На базе  Гродненского государственного университета им. Я. Купалы 17-20 мая 2011 г. под эгидой Парламентского Собрания Союза Беларуси и России состоялись знаковые  мероприятия, посвященные проблемам комплексного подхода к решению вопросов информационной безопасности:

− ХVI Научно-практическая конференция «Комплексная защита информации» (17-20 мая 2011 г.);

− семинар при Парламентском Собрании Союза Беларуси и России (17-19 мая 2011 г.).

Фотоотчёт.

Сборник материалов конференции.

Высокий статус мероприятий определяли организаторы и ключевые участники (вступительное слово и приветствия):

− Организация Договора о коллективной безопасности (Бордюжа Н.Н.);

− Парламентское Собрание Союза Беларуси и России (Грызлов Б.В.);

− Комиссия Парламентского Собрания Союза Беларуси и России по безопасности, обороне и борьбе с преступностью (Ванькович А.С.);

− Палата представителей Национального собрания Республики Беларусь (Андрейченко В.П.);

− Совет Безопасности Российской Федерации (Климашин Н.В);

− Оперативно-аналитический центр при Президенте Республики Беларусь (Капариха С.Н.);

− Департамент информатизации Министерства связи и информатизации Республики Беларусь (Ильин А.А.);

− Федеральная служба по техническому и экспортному контролю Российской Федерации (Куц А.В.);

− Гродненский областной  исполнительный комитет (Шапиро С.Б.) и др.

В рамках секционных докладов был представлен широкий круг аффилированных компаний и организаций отрасли информационной безопасности: КГБ Республики Беларусь, учреждения БГУ «НИИ прикладных проблем математики и информатики», Институт национальной безопасности Республики Беларусь, ГНИИИ ПТЗИ ФСТЭК России, МГТУ им. Н.Э. Баумана, Санкт-Петербургский институт информатики и автоматизации РАН, УО «Институт технологий информатизации и управления» БГУ, ОИПИ НАН Беларуси и др.

В целом соотношение участников со стороны Беларуси и России можно представить как 60% и 40 % соответственно.

Стоит отметить высокий уровень организации конференции и семинара с белорусской стороны. Основным координатором мероприятий выступило Государственное предприятие «НИИ ТЗИ» (Картель В.Ф.).

Работа мероприятий была организована по двум форматам: пленарные доклады и круглые столы («Безопасный Интернет», «Вопросы создания защищенных объектов информационных технологий», «Вопросы криптографии», «Технические вопросы защиты информации», «Нормативно-правовые аспекты обеспечения информационной безопасности, подготовка специалистов в области информационной безопасности»).

В качестве нового конструктивного тренда в деятельности конференции явно прослеживалась попытка связать наработки академической науки, органов власти  и бизнес-сообщества. Показательно, что многие докладчики мероприятий, включая представителей компаний разработчиков, имели ученые степени и звания.

Фундаментально основные доклады и обсуждаемые вопросы можно отнести к следующим разделам: нормативно-правовые, организационно-технические, технические аспекты информационной безопасности.

ТОП-30 наиболее интересных положений докладов, прозвучавших на конференции:

1. Вопрос о терминологии в сфере компьютерных преступлений продолжает оставаться открытым. Используемые термины «преступления в сфере компьютерной информации» (РФ) и «преступления против информационной безопасности» (РБ) является достаточно узкими.

2. Одной из наиболее продвинутых в плане описания уголовной ответственности за киберпреступления является законодательство США.

3. Бурное развитие Интернет и устройств Интернет-доступа (в особенности мобильных) создает условия для перехода напрямую к Интернет-голосованию без дорогостоящего переоснащения избирательных участков.

4. При создании Национальной грид-сети Республики Беларусь использовались следующие технологии защиты: инфраструктура открытых ключей для создания удостоверяющего центра, криптографическая защита телекоммуникаций специализированной грид-сети при обмене информацией ограниченного распространения (для служебного пользования), управление доступом к вычислительным ресурсам и ресурсам хранения данных опытного участка грид-сети.

5. Сегодня специфика проблемы технической защиты компьютерных систем состоит в том, что повсеместно используемые популярные импортные продукты и системы не рассчитаны или не прошли процедуру подтверждения соответствия для применения в тех ситуациях, когда безопасность имеет существенное значение. Зачастую встраивание дополнительных средств защиты в эти продукты и системы в силу особенностей их архитектуры не может обеспечить требуемый уровень безопасности информации.

6. Системы видеоконференцсвязи могут эффективно использоваться при проведении допросов защищаемых лиц при нахождении последних вне зала судебного заседания и опросов свидетелей с искажением голоса и скрытия глаз по уголовному или иному судебному делопроизводству в соответствии с законодательными правовыми актами по защите свидетелей.

7. США выступают не только против выработки юридически обязывающих документов в области международной информационной безопасности, но даже «отказываются от работы по формированию терминологического глоссария по проблематике международной информационной безопасности в любой его форме».

8. Подавляющая часть узлов Белорусской железной дороги использует смешанные каналы передачи данных – оптоволоконные, ADSL и каналы тональной частоты.

9. В 2007 году разработан Закон о повышении безопасности США, включающий разделы 1101 «Защита критической инфраструктуры» и 1102 «Оценка риска и доклад». Закон обязывает ежегодно оценивать уязвимости и риски нарушения безопасности критических инфраструктур и активов по секторам, составлять ежегодные доклады Комитету национальной безопасности и Сенату о состоянии критической инфраструктуры, важной для национальной безопасности.

10. Защита кибернетических аспектов критических инфраструктур являлась целью стратегических документов, принятых Европейской комиссией и Государствами-членами ЕС в 2009 году. К ним относятся – Европейская программа защиты критических инфраструктур (European Programme for Critical Infrastructure Protection – EPCIP), Специальные стратегии по защите информационной инфраструктуры – CIIP, Защита критической энергетической инфраструктуры – CEIP.

11. В Республике Беларусь правовые основы использования ЭЦП заложены в пункте 2 статьи 161 Гражданского кодекса Республики Беларусь о письменной форме сделки.

12. Решением Еврокомиссии 2011/130/EU от 25 февраля 2011 года установлены форматы ЭЦП, которые должны обрабатываться электронными сервисами. Определены три формата: с использованием спецификаций XML, в соответствии с Cryptographic Message Syntax (CMS), с использованием спецификации PDF.

13. Создание компьютера производительностью в 1 экзафлоп (1 000 000 000 000 000 000 операций в секунду) объявлено одним из «великих вызовов 21 века» в «Стратегии американских инноваций» экономического совета при президенте США.

14. Приборы Тихоокеанской Северо-Западной национальной лаборатории США могут генерировать до 480 гигабайт данных в день. Немецкая национальная метеорологическая служба генерирует более 2,5 петабайт данных каждый год.

15. В ГУ «Научно-исследовательский институт Вооруженных Сил Республики Беларусь» разработана концепция виртуальной электронной компонентной базы (ВЭКБ). Данная концепция обеспечивает перевод радиоэлектронной аппаратуры современных и перспективных образцов вооружения на элементную базу пятого поколения, основной составной частью которой будут являться виртуальные компоненты (VC – Virtual Component).

16. Статистика оценки целей сертификации систем менеджмента (ISO/IEC 27001:2005) для различных организаций: 40% для целей получения красивого сертификата (не хуже чем у других…), 40% для целей выполнения внешних требований (тендеры…) и только 20% для выполнения поставленных целей высшего руководства (владельцев).

17. Существующая сегодня классификация критически важных объектов (КВО):

– по критериям информационной безопасности не может быть распространена на КВО в виду использования ограниченного числа параметров, использующихся при классификации, и она применима лишь для средств и систем, обрабатывающих государственные секреты.

– по критериям инженерно-технической безопасности также не может быть распространена на КВО в виду использования ограниченного числа параметров и их показателей, использующихся при классификации и учитывающих, как правило, только величину ущерба, выраженную в стоимостном (денежном) выражении.

18. Официальное соглашение, подписанное Министрами образования США и РФ, привело к разработке совместного проекта, в котором участвуют МГТУ имени Н.Э. Баумана и Университет штата Нью-Йорк (State University of New York). В рамках проекта, стартовавшего в ноябре 2010 года, предусмотрена совместная разработка ряда электронных курсов дистанционного образования в области ИБ.

19. Приказом начальника ОАЦ от 04.03.2011 г. утверждено Положение о порядке применения средств криптографической защиты информации в системах защиты информации.

20. В ноябре 2010 года компания «С-Терра Бел» достигает рекордной производительности в 2 Гб/с шифрования данных с использованием белорусской криптографии (ESP Cipher, пакеты UDP 1400 байт).

21. ЗАКОН ГАРДНЕРА: 85 процентов людей любой профессии некомпетентны.

22. По данным из открытых источников информации в структуре «АНБ»: в 6 раз больше сотрудников, чем в ЦРУ. Занимается электронной разведкой 4120 мощных центров прослушивания, размещенных на многочисленных военных базах в Германии, Турции, Японии и других странах. Они имеют возможность собирать и анализировать почти повсеместно радиограммы, телефонные переговоры. Могут перехватывать идущие по радиорелейным и спутниковым каналам связи, электронные сигналы любого типа, включая излучения систем сигнализации в квартирах и противоугонных устройств автомобилей.

Известная американская разведывательная система «Эшелон» перехватывает все, что существует в электромагнитном виде и обеспечивает тотальный контроль электронных средств коммуникаций. Создаваемая США система «Magic Lantern» позволяет тайно внедрять в компьютеры подозреваемых программы слежения, засылая их через Интернет при помощи вирусов.

23. Развитие криптологии стимулирует развитие математики и информатики. Имея это в виду, ректор МГУ академик В.А. Садовничий отметил, что «криптология все более становится источником развития математики и информатики на современном этапе».

24. Для ситуации в США, в частности, исследователи подсчитали, что если даже принимать во внимание резкий всплеск — все жертвы атак 9/11, то от рук международных террористов американцы гибнут не чаще, чем от удара молнии. Или в автомобильных авариях из-за случайного столкновения с животными. Или от аллергической реакции на арахис. Или, наконец, жертв террора лишь немногим больше, чем несчастных, утонувших в ванне.

25. Созданное при Госдепартаменте США Бюро международных информационных программ постоянно расширяет свое присутствие в вебпространстве и увеличивает количество проектов, используя для «общения с молодежью на интересующие их темы» социальные сети и социальные СМИ.

26. Высказывается мнение, что на Ливии отрабатывается новый сценарий «цветных революций», заключающийся в создании на основе вымышленной информации (не существующие события, фальсифицированные причинно-следственные связи, заранее подготовленные «свидетели», «герои» и «эксперты») сюжетов, формирующих негативный образ государства-жертвы, внедрении их через глобальные СМИ в сознание мирового общественного мнения, принятии на этой основе реальных санкций и осуществления реальных боевых операций, заключающихся как в точечных ударах по ключевым  объектам инфраструктуры, так и в полномасштабном вторжении «миротворческих сил».

27. США приступили к выработке новых подходов к ведению информационного противоборства на основе концепции кибернетической мощи государств (cyberpower) — способности использовать киберпространство в своих интересах для создания в нем преимуществ и возможностей влияния на ситуацию в военно-политической, экономической, информационной и других областях.

28. В 2011 г. США планируют принять новую доктрину кибербезопасности, построенную на принципах «управления рисками» (баланса потенциальных угроз и затрат по их нейтрализации), в соответствии с главной идеей которой киберпространство считается таким же потенциальным полем боя, как суша, море и воздух. В октябре 2010 г. начало официальную работу киберкомандование США (US Cyber Command), общая численность которого будет составлять свыше 10 тыс. чел.

29. Лиссабонский саммит НАТО 2010 г. отметил необходимость разработки стратегии деятельности Альянса в киберпространстве как важного аспекта обеспечения безопасности стран-членов НАТО и партнеров. На состоявшемся 10-11 марта 2011 г. в Брюсселе саммите министры обороны стран НАТО одобрили замысел новой концепции киберобороны НАТО и обновленную политику киберзащиты, главными задачами которых будут защита политической, экономической и военной инфраструктур стран-членов НАТО от проникновения и разрушения, а также осуществление ответных действий. К декабрю 2012 г. планируется ввод в эксплуатацию центра оперативного реагирования на киберинциденты, под которыми понимаются политически мотивированные атаки киберактивистов и хакеров, кибершпионаж, нанесение ущерба сетям НАТО. Предполагается проведение совместных учений по киберзащите и конференций.

30. На прошедшей в феврале 2011 г. мюнхенской конференции по безопасности Великобритания объявила свои планы финансирования национальной программы кибербезопасности в размере 650 млн. ф. ст. и призвала разработать единую стратегию, определяющую векторы международного сотрудничества в построении систем киберзащиты. Также будет создана группа оборонительных киберопераций и новый центр контроля глобальных операций и безопасности, осуществляющий мониторинг кибератак на военные системы.

Aercom.by

По материалам конференции