Rambler's Top100
Статьи ИКС № 2 2005
Галина БОЛЬШОВА  01 февраля 2005

Информационная безопасность: профессионалы о приоритетах

Обобщенно тематику форума можно сформулировать так: приоритеты в сфере информационной безопасности для развития реальной экономики. Его программа была четко ориентирована на самые важные для специалистов по информационной безопасности (ИБ) задачи, требующие решения в 2005 г. Перечень этих актуальных проблем отражен в списке тем секций, реди которых киберпреступность и кибертерроризм, правовое регулирование в сфере ИБ и безопасные технологии для задач государственного управления, аудит информационных систем (ИС) и вопросы совместимости средств защиты информации (СЗИ), правовые аспекты ИБ в контексте Интернета и др.

Познакомить читателя в рамках журнальной публикации даже с сутью всех затронутых проблем не представляется возможным. Цель нашего информационного «дайджеста»– отразить главные тенденции, наиболее значимые для телекоммуникационного и IT-сообщества.

Из официальных источников

Выступая на пленарном заседании, заместитель председателя Комитета Госдумы по безопасности В. В. Дятленко констатировал, что в 2004 г. принят лишь один закон в области информационной безопасности – «О коммерческой тайне»– и внесены изменения в закон «Об авторском праве»(в части технических средств защиты этого права) . Продолжается подготовка законов о служебной и государственной тайне и распространении спама. Среди необходимых, но отсутствующих норм были также перечислены: положение об удостоверяющих центрах, о критериях конфиденциальности информации, в том числе содержащей личные данные граждан (вспомним об общедоступности баз данных ГИБДД, сотовых операторов и ЖКХ) , а также изменения и дополнения в законы о техническом регулировании, о связи, об электронной торговле (проект) и электронной цифровой подписи. И хотя все они стоят в планах комитета на 2005 г., итог года прошедшего явно неутешителен: сегодня даже необходимость сертификации продуктов ИБ, по сути, не закреплена никакими регламентами и допускает многозначное толкование.

Представитель Совета безопасности РФ А. В. Рассадин отметил, что, согласно утвержденной Доктрине безопасности, в число первоочередных текущих задач Совбеза входят: работы по стандартизации ИБ и методическим основам анализа уровня защищенности ИС, создание системы мониторинга объектов ИБ, а также совершенствование подготовки кадров. Кроме того, Совбез планирует сформировать регламентирующие документы по обеспечению защиты критически важных объектов информационной инфраструктуры страны, но, как заметил А. В. Рассадин, Мининформсвязи пока «не смогло составить даже перечень таких объектов». Касаясь статистики киберпреступлений (свыше 10 тыс. за девять месяцев 2004 г.), выступавший подчеркнул тенденцию развития в сторону объединения злоумышленников в международные группировки и их слияния международными террористическими организациями, что, по мнению Совета безопасности, требует внесения изменений также в УК и УПК РФ.

В то же время, по словам начальника Главного управления специальных технических мероприятий МВД России Б. Н. Мирошникова, анализ статистики киберпреступлений показывает снижение темпов роста. Если в середине года прогнозировалось удвоение их количества, то реальный прирост в 2004 г. по сравнению с 2003 г. составил только 24% (всего 13 261) . Существенно изменилась и «структура»преступлений по виду угроз. Так, снизилась доля НСД (2003 г. – 63%, 2004 г. – 58%) , однако выросла доля атак на кредитно-финансовые институты (кража данных) и на 20%увеличилось число преступлений в телекоммуникационной сфере (целью атак стали операторы связи) . Отмечен особый рост преступности при атаках, связанных со спамом. По мнению Б. Н. Мирошникова, для борьбы со всеми видами киберпреступлений необходимо в срочном порядке разработать адекватную законодательную и юридическую базу. Ведь сейчас автора объявления «Забью конкурента спамом, недорого» привлечь к ответственности невозможно.

Руководитель Федерального агентства по информационным технологиям (ФАИТ) В. Г. Матюхин определил первостепенные задачи агентства: обеспечение качества услуг IT, создание конкурентоспособных на рынке средств защиты информации отечественного производства, а также разработка концепции единой среды межведомственного взаимодействия. В рамках последней задачи планируется разработать, в частности, основы единой ИС для реагирования и управления чрезвычайными ситуациями, ИС для органов и служб социальной защиты населения всех уровней и др. Кроме того, намечено создать единую систему планирования IT-аутсорсинга, причем развитие и внедрение этого сервиса должно происходить, по мнению ФАИТ, за счет административно-правовых мер. К числу пока не решенных проблем В. Г. Матюхин отнес создание государственного регистра населения, а также обоснование применения международных стандартов и сертификатов в РФ.

Заместитель руководителя Федерального агентства по печати и массовым коммуникациям А. Ю. Романченко, посвятивший большую часть своего выступления Интернету, сделал акцент на опасности, таящиеся в глубинах Сети: порно; вредоносный, незаконно размещаемый, попирающий мораль и разжигающий национальную рознь контент; сюда же относится информация террористических группировок. В связи с этим он привел опыт США по фильтрации интернет-контента: в 2004 г. фильтры установлены в 70% учебных учреждений и у 40% частных лиц. Подобные инициативы проникли и в Европу: разрабатываемая система «Поэзия» обеспечит фильтрацию агрессивного и признанного вредным контента на всех европейских языках. Проводится мониторинг и подавление такого содержимого в Англии и Италии.

Агентство по печати, по словам А. Ю. Романченко, намерено способствовать проведению государственной политики в этом направлении. Для этого необходимо лишь создать услугу по защите населения от вредного и агрессивного контента, которую должны оказывать российские интернет-провайдеры. Четкого ответа на вопрос, кто будет принимать решение о предмете фильтрации, пока нет. Вспомним, что в Китае фильтрация интернет-контента ведется на государственном уровне уже несколько лет. И что в итоге? Более 600 постоянно действующих (независимо от репрессий) подпольных интернетпровайдеров.

И последнее официальное мнение, на которое хотелось бы обратить внимание читателя: правовое обеспечение и регулирование в области персональных и личных данных. Обсуждение данного вопроса проходило при непосредственном участии В. В. Дятленко и начальника департамента аппарата Совета безопасности РФ А. А. Стрельцова. Как оказалось, по образному выражению последнего, «правовое регулирование в области ИБ представляет собой один большой вопросительный знак». Здесь, несмотря на множество законов и документов, фактически нет ни одного, хоть в какой-то мере однозначного, базового понятия: что относить к личной, персональной и просто информации о конкретном человеке. Следствие: каждый гражданин абсолютно бесправен в ситуации разглашения информации личного характера, которую требуют сообщать многие организации (от ГИБДД и сотовых операторов до ЖКХ и администраторов гостиниц) . При этом представители Минюста лишь констатировали пробелы в законодательстве и неоднозначность толкований данного определения в разных федеральных и отраслевых законах. Очевидно, без перечня, определяющего на уровне государственного закона принадлежность той или иной информации о гражданине к категории личной (а значит – тайной), персональной (служебной) и общего характера, нельзя грамотно организовать защиту этих данных. Но когда появится такой документ – никто из официальных лиц прогнозировать не решился.

Стандарты, сертификация, аудит

Состояние дел с нормативно-правовой базой с начала декабря (см. ИКС №1’2005, с. 14–15) не претерпело изменений. С той лишь разницей, что, по словам заместителя начальника отдела Федеральной службы по техническому и экспертному контролю России И. А. Калайды, прогноз сроков одобрения и утверждения разработанных ФСТЭК документов на ближайшем заседании Совета безопасности стал еще более неопределенным: дата его проведения пока не установлена. В числе дополнений к введенному в действие в 2004 г. ГОСТ Р ИСО/МЭК 154082002 «Общие критерии …»: описание модели угроз, руководящие документы (РД), требования к СЗИ для их сертификации (включая профили безопасности и методики оценки защищенности) и другие, которые в перспективе должны будут заменить применявшиеся ранее РД и методики. Все они представлены на сайте ФСТЭК www.gostexkom.ru.

В то же время коллега И. А. Калайды по ФСТЭК И. В. Егоркин констатировал, что сегодня сертификация СЗИ существует «в двух ипостасях»: на основании старых РД и согласно ГОСТ Р ИСО/МЭК 15408-2002. При этом на начало 2005 г. сертификат по новому ГОСТу имеют уже пять продуктов для обеспечения ИБ и еще с десяток проходят в настоящее время сертификацию. К сожалению, ФСТЭК пока не разработала документ, в котором однозначно определялось бы соответствие уровня защищенности системы и необходимый для его обеспечения уровень доверия СЗИ, хотя, как стало известно редакции, такие намерения имеются.

Хуже ситуация с «Положением об оценке соответствия средств защиты информации». Сей важнейшей бумаге, по которой заинтересованные лица смогут понять, что и как сертифицировать, быть законно признанной грозит еще не скоро. Документ этот должен создаваться совместно различными ведомствами (Мининформсвязи, ФСТЭК, ФСБ, Минобороны, Минпромэнерго) при участии Госстандарта, деятельность которого (впрочем, как и центров сертификации) , в свою очередь зависит от появления закона «Об аккредитации», по которому будут регистрироваться организации, входящие в систему оценки подтверждения соответствия. Другой печальный факт – за год ни на шаг не сдвинулось «дело» о взаимопризнании сертификатов, на что уповали многие пользователи ИС, приветствуя введение «Общих критериев … ». Несколько слов о системах управления ИБ и аудите. Эту область тоже не назовешь специфицированной. В целом в отрасли не существует единого подхода к построению систем управления (СУ) информационной безопасностью. И пока у отечественных специалистов есть только идеи по разработке концепции управления ИБ.

Однако требования к СУ информационной безопасностью определены в двух стандартах: ISO 17799 (функциональные требования к СУ) и британском BS7799, который часто считают второй частью ISO 17799, поскольку он определяет способы и критерии оценки СУ. Зарубежные поставщики таких систем (да и многие российские системные интеграторы) обычно рекомендуют проводить аудит безопасности ИС на основании требований этих двух стандартов (кстати, согласно сообщению представителя Центробанка России, спецификации ISO 17799 используются в системе внутреннего аудита ЦБ) . Впрочем, по сути, ни тот ни другой в полной мере не отражают весь комплекс возможных угроз ИС, поскольку не учитывают аспекты «физического» построения систем (кабели, радиосвязь, размещение) , а также угрозы, связанные с человеческим фактором (персонал).

В ISO разработки стандарта по аудиту ИБ информационных систем ведутся в двух направлениях. Первая рабочая группа создает систему оценок ИС, используя указанные ранее стандарты и еще один – ISO 13335. Альтернативная группа пытается разработать новый стандарт, аналогичный «Общим критериям … ». Однако до завершения работ и тем и другим еще далеко. Что же касается российских реалий, то пока ФСТЭК России не отказалась от отдаленных планов по адаптации ISO 17799 для применения в нашей стране, но И. А. Калайда подчеркнул необходимость расширения его спецификаций оценки ИС с целью учета особенностей физического построения и человеческого фактора. Кстати, положения об аудите безопасности ИС тоже не существует.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: