Не защита от Internet, а защита информации в Internet

В рамках проводившейся в Москве Международной конференции и выставки "Безопасность информации" (14 - 18 апреля) в офисе компании "Инфосистемы Джет" состоялся круглый стол на тему "Информационная безопасность и Internet".

Его организаторы  -  Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России), компания "Инфосистемы Джет" и редакция информационного бюллетеня Jet Info  -  стремились не только привлечь внимание средств массовой информации к проблеме безопасности и защиты информации в Internet, но и содействовать установлению делового взаимодействия прессы с представителями государственных структур.

В работе круглого стола приняли участие специалисты Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), а также сотрудники банка "Менатеп".

Круглый стол открыл вице-адмирал В. А. Вирковский, начальник управления Гостехкомиссии России, явившийся на встречу при всех военных регалиях. Он не только приковал к себе объективы фотокамер, но и своим интересным, запоминающимся выступлением задал тон всей работе круглого стола.

Вице-адмирал В. Вирковский

В. Вирковский подчеркнул, что отношение к Internet в России пока неоднозначно, зачастую его можно охарактеризовать как настороженное. И все же вхождение России в Internet  -  это объективная необходимость. Именно об этом В. Вирковский говорил на прошедших парламентских слушаниях "Россия и Интернет: выбор будущего". Здесь же вице-адмирал так развил свою мысль: "Наша концепция сегодня  -  не защита от Internet, а защита информации в Internet. Естественно, что все должно быть политически и экономически обоснованно".

В. Вирковский остановился на проблемах обеспечения режима сохранения государственной тайны при использовании глобальных телекоммуникационных систем и применении для этого таких новых программно-технических средств, как межсетевые экраны.

Он напомнил, что без сети Internet сегодня уже невозможно существовать, поскольку это явление связано с формированием единого информационного пространства СНГ и с вхождением России в международное сообщество.

"Приходится лишь сожалеть,  -  посетовал начальник управления Гостехкомиссии России,  -  что родоначальником Сети стала не Россия, а другие страны".

Выступление главного редактора информационного бюллетеня Jet Info В. А. Галатенко на тему: "Интернет  -  новые возможности для государственных и коммерческих организаций и новые угрозы для безопасности" носило вводный характер. Выступающий заметил, что Internet интересует собравшихся как коммуникационная среда, как хранилище самой разнообразной информации, и как источник технологий, которые могут использоваться независимо от Internet. В этой связи он обратился к уже упомянутым выше парламентским слушаниям, где не единожды декларировалось, что присоединение к Internet  -  дело сугубо добровольное. "Не хочешь  -  не присоединяйся". Абсурдность этого принципиального заблуждения В. Галатенко сравнил с рекомендацией: "Вам не нравится атмосфера  -  не дышите, дышать или нет  -  дело сугубо добровольное".

Так или иначе Internet присутствует сейчас везде, коренным образом изменив наше компьютерное окружение. Даже если организация не подключена к Сети, она может использовать технологии Internet в корпоративной intranet-сети и, следовательно, должна решать соответствующие проблемы безопасности.

По мнению В. Галатенко, сеть Internet сама по себе не создает новых проблем в области безопасности, отличных от проблем сетевой среды вообще, но она выступает как некий катализатор, предельно обостряющий эти проблемы. Internet по-иному расставляет акценты: если раньше можно было вести изолированный образ жизни, игнорировать мировой опыт развития передовых коммуникационных технологий, международное законодательство в области защиты информации, то сейчас это была бы самоубийственная практика. Internet ведет свой жесткий отбор, у нее своя система лицензирования и сертификации, где неудачник отсекается без всяких объяснений, вне зависимости от "бумажных мандатов". И потому, заключил В. Галатенко, проблемы безопасности в Internet выглядят особо остро.

Заместитель начальника отдела Гостехкомиссии России С. В. Вихорев охарактеризовал проблемы безопасности в Internet в контексте новых руководящих документов, подготавливаемых Гостехкомиссией. Он подчеркнул, что реальная интеграция Российской Федерации в международные телекоммуникационные сети станет возможной только тогда, когда будет создана единая государственная система регулирования деятельности в информационно-телекоммуникационном пространстве. Эта сложная проблема решается в несколько этапов. Прежде всего должен быть выработан механизм регулирования, формирования и использования национальных информационных ресурсов. Необходимость такого механизма очевидна  -  он позволит создать соответствующее правовое поле не только для использования информационных ресурсов, но и для их формирования.

С. Вихорев, зам. нач. отдела Гостехкомиссии

С. Вихорев подробно охарактеризовал положение дел с сертификацией межсетевых экранов. В 1996 г. Гостехкомиссией России был разработан проект руководящего документа (РД), содержащий в себе критерии оценки межсетевых экранов, защищающих сети от несанкционированного доступа. В конце ноября прошлого года этот документ прошел все стадии согласования и теперь ожидает своего официального утверждения. Учитывая бюджетный дефицит, Гостехкомиссия России сочла необходимым привлечь к его разработке специалистов ряда организаций, в том числе и негосударственной сферы. В рабочую группу входили представители ЦНИИ "Атоминформ", Академии ФСБ, Гостехкомиссии России, компаний "Инфосистемы Джет" и "Элвис+".

Сертификацию межсетевых экранов начали, не дожидаясь подписания РД, что, судя по всему, является единственно правильным решением. Соответствие техническим условиям сертифицируется по еще неофициальной, но уже детально разработанной версии РД. На нынешнем переходном этапе за основу взята совокупность технических условий и критериев оценки автоматизированных систем. Таким образом уже сертифицирован межсетевой экран "Пандора", разработанный московской фирмой "Релком-Альфа".

Новый документ позволяет противостоять внешним угрозам с помощью сертифицированных средств защиты. Однако задержки с окончательным утверждением РД могут дорого обойтись пользователям систем, ведь опасность для них не только не исчезает, но и обостряется.

Заместитель начальника отдела ФАПСИ А. Н. Ковалев рассказал о том, как государственные органы относятся к международным системам информационного обмена, конкретно  -  к сети Internet.

А. Ковалев, зам. нач. отдела ФАПСИ

По мнению А. Ковалева, средства массовой информации трактуют проблемы Internet в России несколько однобоко. Говоря о государственных структурах, акценты смещаются либо к "стремлению огосударствить вхождение в Internet", либо эти органы обвиняются том, что препятствуют развитию Internet в России.

А. Ковалев отметил, что таких препон со стороны ФАПСИ попросту быть не может, потому что "объективные потребности жизни не находятся во власти чьей-либо субъективной воли или отдельных пусть даже весомых структур". Создание транспортных информационных магистралей  -  это путь, по которому идет все мировое сообщество, и свернуть с него невозможно. "Создавать преграды на этом пути  -  просто безумие",  -  подчеркнул А. Ковалев.

А. Ковалев согласился, хотя и не полностью, с утверждением В. Вирковского, что стоит задача защиты не от Internet, а информации в Internet. В Сети, по мнению специалистов ФАПСИ, есть наряду с общими угрозами, типичными для любых других сетей, и свои специфические угрозы.

А. Ковалев отметил, что Россия постоянно запаздывает с оценкой реальных процессов, происходящих в сфере информационных технологий и коммуникаций. Запаздывает и при решении проблем безопасности. Существенную роль в этом играют экономические аспекты и отсутствие необходимой правовой базы.

Но самой большой, по мнению А. Ковалева, проблемой является то, что еще длительное время базовыми средствами в системах международного информационно-телекоммуникационного обмена будут системы, компоненты и технологии иностранного производства. Он считает, что наиболее перспективен подход, ориентированный на межсетевые экраны.

А. Ковалев проинформировал участников о разработанном ФАПСИ межсетевом экране  -  сетевом домене для обеспечения эффективной информационной поддержки, оперативного государственного управления, включая организацию доступа к открытым зарубежным информационным ресурсам.

Мнение компании  -  системного интегратора  -  по поводу информационной безопасности в Internet изложил сотрудник фирмы "Инфосистемы Джет" И. Трифаленков. Его выступление привлекло профессионализмом суждений и образностью сравнений. Оно опиралось на более чем трехлетний опыт практической работы в Internet самой компании и аналогичный опыт партнеров "Джет" и ее многочисленных клиентов.

И. Трифаленков отметил, что Internet из технологического фактора превратилась в фактор социальный, причем большой значимости. Ее влияние сравнимо, скажем, с переворотом в жизни, последовавшим за появлением автомобиля. Однако проблема заключается в том, что этот переход произошел чрезвычайно быстро. Образно выражаясь, телега, с вечера оставленная человечеством во дворе, на утро обернулась неплохим автомобилем. Именно скорость перехода, по мнению И. Трифаленкова, порождает многие проблемы, связанные с Internet.

Если на уровне здравого смысла ни у кого не возникает сомнений, что только комплексный подход может обеспечить безопасность на дорогах, то в сфере информационных технологий до этого пока еще далеко. По словам И. Трифаленкова, многие пользователи считают, что стоит им только воспользоваться тем или иным отдельным техническим средством, как проблема безопасности будет решена окончательно и бесповоротно. К сожалению, нередко и производители средств защиты стремятся поддерживать эти опасные заблуждения, естественно, не бескорыстно...

"Ясно, что с помощью одних лишь штрафов да регулировщиков,  -  заявил И. Трифаленков,  -  порядка на дорогах не добиться". Прежде всего, нужны правила дорожного движения. Но в нашей стране таких "правил" до сих пор не создано. Во многих развитых странах, в частности в США, государственные структуры создают материалы, ориентирующие пользователей на грамотное решение вопросов сетевой безопасности. Например, американский институт стандартов и технологий выработал десятки мегабайт рекомендаций по вопросам безопасности различных информационных систем. Эти материалы эффективны тем, что в них говорится не о том, что с вами будет, если вы нарушите правила, и как вас покарают, а учат, как избежать неприятностей. К сожалению, у нас пока такого рода материалов не существует.

Говоря о проблемах в области лицензирования и сертификации средств защиты информации, И. Трифаленков отметил, что, видимо, в силу сложности современных информационных технологий в первую очередь сертифицируются наиболее простые, но не всегда самые лучшие и надежные средства. Он призвал к тому, чтобы прежде всего сертифицировались открытые системы.

И. Трифаленков отметил также, что поскольку сеть Internet изначально была создана не в России, то не следует пытаться изменить те правила, по которым она устроена. "Играть придется по правилам Internet,  -  сказал он.  -  Все дело в том, чтобы научиться делать это как можно лучше. Исторически сложилось так, что не Internet будет согласовывать с нами правила и тактику своих действий, а наоборот, нам придется подстраиваться под нее".

Представитель банка "Менатеп" А. Рассказов очертил круг проблем безопасности, волнующих рядовых банковских служащих. Как оказалось, эти проблемы мало отличаются от тех, которые волнуют остальных участников обсуждения, а банковская специфика в виде нескольких "страшных" историй с участием хакеров и недобросовестных девушек-операционисток всего лишь оживила его сообщение.

Это выступление повлекло за собой дискуссию, развернувшуюся в перерыве и касавшуюся проблем защиты информации в кредитно-банковских учреждениях. Было сообщено, что фирма "ЛАНИТ" разработала документ, в котором изложена концепция защиты автоматизированных систем кредитно-финансовых учреждений. Эта концепция, получившая одобрение в Центробанке, рассматривается сегодня как методический материал. Являясь собственностью фирмы "ЛАНИТ", документ прошел необходимые согласования в Гостехкомиссии России. Также всех заинтересовала информация о том, что созданы системы, в которых рекомендации упомянутого выше типа уже во многом учтены и реализованы на практике. Так, прошли аттестационные испытания и сертификацию достаточно надежные системы Клиринговой палаты Межбанковского финансового дома.

В ходе дискуссии были подняты проблемы, касающиеся различных аспектов сертификации и лицензирования в области защиты информации, как по линии Гостехкомиссии России, так и ФАПСИ. Однако представителю ФАПСИ задавались вопросы, связанные скорее с теоретическими аспектами оценки природы, сущности и значения криптографических элементов защиты информации, нежели с практическими аспектами сертификации и лицензирования.

Возможность свободного и неформального общения стала еще одним бесспорным плюсом круглого стола, проходившего в уютном зале под крышей офиса "Инфосистем Джет".

Завершая круглый стол, организаторы представили проект документа под названием "Комплексный подход к обеспечению информационной безопасности при использовании Internet". В этом документе, одобренном участниками, подчеркнуто, что в последнее время всемирная сеть Internet активно проникает во многие сферы жизни российского общества и государственной деятельности. Поэтому растущее влияние Internet нуждается в серьезной оценке с точки зрения национальной безопасности России. По отношению к Сети необходима выработка политики, которая учитывала бы все аспекты этого многогранного явления, включая и обеспечение безопасности информации. Из документа следует, что Россия должна быть готова к отражению различных информационных атак, для чего необходимо выработать всеобъемлющую, выверенную и четко просчитанную стратегию защиты от информационных угроз в глобальных открытых сетях.

Участники круглого стола поддержали идею организации национального Центра информационной безопасности, а также создание общественного совета по национальной информационной безопасности.

Алексей Шагов

19 февраля 1993 г. Верховным Советом Российской Федерации был принят закон "О федеральных органах правительственной связи и информации" № 4524-1. Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг.

Полномочия по лицензированию деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну, а также по сертификации средств защиты такой информации предоставлены Федеральному агентству законом Российской Федерации от 21.07.93 "О государственной тайне" № 5485-1. Статья 27 этого закона предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (ФАПСИ, Министерство обороны, Гостехкомиссия и Министерство безопасности, правопреемником которого является ФСБ).

Предоставленные Федеральному агентству законами "О федеральных органах правительственной связи и информации" и "О государственной тайне" права по определению порядка осуществления и лицензированию деятельности в области защиты информации нашли свое отражение в "Положении о государственном лицензировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 г. совместным решением №10 ФАПСИ и Гостехкомиссии России, разграничившим сферы компетенции двух этих ведомств и определившим механизм практического лицензирования, действующий по настоящее время.

Государственная техническая комиссия при Президенте Российской Федерации

Гостехкомиссия России создана в соответствии с Указом Президента Российской Федерации от 5 января 1992 г. № 9 в целях обеспечения национальной безопасности народов и территорий Российской Федерации в части приоритетов и защиты информации в области обороны, политики, экономики, науки, экологии, ресурсов и противодействия иностранным техническим разведкам.

Как постоянно действующий орган государственного управления Гостехкомиссия России несет ответственность за обеспечение защиты информации, составляющей служебную и государственную тайну, от ее утечки по техническим каналам и за противодействие техническим разведкам на территории Российской федерации. Она осуществляет проведение единой технической политики и координацию работ в области защиты информации, возглавляет Государственную систему защиты информации.

Гостехкомиссия России  -  коллегиальный орган. В ее состав входят министры, председатели государственных комитетов, первые заместители (заместители) этих руководителей  -  всего 23 человека. Принятые решения не являются прерогативой какого-либо ведомства, в них учитываются прежде всего интересы государства, общества и личности. Этим полностью исключается монополия в принятии решений по важнейшим вопросам обеспечения национальной безопасности. Непосредственное подчинение Президенту Российской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и корпоративных влияний, гарантирует соответствие ее деятельности высшим государственным интересам.