.
Анализ состояния нормативно-правового обеспечения технической защиты информации (ТЗИ) показывает, что в настоящее время в Российской Федерации эту систему формирует:
• 26 государственных и межгосударственных стандартов ГОСТ и ГОСТ Р;
• 17 руководящих документов Гостехкомиссии России, не включая документы с грифом ДСП;
• 50 стандартов в оборонных отраслях промышленности и Министерстве обороны России.
Состояние указанных нормативных документов отстает от современного уровня развития информационных технологий и требуемого нормативного обеспечения, не соответствует современному уровню развития международной нормативно-правовой базы и не учитывает международный опыт и практику разработки нормативных документов в области информационной безопасности.
Чтобы сократить это отставание, в период с 1999 года по настоящее время ФСТЭК России совместно с другими министерствами и ведомствами внесли ряд предложений по совершенствованию нормативно-правовой и методологической базы в данной области. На основе международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation) [3] были утверждены три государственных стандарта ГОСТ Р ИСО/МЭК
15408-1-2002 [4], 15408-2-2002 [5], 15408-3-2002 [6], которые определяют критерии оценки безопасности информационных технологий и позволяют определить требования по формированию заданий по безопасности в соответствии с положениями международных стандартов, и как ранее отмечалось, призваны предотвратить угрозы:
• несанкционированного раскрытия информации (обеспечение конфиденциальности);
• обеспечения достоверности информации;
• несанкционированного модифицирования и/или уничтожения информационно-программных ресурсов (обеспечение целостности);
• обеспечения своевременного и санкционированного получения информации (обеспечение доступности).
В развитие данных стандартов по заказу ФСТЭК был разработан ряд нормативных и методических документов, в которых зафиксированы современные решения и методологии:
• руководство по разработке профилей защиты (типовой набор сведений, которым должны удовлетворять продукты и/или системы определенного класса) и заданий по безопасности (совокупность требований к конкретной разработке) [7];
• руководство по регистрации профилей защиты [8];
• руководства по разработке семейств профилей защиты [9, 10].
- Контролируемый доступ - Меточная защита - Многоуровневые операционные системы в средах, требующих средней робастности - Межсетевые экраны корпоративного уровня - Межсетевые экраны провайдерского уровня - Одноуровневые операционные системы в средах, требующих средней робастности - Клиентские операционные системы;
- Системы управления базами данных - Средство защиты ресурсов компьютера от несанкционированного доступа на начальном этапе его загрузки - Средства построения виртуальных локальных вычислительных сетей - Средства построения виртуальных частных вычислительных сетей;
- Билинговые системы - Средства доверенной загрузки ЭВМ - Системы обнаружения вторжений - Удостоверяющие центры - Инфраструктуры открытых ключей - Защита от несанкционированного доступа к информации.
Данные профили защиты разработаны с учетом профилей, выработанных в других странах.
• Разработан и утвержден ГОСТ Р 34.10-94 [11], определяющий процессы формирования и проверки электронной цифровой подписи, который в скором будущем должен стать межгосударственным стандартом.
• Разработан проект классификатора техники защиты информации (средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления) [12].
• Разработан проект государственного стандарта, определяющего общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации [12].
В стадии разработки находятся следующие документы:[10]:
• концепция обеспечения безопасности изделий информационных технологий;
• положение по организации разработки, испытаний, производства и эксплуатации безопасных информационных технологий;
• базовая модель угроз безопасности ИТ;
• положение об оценке и сертификации ИТ;
• методология (типовые методики) оценки по общим критериям;
• проект «Программы комплексной стандартизации в области защиты информации, составляющей государственную тайну», расширяющий требования ФЗ «О техниче-
ском регулировании» [13] и ФЗ «О государственной тайне» [14] путем создания более 30 национальных стандартов и рекомендаций по стандартизации:
- общий технический регламент «Безопасность информации, составляющей государственную тайну»;
- общий технический регламент «Безопасность техники защиты объектов как носителей информации, составляющей государственную тайну»;
- специальный технический регламент «Безопасность информации, составляющей государственную тайну, для информационных и телекоммуникационных технологий»;
- специальный технический регламент «Безопасность информации, составляющей государственную тайну, для систем управления военного назначения».
В заключении следует отметить, что указанный пакет документов и профилей защиты должен составить целостную систему нормативно-методических документов по оценке безопасности информационных технологий, внедрение которых позволит обеспечить единую классификацию и кодирование техники защиты информации, что снизит разобщенность разработчиков и изготовителей, согласует их работу по разработке систем качества и обеспечит получение доступа на международный рынок сертифицированных продуктов и продукции, так как сложно обеспечивать национальную и тем более информационную безопасность Российской Федерации, используя информационные продукты и услуги, в разработке и предоставлении которых, потенциально могут участвовать спецслужбы иностранных государств.
Также возникает необходимость:
• законодательно определить статус информации, циркулирующей в АСУ и ИТКС в ключевых сегментах информационной инфраструктуры Российской Федерации;
• законодательно закрепить ответственность за выдачу сертификата на несоответствующие требованиям информационные продукты;
• разработать нормативы и методические документы, устанавливающие критерии отнесения информации к основным сегментам информационной инфраструктуры России (в том числе с учетом возможного ущерба в результате нарушения работоспособности АСУ и ИТКС);
• федеральным органам исполнительной власти, уполномоченным в области защиты информации, разработать целевые программы в области информационной безопасности, прежде всего по защите АСУ и ИТКС в сегментах информационной инфраструктуры государства, и принять соответствующие нормативные документы, конкретизирующие необходимые требования по их технической защите;
• пересмотреть устаревшие нормы и стандарты, а также федеральные целевые программы по развитию информационной сферы государства и уточнить их разделы в области информационной безопасности;
• усилить работу по контролю за привлечением к разработке и внедрению АСУ в защищенном исполнении и средств защиты информации только организаций, имеющих лицензию федерального органа исполнительной власти, уполномоченного в области защиты информации.
Литература
1. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М.: Академический проект; Гаудеамус, 2-е изд. 2004.
2. Доктрина информационной безопасности Российской Федерации» (утв. Президентом РФ 09.09.2000 N Пр-1895) // Российская газета, № 187, 28.09.2000.
3. Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model; Part 2: Security functional requirements; Part 3: Security assurance requirements. - ISO/IEC 15408-1-2-3-1999.
4. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель. М.: ИПК Издательство стандартов, 2002.
5. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М.: ИПК Издательство стандартов, 2002.
6. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М.: ИПК Издательство стандартов, 2002.
7. Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003. http://www.gostexkom.ru/_ispo.htm
8. Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты. Гостехкомиссия России, 2003. http://www.gostexkom.ru/_ispo.htm
9. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты. Гостехкомиссия России, 2003. http://www.gostexkom.ru/_ispo.htm
10. Калайда И. А. Состояние и перспективы развития нормативно-методической базы в области безопасности информационных технологий (08.04.2004). http://www.infofo-rum.ru/detail.php?pagedetail=895
11. ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. Госстандарт России.
12. Отчет об итогах работы Всероссийского научно-исследовательского института стандартизации за 2003 год. http://www.vniistandart.com/general/inst/2003.shtml?05
13. Федеральный закон от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» // Российская газета. 31 декабря 2002. № 245.
14. Закон РФ от 21 июля 1993 г. N 5485-1 «О Государственной тайне» // Российская газета. 21 сентября 1993.
15. Галатенко В.А. Основы информационной безопасности / Под редакцией члена-корреспондента РАН В.Б. Бетелина. М.: ИНСТИТУТ.РУ «Интернет-Университет Информационных Технологий», 2003.
16. Галатенко В.А. Стандарты информационной безопасности / Под редакцией члена-корреспондента РАН В.Б. Бетелина. М.: ИНСТИТУТ.РУ «Интернет-Университет Информационных Технологий», 2003.
