07 Марта 2002 12:03 07 Мар 2002 12:03 |

Поделиться

Сеть и Безопасность: Суздальские диалоги о защите информации

Защищать нечего

Почти сразу участники форума столкнулись с серьезным препятствием. В ходе дискуссий выяснилось, что в силу относительной новизны темы ИБ специалисты до сих пор пользуются нечеткой терминологией. Даже такое основополагающее понятие, как "защита информации", не выдержало объективной критики. "Как можно защищать то, чего нет?" - задавал собравшимся вопрос Валерий Конявский, директор Всероссийского НИИ проблем вычислительной техники и информатизации (ВНИИПВТИ) и один из ведущих специалистов в вопросах методологии информационной безопасности. Никто из собравшихся не рисковал ввязываться в дискуссию о таком абстрактном предмете, как природа информации и возможность ее защиты. Не находя ответа, участники сошлись на гораздо более конкретных определениях - "защита объектов" (сети, ПК, помещения) или "защита электронного документа". Кстати, со вторым тоже не все так гладко - понятие электронного документа только начинает складываться: вопрос обсуждается, пишутся пространные монографии. Для внесения ясности в терминологию Гостехкомиссией разработан специальный сборник терминов.

Договорившись о некоторых понятиях, участники перешли к обсуждению проблемы определения и анализа рисков в информационных системах. Основной тезис прост - IT-система любого предприятия уникальна и имеет оригинальные приоритеты в защите от тех или иных угроз. По мнению экспертов, прежде чем приступать к созданию системы ИБ, критически важно провести анализ рисков и выявить уязвимости защиты. В противном случае, деньги, потраченные на аппаратно-программные средства, могут оказаться просто выброшенными на ветер. К слову сказать, никто из экспертов суздальской конференции не подвергал сомнению тот факт, что систему защиты от несанкционированного доступа (НСД), обеспечивающую 100%-ную гарантию безопасности объекта, создать невозможно. Поэтому вся дилемма, встающая перед заказчиком, сводится к поиску наиболее приемлемого соотношения уровня безопасности решения и его цены.

Основными спорщиками в вопросе выбора технологий и алгоритмов анализа рисков стали эксперты компаний "Элвис +" и "КомпьюЛинк". Первые разработали собственную методологию, вторые продвигают на рынке, в основном, иностранные стандарты и инструментальные средства (CRAMM, RiskWatch, Cobra). Спор специалистов о недостатках и преимуществах предлагаемых подходов был весьма горяч. Естественно, обе стороны остались при своем мнении.

Российская ОС - вот в чем вопрос!

Между тем, теоретические вопросы методологии интересуют, в основном, самих экспертов. Заказчика (может быть, к сожалению) волнуют более прикладные вещи. Одной из ключевых проблем при создании защищенных отечественных автоматизированных систем управления (АСУ) является отсутствие на рынке современных российских операционных систем (ОС). По мнению выступавших, можно использовать множество решений, "пляшущих вокруг операционки", но если сама ОС не защищена, то попытки поддержания безопасности всей информационной системы в этом случае теоретически несовершенны. Столкнувшись именно с этой проблемой при начале работ по созданию АСУ для Вооруженных сил РФ, концерн "Системпром" был вынужден обратиться к зарубежным разработкам, в частности, к Windows NT 4.0. Формулировка также весьма традиционна -временное решение. Между тем, такие отечественные ОС как МСВС или "Феникс", по мнению эксперта "Системпрома" Г.А. Добродеева, смогут быть полноценно использованы лишь через 10-15 лет. Это время уйдет на их доводку, освоение продуктов разработчиками и адаптацию под новую ОС прикладного программного обеспечения.

Использование иностранных решений в системах защиты объектов государственного значения вызывает справедливое неодобрение: код ядра западных продуктов до недавнего времени был недоступен для анализа. Только сейчас Microsoft готова предоставить текст кода компании "Системпром" для проведения аудита и сертификации. Очевидно, что все остальные российские разработчики будут вынуждены положиться на результаты проверки, проведенной коллегами.

Настороженность в вопросе безопасности иностранных ОС отнюдь не является манией. Участники конференции приводили конкретные примеры серьезных сбоев и преднамеренных "ошибок" в зарубежных продуктах. Наиболее запоминающуюся историю рассказал руководитель службы безопасности Сибирского химического комбината. Предприятие, расположенное в закрытом сибирском городке, является крупнейшим в мире производителем оружейного плутония. Прежде чем приступать к созданию информационной системы, специалисты комбината внимательно изучили опыт института им. Курчатова - схожей по профилю деятельности организации. Оказалось, что в свое время институт использовал продукт компании Microsoft SQL Server для учета запасов ядерных материалов (плутония). Через полтора года действия в системе был зафиксирован недостаток 16 кг плутония, но проверка на складе показала, что реальные запасы соответствуют норме. В результате экспертизы подтвердилось предположение о сбое иностранного ПО.

Руководители Курчатовского института попытались защитить свои права и для привлечения к ответственности американской компании наняли американских же адвокатов. Между тем, в ходе подготовки иска выяснилось, что наказать заокеанских разработчиков можно лишь в томслучае, если сбой в системе привел к повреждению здоровья или смерти персонала (!).

Любопытно, но после этого случая специалисты института им. Курчатова стали рассматривать возможность использования следующей версии программы Microsoft - SQL Server 7.0. В результате экспертизы, по словам докладчика, в системе была обнаружена "закладка" - дыра, позволяющая злоумышленнику удаленно получать доступ к базам данных.

Демократии - да! Шпионам - нет!

Проверенные российские разработки действительно необходимы для информатизации государственных структур. В данный момент среди прочих мероприятий, проводимых государством, активно развивается проект информатизации холдингов военно-промышленного комплекса. Как сообщили на конференции координаторы программы, уже сейчас ко многим судостроительным, авиационным и иным крупным предприятиям "оборонки" подведены оптоволоконные кабели. В данный момент экспертная группа отбирает программно-технические средства. Было замечено, что задача эта очень непростая и отбор продвигается довольно медленно. "Слишком много решений", - сетуют члены совета. Сдерживающим фактором также признано недостаточное развитие электронного документооборота на предприятиях ВПК, что в свою очередь стало следствием отсутствия специализированных решений КИС для компаний отрасли.

Понятно, что одним из основных критериев выбора средств для создания комплексных информационных систем является максимальный уровень их защищенности. Особенно это важно для такой наукоемкой сферы, как ВПК, где защита каналов, по которым передаются секретные сведения, является критически значимой. Шпионы не дремлют. Факты об активности диверсантов на суздальской конференции привел представитель Министерства обороны Владимир Гусь. Как сообщил эксперт, сегодня на российском рынке без всяких ограничений продается оборудование спутниковой навигации, которое позволяет вести техническую разведку на территории России. Такие факты уже были зафиксированы нашими военными. Министерство обороны настаивает на введении обязательной сертификации данного вида оборудования.

Противодействие иностранной разведке входит в функции и другого ведомства - Гостехкомиссии. Как доложил собравшимся начальник управления Государственной технической комиссии Ю.Н. Лаврухин, на сегодняшний день закончено создание региональных представительств структуры, дислоцированных в столицах федеральных округов. Диверсантам создают новый заслон.

Вопросами информационной безопасности на федеральном уровне, помимо Минобороны и Гостехкомиссии, занимается и Совет Безопасности РФ. Доктрина информационной безопасности, реализуемая Совбезом, была принята 1,5 года назад. Этот, скорее политический, а не нормативный документ, содержит 4 основные составляющие. Подробно о реализации доктрины на конференции в Суздале рассказал заместитель начальника управления аппарата Совета Безопасности г-н Стрельцов.

Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики

Импортонезависимость

Задачей номер один, во всяком случае, формально, в Совбезе называют обеспечение реализации конституционных прав и свобод граждан в информационной сфере (неприкосновенность частной и семейной жизни, право на доброе имя и т.д.). Г-н Стрельцов честно признал, что "сегодня это направление разработано слабо". Особенно несовершенство механизмов заметно в период предвыборных кампаний, которые в силу большого числа регионов проходят в России постоянно.

Кроме того, в это же направление попадает обязанность государства обеспечивать служебную тайну, нарушение которой в некоторых случаях также приводит к нарушению конституционных прав граждан. К подобным случаям относят похищение баз данных ГИБДД, содержащих полную информацию о владельцах авто, похищение государственных баз жилого фонда и так далее. Ведомство обязуется работать в этом направлении активнее.

Не менее важно для нас с вами и второе направление реализации информационной безопасности - обеспечение информационной политики. Под этим термином властями понимается необходимость донести до граждан реальную картину того, что получается у государства, а что - нет. "Наши СМИ, к сожалению, использовать в этих целях затруднительно, так как 70% средств в их обороте сегодня происходят из теневого сектора. Это свидетельствует о зависимости СМИ в России, - заявил в своем докладе г-н Стрельцов. - Это не значит, что нужно закрывать эти СМИ. Нет. Надо научиться конкурировать и побеждать их информационно". По словам специалиста, это пока затруднительно, так как государственные СМИ имеют недостаточное финансирование.

Развитие информационной индустрии РФ - так формулируется третье направление реализации доктрины. Особое значение этому вопросу придается в условиях предстоящего вступления России в ВТО. Описание работы Совбеза в этом направлении ограничилось одной фразой в выступлении докладчика: "Число сильных современных российских компаний, по-моему, растет. И это хороший задел для прорыва на внешние рынки". Похоже, что никаких мер в этом направлении ждать от государства не приходится. Все силы брошены на решение других задач.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

Четвертой целью названа реализация информационной безопасности в госструктурах федерального и регионального уровней. Одной из важнейших задач в этом направлении признана стандартизация.

Застольные секреты

Большинству из тех, кто бывал на конференциях подобного рода, известно, что секции - это только официальная и довольно незначительная часть обмена мнениями между участниками. Основной интерес представляют кулуарные беседы. Не открывая лиц, расскажем о некоторых интересных тезисах, высказанных участниками в ходе многочисленных трапез. Представляем сбивчивую мозаику наиболее интересных разговоров.

По версии Министерства связи, реализацией программы "Электронная Россия" руководит исключительно это ведомство. Управляющим органом является комиссия, в состав которой входит министр экономики и развития Герман Греф. В данный момент идет работа над созданием управляющей структуры по реализации программы. Интересно, что большая часть расходов по реализации "Электронной России" ложится не на федеральный, а на местные бюджеты: "Губернаторы подписались под этим и теперь им придется изыскивать средства". Кроме федерального и региональных бюджетов, расходы предполагается обеспечивать средствами, внесенными спонсорами, в качестве которых могут выступать любые организации (как международные, так и отечественные). Более того, признается, что спонсорство в реализации программы будет дополнительным преимуществом для компании, участвующей в конкурсе в качестве подрядчика.

"Услышанные" участники корпоративного рынка не верят в то, что в региональных бюджетах найдут деньги на реализацию программы "Электронная Россия". В IT-сообществе преобладает скепсис.

Некоторый бардак царит в нормативном регулировании информационной сферы. Региональные законы "Об информации, информатизации и защите информации" приняты в разных редакциях в 37 субъектах Федерации. Остальные готовятся принять такой закон в ближайшее время. По мнению специалистов необходим только один "трехглавый", как его называют, закон федерального уровня. Информатизация и информация - это не те сферы, в которых допустимы разночтения.

Так как конференция все-таки была российско-белорусская, тема взаимодействия наших государств в деле информатизации и защиты безопасности поднимались постоянно. Многие из участников высказывали сожаления по поводу массы проблем, препятствующих сотрудничеству. Кто-то долгое время не может лицензировать свои продукты в Белоруссии, так как, несмотря на союз государств и их стремление к объединению, они до сих пор не настроены унифицировать свои стандарты и нормативную базу. Кто-то недоволен белорусским законом "Об ЭЦП", принятым еще в 1999 году. Общим местом стало мнение о том, что проблемы в объединении государств есть как на политическом уровне, так и на уровне обсуждаемой темы.

Любопытно, но собравшиеся не только констатировали наличие проблем, но и готовы взяться за их решение. В итоговом документе конференции был одобрен пункт о планах выдвижения из сферы "безопасников" кандидатов в депутаты союзного российско-белорусского парламента.

Следующая конференция пройдет в феврале 2003 года в одном из трех мест: в спортивном комплексе "Раубичи" (20 км от Минска), в Киеве или в Пскове. Наиболее интересным местом проведения представляется именно столица Украины. Участники неоднократно отмечали, что интеграция России и Белоруссии в сфере информационной безопасности началась раньше, чем на политическом уровне. Стороны полны стремлений запустить механизм сближения второй раз - в отношении Украины.

Поделиться

Подписаться на новости Короткая ссылка