3 июня 2010 года в отеле «Crowne Plaza» прошёл семинар «Информационная безопасность 2010: работа на опережение», организованный компанией «Информзащита». Публикуем одно из выступлений, проведённое в рамках данного семинара.

Евгений Свирский, Институт технологий информатизации и управления Белорусского государственного университета:

«Особенности регулирования вопросов информационной безопасности в Республике Беларусь»

Хотелось бы остановиться на моментах, которые тормозят работу по регулированию вопросов информационной безопасности. Если рассматривать нормативно-правовое регулирование деятельности в любой сфере, всё формируется по аналогичным схемам: есть ветви власти (законодательная, исполнительная, судебная), которые разрабатывают и принимают различные законы, а также есть субъекты гос. власти (органы, гос. учреждения, организации, предприятия и граждане), которые должны исполнять нормативную базу. Если берём юридических лиц, есть руководители, которые издают приказы и распоряжения, утверждают положения, инструкции, правила, заключают договоры, контракты, связанные с обеспечением информационной безопасности. И вот уже службы работают с информационными ресурсами на основании этих документов.

Существует стандарт по информационной безопасности, и к нему должно идти приложение различных рекомендаций, методических указаний о том, как их использовать, как с ними работать. На сегодняшний день у нас этого нет, потому что за создание нормативных документов никто не отвечает. Сейчас у нас основным законодательным нормативным документом является свод законов об информатизации информации и защите информации, который действует от 27 мая 2009 года. К этому закону должно было быть принято более 20 различных положений. К моменту вступления в действие этого закона, было лишь 2 постановления Совета министров: №673, в котором утверждены положения о составе государственных информационных ресурсов и порядке их формирования и использования документированной информации из государственных информационных ресурсов: положение о порядке государственной регистрации информационных ресурсов и ведения государственного регистра информационных ресурсов; положение о порядке государственной регистрации информационных систем, использования государственных информационных систем и ведения государственного регистра; перечень государственных информационных ресурсов. И второе постановление №675 — положение о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение или предоставление которой ограничено; положение о порядке регистрации систем защиты информации; положение о порядке проведения государственной экспертизы средств защиты информации. Вот закон и 2 постановления, которые на сегодняшний день, в основном, определяют все работы в области информационной безопасности.

Что мы имеем в определении «информационные ресурсы», «информационные системы»? Закон определяет, что информационные системы — системы, создаваемые и/или приобретаемые за счёт средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц, то же самое относится и к государственному информационному ресурсу. Исходя из этого, у нас практически все информационные ресурсы и системы являются государственными. На 15 декабря 2008 года, лишь 2 информационных ресурса были негосударственными (они составили порядка 0,3-0,4% от общего числа). Работать с государственными ресурсами подлежит согласно постановлений. Из постановления №673 я выписал несколько пунктов: недопускается в государственных информационных системах использование нелицензионных или несертифицированых программных и технических средств. Сертифицировать практически ничего нельзя, потому что операционные системы однозначно несертифицированы, и их сертифицировать у нас в Республике Беларусь не представляется возможным хотя бы потому, что мы не имеем исходных кодов. Даже если бы мы имели эти исходные коды, это бы не изменило положение. Допустим, операционную систему Windows XP, её исходный код содержит порядка 45 миллионов строк. Это невозможно ни физическим, ни юридическим лицам перебрать все возможности, что заложены в этой системе. Практически, эти системы не подлежат сертификации. Далее, они постоянно видоизменяются, в них постоянно вводятся корректуры. Поскольку отрасль находится на инновационном этапе, идёт быстрая смена технологий, поэтому программные продукты,которые сейчас находятся на рынке, обладают огромным количеством уязвимостей, которые не позволят им пройти сертификацию.

Подключение государственных информационных систем к глобальным информационным сетям осуществляется после реализации мер по её информационной защите. Когда переходим к постановлению №675  о порядке защиты, там есть пункт — подключение информационных систем, обрабатывающих информацию, распространение которой ограничено, к сетям общего пользования, глобальным сетям интернет запрещается. В один день вышли 2 постановления, подписанные 1 органом, которые противоречат друг другу. Это несогласованность в разработке документов. Это относится не только к постановлениям, но и нашим стандартам.

Есть несколько пунктов, которые сегодня невыполнимы, но которые можно каким-то образом обойти. Есть такой пункт-требование: при аттестации должно быть предоставлено задание по безопасности на информационную систему. Разработать его невозможно, даже если и разработаете, то уж точно не аттестуете. Нет никаких рекомендаций о том, как делать оценку, есть только стандарт 34101-1.

Есть глава №2 закона «государственное регулирование и управление в области информатизации и защиты информации». Так вот в полномочиях Национальной академии есть такая фраза: «участвует в разработке проектов нормативно-правовых актов». Если берём оперативно-аналитический центр — у него в полномочиях точно такая же фраза. То же самое и с Министерством связи и информатизации. Участвует, если пригласят, а кто должен пригласить — закон не определяет. В плане разработки стандартов (состоит из 98 страниц), который утверждён на 2010 год, только на последней странице есть 3 стандарта, которые имеют хоть какое-то отношение к информационным технологиям. Это переводные стандарты, прошедшие гармонизацию с международными стандартами. Один из них касается жизненного цикла программного обеспечения,  другой стандарт (в двух частях) касается менеджмента сервиса информационных технологий.

Попытки создать в настоящее время технический комитет по защите информации пока ни к чему не приводят. После общения с Оперативно-аналитическим центром, я подготовил положения технического комитета по защите информации, предложено было, чтобы функции секретариата выполнял НИИ технической защиты информации, но сам НИИ отказался от этой роли. На сегодняшний день повис вопрос о создании специализированного комитета, который бы занимался вопросами стандартизации не только стандартов, но также различных рекомендаций, руководящих документов. У нас принят стандарт 34101-1 от 2004 года, это переведённые общие критерии. В 2002 он был как предстандарт, в 2004 году — принят как стандарт. На сегодняшний день, он является мёртвым. Логика этого стандарта в Республике Беларусь не была воспринята. Есть стандарт ИСО/МЭК 15408, состоящий из трёх частей. Мы же из трёх частей одного стандарта сделали 3 независимых стандарта. Каждый из них бессмысленнен без 2 других. Если бы в группе 101 было только 3 стандарта, было бы всё понятно. Но сейчас в этой группе порядка 40 независимых стандартов. Образно говоря, стандарты — азбука, которую, если освоить, можно писать и задания по безопасности и прочее. Здесь заложены  все уровни конфиденциальности.

Сейчас идёт инновационный этап развития, технологии меняются быстро: стандарт, разработанный в начале отрасли, может впоследствии стать тормозом в последующем этапе. Так что стандарты должны гибко меняться, как и технологии. Международный стандарт гениально придуман, это методика, из которой берём и строим профили защиты. Сегодня мы одни технологии отработали, их поменяли, заодно и профили. Профиль является стандартизованным документом многократного использования, но не является стандартом. Когда нужно что-то сертифицировать, этот проект документа утверждается для конкретной организации в головной организации по сертификации в данном направлении. Для того чтобы его утвердить — его нужно сертифицировать. У нас же все профили стали стандартами. Из заложенной гибкости международного стандарта мы «выколотили» всё и он стал у нас достаточно жёстким документом. Этот стандарт классифицирует все информационные технологии по конфиденциальности и по уровням гарантии. Для того чтобы с ним работать, необходимо, чтобы вся информация была подготовлена к этому, должна быть проведена классификация, разделение на разные уровни. Если мы берём банковскую тайну, мы должны чётко знать, какому уровню она соответствует в согласно этого стандарта. Зная уровень, мы легко и быстро напишем и профиль, и задание по безопасности. Когда мы не знаем этих требований, мы можем написать задание по безопасности, но нет никакой уверенности, что это задание не будет недостаточным или избыточным. И в первом, и во втором случае — это плохо. На сегодняшний день у нас структурированы эти вопросы лишь по госсекретам. По служебной, по коммерческой тайнам нет никаких требований. Есть по коммерческой тайне постановление Совмина от 1992 года, где есть лишь общие определения, но требования по информационной защите никак не определены. Почему у нас такая нестыковка и стандарты не работают? Международный стандарт переведён с дикими купюрами. Если брать вторую часть и сравнивать её с российским переводом, который считается аутентичным, поскольку в его переводе участвовали эксперты международной группы, которая разрабатывала оригинал. Так вот, вторая часть в российском исполнении отпечатана таким же шрифтом, в том же формате, что и оригинал, и содержит 288 страниц. Наша вторая часть — лишь 90 страниц. Когда наших переводчиков спросили: «Почему такие изъятия из текста оригинала?», то мы получили воистину гениальнейший ответ — «Мы из международного стандарта убрали тавтологию». Если работать с российским вариантом, то ссылаться нужно на сам стандарт, а в нашем стандарте тех пунктов и положений нет. Теперь даже если вы разработаете задание по безопасности, нет ни одного нормативного документа, на основании которого его можно оценить. Сейчас есть 9 лабораторий, которые могут провести оценку задания по безопасности, но из каждой из них вы получите 9 абсолютно разных оценок.

Есть ещё один стандарт, который имеет интересную историю — «Информационные технологии и безопасность. Правила управления информационной безопасностью». Он у нас был как предстандарт с 1 ноября 2004 года по 1 ноября 2006 года. Дальше его стоило переводить из предстандарта в стандарт, но никто не изъявил инициативу. Где-то месяца полтора или два он был никаким. В декабре 2004 года Госстандарт продлевает его действие до 1 января 2008 года. Опять в течении года никто не проявляет интерес, они ещё на полгода продлевает действие до 1 июля 2008 года. Снова никто не вносит никаких предложений — и его исключают. Хотя экспертами считается, что он ничем не уступал по общим критериям, в некоторых пунктах был даже более важным, поскольку здесь прописаны правила управления информационной безопасностью.

Если мы берём общие критерии международного стандарта, то здесь нет деления, как у нас, на коммерческую, служебную тайну, госсекреты. Есть лишь понятие — уровень конфиденциальности. Поскольку стандарт международный, и у разных государств разные требования к конфиденциальности информации, то он должен годиться для всех. Поскольку каждый вышестоящий уровень включает в себя все нижестоящие, а  также дополнительные требования, вы всегда можете найти тот уровень, который бы соответствовал вашим требованиям. Он годится для всех стран. В этом стандарте ISO 15408 мы знаем 3 части. Есть ещё и четвёртая часть — каталог профилей, который прописан для различных групп информационных технологий и уровней конфиденциальности. Оттуда выбирается уровень, который соответствует нашим требованиям, берётся этот профиль и переводится на родной язык. Даже если продукт сертифицирован в Китае, всё равно вы получите сертификат, на котором написано — сертифицирован в соответствии с профилем таким-то, будет написана версия, название. Тоесть берёте профиль на своём языке и читаете, что там сертифицировано. Сделано очень грамотно, чтобы этим можно было воспользоваться всем. Но, к сожалению, сегодня говорят, что он слишком сложный для нас,  и нужно от него отказываться, потому что при госзакупках вычислительной техники необходимо задание по безопасности, а его написать не могут. Для того, чтобы его использовать, необходимо подготовить инфраструктуру, требования к уровням конфиденциальности, тогда он будет работать.

Я бы хотел остановиться ещё на одном стандарте, известном у нас как предстандарт ISO 27001. Он введён с 1 марта 2009 года. Происходит от британского стандарта ISO 17799 (первая часть) и BS 7799 (вторая часть). Этот стандарт можно рассматривать как систему управления, как ISO 9001 и ISO 14001. На сегодняшний день идёт аттестация, сертификация и аудит по этому стандарту на добровольной основе, но завтра это будет приблизительно тоже, что и с системой менеджмента качества: с вами будут работать, если вы представите заключение, что ваша система защиты соответствует этому стандарту. Сегодня у нас в республике действует указ для всех экспортоориентированных предприятий о внедрении системы качества. Как только появятся требования — все должны будут внедрять этот стандарт. На сегодняшний день некоторые предприятия, как аэропорт «Минск-2», уже сертифицировались. В случае с аэропортом «Минск-2» сертификацию проводила ООО «Бюро Веритас Сертификейшн Украина». Нужно быть готовым к введению этого стандарта для всех.

Вот, пожалуй, мы и рассмотрели все вопросы, которые не позволяют использовать ту нормативную базу, которая у нас есть.

>>Прослушать аудиозапись данного выступления<< (23,2 Мб)

Aercom.by