Подходы к вопросам обеспечения безопасности информации в России

The only system that is truly secure is one that is switched off and unplugged, locked in a titanium-lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldnt stake my life on it … Gene Spafford, Purdue University

Состояние рынка информационной безопасности в России и роль государственных органов в его координации

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Сеть связи современного предприятия Поставщики Внешние компании Удаленные пользователи Удаленные офисы Заказчики

Угрозы безопасности: -внутренние - внешние

Фазы атаки: -Установление цели атаки, - Сбор информации об объекте атаки (разведка), - Проведение атаки, - Сокрытие источника атаки.

Методология атак: -Ad hoc (random), - Methodical, - Surgical strike (lighting quick), - Patient (slow).

Элементы и технологии защиты: - межсетевой экран - средства шифрования информации, - средства электронно-цифровой подписи ( PKI) - средства создания VPN (виртуальные частные сети), - средства адаптивной защиты (IDS, scanners) - средства AAA.

Игроки рынка защиты информации: - Компании-разработчики - Компании-resellers - Системные интеграторы - Разработка в собственных интересах.

Государственная техническая комиссия при Президенте Российской Федерации

Проведение единой государственной политики в области технической защиты информации; Осуществление единой государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств; Осуществление межотраслевой координации и функционального регулирования деятельности по обеспечению технической защиты информации в аппаратах органов государственной власти субъектов Российской Федерации и органов государственной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях; Основные задачи

Прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации; Противодействие добыванию информации техническими средствами разведки, предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования; Основные задачи

Контроль в пределах своих полномочий деятельности по технической защите информации в аппаратах федеральных органов государственной власти и органов исполнительной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях; Осуществление организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны центральным аппаратом Гостехкомиссии России Основные задачи

Руководящие документы "Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей." (введен в действие приказом Председателя Гостехкомиссии России N114 от г. ) "Защита от несанкционированного доступа к информации. Термины и определения." "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации." "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации."

""Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники." "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации." "Защита информации. Специальные защитные знаки. Классификация и общие требования." "Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации."." Руководящие документы

Федеральное агентство правительственной связи и информации при Президенте Российской Федерации

Федеральное агентство правительственной связи и информации при Президенте Российской Федерации является федеральным органом исполнительной власти. ФАПСИ предназначено для решения следующих задач: обеспечение функционирования, развития и информационной безопасности технологической основы системы управления государством в мирное и военное время; противодействие, в пределах своей компетенции, угрозам безопасности России в информационной сфере.

Правовую основу деятельности ФАПСИ составляют Конституция Российской Федерации, Законы Российской Федерации "О безопасности", "О федеральных органах правительственной связи и информации", "О внешней разведке"," "Об обороне", другие законы Российской Федерации, а также принимаемые в соответствии с ними нормативные акты Президента Российской Федерации и Правительства Российской Федерации.

П О Л О Ж Е Н И Е о государственном лицензировании деятельности в области защиты информации Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от " 27 " апреля 1994 г. N 10

ПЕРЕЧЕНЬ ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ГОСТЕХКОМИССИЕЙ РОССИИ 1. Сертификация, сертификационные испытания защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации. 2. Аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.

ПЕРЕЧЕНЬ ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ГОСТЕХКОМИССИЕЙ РОССИИ 3. Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации. 4. Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ. 5. Проектирование объектов в защищенном исполнении

ПЕРЕЧЕНЬ ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ФАПСИ 1. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации. 2. Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. 3. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности.

ПЕРЕЧЕНЬ ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ФАПСИ 4. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание специализированных защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации, предназначенных для использования в высших органах государственной власти Российской Федерации.

ПЕРЕЧЕНЬ ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ФАПСИ 5. Проведение работ по выявлению электронных устройств перехвата информации в помещениях государственных структур на территории Российской Федерации. 6. Проведение работ по выявлению электронных устройств перехвата информации в технических средствах государственных структур на территории Российской Федерации. 7. Проведение специсследований на ПЭМИН специализированных защищенных ТСОИ, предназначенных для использования в высших органах государственной власти Российской Федерации. 8. Проектирование в защищенном исполнении объектов высших органов государственной власти Российской Федерации.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ П О С Т А Н О В Л Е Н И Е от 23 сентября 2002 г. 691 Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими ) средствами

Вопросы использования не сертифицированных средств защиты информации в России

Правовая основа сертификации Законом Российской Федерации О защите прав потребителей в России введена обязательная сертификация товаров (работ, услуг), на которые установлены требования по обеспечению безопасности жизни, здоровья потребителей и охраны окружающей Среды, предотвращению вреда имуществу потребителей. Одновременно с этим Законом введена в действие разработанная на основе международного опыта система сертификации ГОСТ-Р, которая устанавливает порядок работ по обязательной сертификации. Правовой основой этой системы является Закон Российской Федерации 1993 года О сертификации продукции и услуг. Здесь же определены права, обязанности и ответственность участников процесса сертификации.

Правовая основа сертификации Необходимость сертификации средств защиты, применяемых при обработке информации, составляющей государственную тайну, закреплены в Законе Российской Федерации О государственной тайне. Что же касается вопросов защиты служебной, экономической, профессиональной, и другой важной информации, то следует отметить, что на уровне законодательства они пока регулируются слабо. Вместе с тем, наличие у владельца информационной системы сертифицированных средств обработки информации является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.

Правовая основа сертификации Федеральными органами по сертификации определены: Гостехкомиссия России, ФАПСИ, ФСБ, Минобороны. Координация работ по организации сертификации этой продукции возложена на Межведомственную комиссию по защите государственной тайны. Логическим продолжением и развитием положений Закона Об информации, информатизации и защите информации, затрагивающих проблему сертификации, становятся организационно-распорядительные документы, устанавливающие основные принципы и организационную структуру системы сертификации, а также правила и конкретный порядок сертификации.

Правовая основа сертификации Документы разработаны Гостехкомиссией России и зарегистрированы Госстандартом России в 1995 году за РОСС RU БИ00 как Система сертификации средств защиты информации по требованиямбезопасности информации. Это прежде всего: Положение о сертификации продукции по требованиям безопасности информации, Положение об аккредитации экспертных комитетов и испытательных лабороторий по сертификации продукции по требованиям безопасности информации,

Правовая основа сертификации Положение по аттестации объектов информатики по требованиям безопасности информации и ряд других. Существует также разработанная ФАПСИ и зарегистрированная Госстандартом России в 1993 году за РОСС RU Система сертификации средств криптографической защиты информации (СКЗИ), которая определяет порядок сертификации средств защиты информации, использующих шифрование и криптографию. Эти системы сертификации технических и программных средств направлены на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации - предпринимателей и граждан России потребителей продукции и услуг от недобросовестной работы исполнителей.

Резюме по вопросу сертификации 1. Сертификации подлежат защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. 2. Обязательной сертификации подлежат средства, в том числе и иностранного производства, предназначенные для обработки информации с ограниченным доступом и прежде всего, составляющей государственную тайну, а так же использующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. В остальных случаях сертификация носит добровольный характер и может осуществляться по инициативе производителя или потребителя.

Резюме по вопросу сертификации 3. Сертификация производится: программных и технических средств защиты информации, не использующих методы криптографии и шифрования - в рамках Системы сертификации средств защиты информации по требованиям безопасности информации РОСС RU БИ00 - испытательными лабораториями и экспертными комитетами, аккредитованными Гостехкомиссией России; программных и технических средств защиты информации, использующих методы криптографии и шифрования - в рамках Системы сертификации средств криптографической защиты информации РОСС RU органами ФАПСИ.

Необходимо также отметить, что в настоящее время Правительством Российской Федерации поднимается вопрос создания системы обязательной государственной сертификации информационных систем, обрабатывающих единые государственные ресурсы представляющие национальное достояние России.

Указ N 334 от О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации В целях обеспечения безусловного исполнения Закона Российской Федерации "О федеральных органах правительственной связи и информации" а также усиления борьбы с организованной преступностью и повышения защищенности информационно - телекоммуникационных систем органов государственной власти, российских кредитно-финансовых структур, предприятий и организаций постановляю:

Указ N 334 от Запретить использование государственными организациями и предприятиями в информационно- телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Указ N 334 от Предложить Центральному банку Российской Федерации и Федеральному агентству правительственной связи и информации при Президенте Российской Федерации принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования, имеющих сертификат Федерального агентства правительственной связи и информации при Президенте Российской Федерации защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями Центрального банка Российской Федерации.

Указ N 334 от В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

Указ N 334 от Государственному таможенному комитету Российской Федерации принять меры к недопущению ввоза на территорию Российской Федерации шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей Российской Федерации, выданной по согласованию с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.

Указ N 188 от Перечень сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. N 188) 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства.

Указ N 188 от Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Указ N 188 от Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Этапы создания защищенных корпоративных сетей

1. Проведение внешнего аудита по вопросу защищенности информационно- телекоммуникационных систем.

2. Разработка Концепции информационной безопасности предприятия и Политики безопасности.

Корпоративная политика информационной безопасности Каждое предприятие должно иметь корпоративную политику информационной безопасности. Сам факт наличия такой политики позволяет "проявить" проблемные места в информационной системе и значительно сократить степень риска потери данных, их искажения или несанкционированного доступа к информации.

3. Поэтапная работа по обеспечению безопасности информационно- телекоммуникационных ресурсов современного предприятия.

4. Обучение специалистов компании по вопросу обеспечения безопасности информации.

5. Аттестация объекта информатизации на соответствие поставленным в исходном ТТЗ требованиям.

6. Периодический внешний и внутренний аудит по вопросам защиты.

Основные поставщики решений в области обеспечения информационной безопасности