Журнал о системах электронного документооборота (СЭД)
Информационная безопаснось в ECM

Применение правовых норм и технических требований при защите компьютерных систем и сетей

  0 комментариев Добавить в закладки

Жуков С.И.

начальник отдела центра ФИПИ ВНИИПВТИ

Тематика НИОКР в области связи и информатизации

Проблемы связи и информатизации в Российской Федерации, особенно информатизации, постоянно находятся в центре внимания печати, в том числе, и настоящего журнала. Развивая проблематику журнала, в данной статье изложены основные выводы из практики работы ВНИИПВТИ при проведении испытаний, экспертиз и обследований компьютерных систем и сетей (объектов информатизации, - ОИ). Проведение этих работ основывается на государственной политике в области связи и информатизации и разработке принципиальных подходов к решению проблем, в том числе, в участии:

●     в реализации ключевых программ в области связи и информатизации;

●     в разработке предложений по развитию централизованного управления в области связи и информатизации;

●     в адаптации к новым экономическим условиям (производственной и хозяйственной самостоятельности);

●     в перестройке выполнения комплексных НИОКР (организационная и технологическая);

●     в познании рынка в области связи и информатизации, активном участии Института в продаже своей продукции и предоставлении услуг в области информатизации;

●     в развитии ряда научных направлений в части информатизации органов власти федеральных, региональных и муниципальных образований, повышения научно-технического потенциала, отвечающего современным требованиям;

●     в привлечении отечественных структур для выполнения НИОКР;

●     в разработке методики подхода к документированию политики защиты ресурсов и процессов ОИ на этапах его разработки, испытаний и эксплуатации;

●     в развитии комплексной стандартизации в области связи, информатизации и технической защиты информации;

●     в обеспечении подготовки высококвалифицированных специалистов по разработке и производству средств ВТИ, их интеграции в состав ОИ и его эксплуатации;

●     в выполнении комплексных НИОКР в интересах Минсвязи России, Гостехкомиссии России, Государственного таможенного комитета России, Пенсионного фонда России, Государственного земельного комитета РФ, Пограничных войск, Центрального банка России, Сберегательного банка России, органов управления Союзного государства Беларуси и России и многих других заказчиков, которым необходимо решить научные проблемы и выполнить разработки в области связи и информатизации.

О многоплановости работ, выполненных и выполняемых Институтом, говорит тематика работ одного из научных отделений ВНИИПВТИ:

●     разработка проектов федеральных законов в области информатизации;

●     научно-техническое обеспечение реализации положений Доктрины;

●     развитие государственной системы технической защиты информации;

●     разработка политики защиты объектов информатизации;

●     развитие нормативно-правового обеспечения эксплуатации защищенных ОИ;

●     унификация решений в области связи и информатизации;

●     конкретизация уязвимостей ОИ и присущих ОИ опасных факторов;

●     развитие концептуальных положений Доктрины информационной безопасности Российской Федерации;

●     проведение классификации и категорирования объектов информатизации;

●     конкретизация показателей и критериев защищенности ОИ;

●     участие в реализации Комплексной программы по стандартизации в сфере информатизации;

●     проведение испытаний, экспертиз, обследования объектов информатизации с целью установления их соответствия положениям нормативных правовых актов Российской Федерации и требованиям нормативных документов, в том числе и НД по защите информации;

научно-техническая и информационная поддержка Минсвязи России по проблемам связи и информатизации и ряд других тем.

В Институте организован и проводится мониторинг общей стратегии и развития приоритетных направлений в области связи, информатизации и технической защиты информации. Результаты мониторинга позволяют принимать оптимальные технические решения в области связи и информатизации, отвечающие современным требованиям. Это подтверждается и результатами тех конкурсов, в которых принимал участие Институт и его подразделения (например, ОКБ САПР, известное как разработчик и поставщик современных унифицированных средств защиты ОИ от НСД к информации семейства "Аккорд").

Политика защиты объектов информатизации

Основой экономического развития в современном мире является научно-технический прогресс, переход к передовым технологиям, при этом технико-экономические независимость и неуязвимость являются основой экономической и социальной безопасности. Значительная роль в ускорении экономического развития принадлежит связи и информатизации, в частности, компьютерным системам и сетям, которые являются производственно-хозяйственными комплексами и оказывают существенное влияние на развитие ОИ. При этом, объекты информатизации, как участники деловых и производственных операций, с одной стороны, выполняют ответственные задачи, а с другой – имеют крайне низкий уровень защиты. Причина, видимо, кроется в том, что к проблемам создания ОИ и информационных ресурсов имеют отношение многие федеральные органы исполнительной власти, что затрудняет проведение единой научно-технической политики в области связи, информатизации и технической защиты информации.

К тому же, появление глобальных сетей, электронной почты, электронной торговли, электронных платежей, электронного документооборота и т.п. значительно обострили такую национальную проблему в области связи и информатизации, как уязвимость существующих компьютерных систем и сетей к "атакам" агрессора и воздействиям средств электронной войны.

При проведении работ специалисты ВНИИПВТИ исходят из того, что основной целью защиты ОИ является достижение соответствия характеристик ОИ положениям нормативных правовых актов Российской Федерации в области связи, информатизации и технической защиты информации.

Все это послужило поводом обобщения нормативных требований к защите ресурсов и процессов ОИ. Но поскольку эти требования изложены в различных нормативных документах (НД по защите), а в комплексной постановке они широко не известны, то ВНИИПВТИ, обобщив и проанализировав эти требования получил уникальный материал по защите ресурсов и процессов объектов информатизации. Институту стали предлагать комплексные НИОКР в части создания и организации эксплуатации защищенных систем и сетей, проведения экспертиз различной сложности. В этом существенную роль играет и тот факт, что Институт имеет надежные средства защиты ОИ от НСД к информации, защиты ОИ от компьютерных вирусов и защиты электронных документов.

При разработке политики защиты ОИ за основу взяты следующие положения:

●     все компьютерные системы и сети, информационные ресурсы подлежат защите;

●     защита ОИ должна соответствовать положениям нормативных правовых актов Российской Федерации и требованиям нормативных документов (НД) по защите;

●     импортные ЭВМ, СВТ, ПС, средства связи должны проходить специальные исследования и проверки (с учетом назначения ОИ);

●     политика защиты ОИ должна подкрепляться единой научно-технической политикой и единым государственным надзором в области связи и информатизации;

на этапах эксплуатации ОИ хорошим экономическим фактором является страхование рисков, связанных с уязвимостью ОИ.

К тому же, для систем и сетей характерно повышенное влияние случайных факторов.

Многообразие мнений и технических решений, порой поверхностных, по вопросам защиты объектов информатизации, отсутствие единого понятийного аппарата, слабость теоретической и методологической базы, учитывающей особенности эксплуатации ОИ в условиях рынка, вызывают необходимость в систематизации и структурировании накопленных в этой области знаний и создания основ политики защиты ОИ.

Политика защиты ОИ - это упорядоченная совокупность положений нормативных правовых актов Российской Федерации и требований нормативных документов, правил и принципов, регламентирующих правовые, организационные и технические аспекты разработки, испытаний и эксплуатации защищенных ОИ. Политика защиты ОИ разрабатывается собственником ОИ и оформляется утвержденными документами собственника ОИ. Документы политики защиты ОИ не должны противоречить положениям нормативных правовых актов Российской Федерации и требованиям НД, в том числе, НД по защите ОИ.

Основными направлениями политики защиты ОИ являются:

                   1. концептуальное, включающее общие положения по созданию и эксплуатации объектов информатизации, их защите и поддержания достигнутого уровня защиты ОИ на этапах эксплуатации. Эти положения основаны на нормах, изложенных в нормативных правовых актах Российской Федерации и стандартах;

                   2. техническое, характеризуемое требованиями к качеству (надежности) ОИ и оказываемых услуг, постоянным их совершенствованием в соответствии с нормативными требованиями (НД по защите);

                   3. организационное, направленное на обеспечение надлежащей защиты ОИ и формирование оптимальной структуры управления ОИ в процессе эксплуатации.

Таким образом, политика защиты ОИ является важнейшей базовой основой, подлежащей реализации на стадиях и этапах создания и эксплуатации объекта информатизации. Политика защиты ОИ имеет свою форму и содержание.

По мнению ВНИИПВТИ, в состав документов по политике защиты ОИ могут входить следующие документы:

а) Общесистемные документы на ОИ:

ПЗ.0010-01. Общая политика безопасности фирмы (собственника ОИ);

ПЗ.0011-01. Перечень защищаемых сведений;

ПЗ.0011-02. Положение о работе с защищаемыми сведениями;

ПЗ.0011-03. Инструкция по специальному делопроизводству;

ПЗ.0011-04. Инструкция по созданию и использованию информационных ресурсов на ОИ;

ПЗ.0012-05. Инструкция об учете режимных требований на ОИ и правил доступа к информационным ресурсам;

ПЗ.0012-01. Требования к информационному фонду фирмы;

ПЗ.0013-01. Положение об Экспертном совете (ПДТК) фирмы;

ПЗ.0014-01. Положение о Службе защиты ОИ;

ПЗ.0014-02. Положение о Службе безопасности фирмы;

ПЗ.0015-01. Основы политики защиты ОИ;

ПЗ.0015-02. Рекомендации по разработке и испытаниям ОИ;

ПЗ.0015-03. Обобщенные организационные меры защиты ОИ;

ПЗ.0016-01. Перечень документов, регламентирующих разработку, испытания и эксплуатацию защищенного ОИ;

ПЗ.0017-01. Термины и определения. Справочный материал;

ПЗ.0017-02. Форма и содержание документов, установленных стандартами для ОИ. Справочный материал;

ПЗ.0018-01. О лицензировании деятельности в области связи, информатизации и технической защиты информации. Справочный материал.

б) Документы по защите объектов информатизации:

КЗ.0021-01. Требования к комплексной защите ОИ;

КЗ.0021-02. Требования к физической защите зданий, помещений и контролируемой зоны объекта информатизации;

КЗ.0022-01. Требования к видам обеспечения защищенного ОИ;

КЗ.0023-01. Особенности стадий и этапов разработки ОИ. Методические рекомендации;

КЗ.0024-01. Рекомендации по защите взаимосвязи ОИ с другими объектами;

КЗ.0025-01. Порядок разработки и эксплуатации программных средств;

КЗ.0026-01. Рекомендации по выбору ЭВМ, СВТ, ПС, средств связи, средств защиты ОИ;

КЗ.0027-01. Программа испытаний ОИ с целью аттестации на соответствие положениям нормативных правовых актов РФ и требованиям НД по защите;

КЗ.0028-01. Рекомендации по поддержанию уровня защиты ОИ на этапах эксплуатации.

в) Технологические инструкции, положения:

И-31. Инструкция по эксплуатации защищенной автономной ПЭВМ;

И-32. Инструкция по эксплуатации защищенного ОИ;

И-33. Инструкция по изготовлению, учету и выдаче паролей на ОИ;

И-34. Инструкция администратору защиты ОИ;

И-35. Инструкция пользователю защищенного ОИ;

И-36. Инструкция по классификации дефектов и нарушений на ОИ;

И-37. Инструкция на случай нештатных ситуаций на ОИ;

И-38. Инструкция по рассмотрению нештатных ситуаций на ОИ;

И-39. Инструкция о проведении работ при обнаружении заражения ПЭВМ (РС сети) компьютерными вирусами;

И-40. Инструкция о противопожарной безопасности на ОИ;

И-41. Порядок обращения со средствами криптографической защиты на ОИ;

И-42. Инструкция по защите электронных документов.

Примечание: Шифры (номера) документам по политике защиты ОИ присвоены Институтом для удобства.

Развитие средств защиты объектов информатизации

Средства защиты ОИ от НСД к информации

Характеристики и особенности средств защиты ОИ от НСД к информации семейства "Аккорд" подробно изложены в книге В.А. Конявский "Управление защитой информации на базе СЗИ НСД "Аккорд" и поэтому в данной статье не рассмотрены.

Особенности защиты электронных документов

Одной из особенностей текущего периода является возросшее значение к защите электронных документов и организации электронного документооборота на ОИ. Электронный документооборот на ОИ основан на следующей взаимосвязи субъектов и объектов:

- пользователь (оператор) - ПЭВМ в сети - сетевая операционная система - прикладное программное обеспечение - данные (исходная информация) - создаваемый электронный документ (ЭлД) - передаваемый ЭлД - формируемый на основе новых данных ЭлД - хранимый или исполняемый на ОИ.

Это означает, что применяемые средства защиты должны обеспечивать достаточный уровень защищенности на следующих этапах:

                   1. идентификация/аутентификация пользователей;

                   2. контроль целостности технического состава ПЭВМ и ОИ;

                   3. контроль целостности ОС;

                   4. контроль целостности ППО и данных;

                   5. аутентификация ЭлД при его создании;

                   6. защита ЭлД при его передаче;

                   7. аутентификация ЭлД при обработке, хранении и исполнении документа.

Защита ЭлД при его передаче по внешним (открытым) каналам связи должна выполняться на основе применения сертифицированных криптографических средств, в том числе с использованием электронной цифровой подписи (ЭЦП) для каждого передаваемого документа.

На этих этапах обработки, хранения и исполнения ЭлД его защита осуществляется применением двух кодов аутентификации (КА): КА - входного и выходного для каждого этапа. При этом КА должны вырабатываться аппаратно с привязкой КА к процедуре обработки. Для поступившего документа (с КА и ЭЦП) вырабатывается КА2 и только затем снимается ЭЦП.

На следующем этапе (n) вырабатывается КАn+1 и снимается КАn-1.

Таким образом, в любой момент времени документ защищен двумя КА - КАn и КАn+1.

КА должны вырабатываться и проверяться для документа, размещенного в оперативной памяти ЭВМ, в которой создана и поддерживается ИПС. Снятие КАn-1 выполняется после установки КАn+1.

Для реализации защиты ЭлД должны применяться средства защиты комплекса "Аккорд-АМДЗ" с криптографическим датчиком случайных чисел (Аккорд 4КМ1+) , средства защиты комплекса "Аккорд - СБ" и сертифицированные криптографические средства.

Особенности защиты контрольно-кассовых машин, применяемых в системах массовых платежей.

В соответствии с Законом Российской Федерации от 18 июня 1993г. N 5215-1 "О применении контрольно-кассовых машин (ККМ) при осуществлении денежных расчетов с населением", эти расчеты должны осуществляться с обязательным применением ККМ, внесенных в Государственный реестр ККМ и зарегистрированных в налоговых органах.

Различные типы контрольно-кассовых машин (ККМ) встречаются почти в каждой торговой точке. И, пожалуй, единственное место, где закон постоянно нарушается, - это системы массовых платежей (крупнейшие из них - электросвязь, почта, банки, железные дороги, гражданская авиация и т.п.), т.е. как раз там, где соблюдение норм безопасности наиболее важно. При этом, ни в одной из систем массовых платежей широко не применяются контрольно-кассовые машины. Вместо них зачастую используются автоматизированные рабочие места (АРМ) на основе ПЭВМ, что связано с необходимостью интеграции кассовых терминалов в общую информационно-вычислительную систему.

В этом случае ККМ используется не изолированно, а является, по-существу, терминалом объекта информатизации, обрабатывающего, хранящего и передающего различную информацию. Поэтому потенциальный нарушитель имеет возможность несанкционированного доступа к конфиденциальной информации (персональной информации), хранящейся на сервере ОИ.

В связи с этим необходимы меры по защите компьютерных ККМ, работающих в составе ОИ, от несанкционированного доступа.

Имеется несколько вариантов выполнения требований по защите ККМ от НСД к информации, в том числе: замена всех ПЭВМ, используемых в системах массовых платежей, на ККМ, выполненных на базе ПЭВМ и внесенных в Государственный реестр, или доработка используемых ПЭВМ до уровня ККМ. При этом обратим внимание на то, что в каждом из этих случаев обязательными является использование как сертифицированных средств защиты от НСД к информации ККМ, так и блока фискальной памяти (ФП). Такой блок ФП ("Аккорд-ФП") разработан ОКБ САПР и поставляется заказчикам.

ФП "Аккорд-ФП" обеспечивает выполнение следующих защитных функций:

●     защиту от несанкционированного доступа;

●     идентификацию некопируемым уникальным идентификатором;

●     аутентификацию с защитой от раскрытия пароля;

●     защиту от несанкционированных модификаций программ и данных;

●     контроль целостности программ и данных;

●     функциональное замыкание информационных систем;

●     исключение возможности несанкционированного выхода в ОС.

Источник: ВНИИПВТИ

Похожие записи
Комментарии (0)
Сейчас обсуждают
Больше комментариев