Aercom.by - Новости безопасности в Беларуси и СНГ

19 сентября 2017 г., вторник

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Фундамент развития сегмента информационной безопасности – кадры и нормативная база
7 сентября, 2011

ЗАО «НТЦ Контакт», одно из старейших белорусских предприятий, работающих в сегменте информационной безопасности. Организовано в 1990 году. Бывший 5 участок Минского управления ЦНПО «Каскад», выполнявший спецработы для ВПК. Специализация — телеобработка данных, создание автоматизированных систем управления. Сейчас «НТЦ Контакт» проводит разработку, производство и инсталляцию ряда сложных продуктов: программных комплексов криптографической защиты информации, систем управления ключами, средств защиты от несанкционированного доступа к информации. Один из основных принципов, заложенных при создании этих систем – система безопасности, по возможности, не должна мешать пользователю выполнять основную работу.  Из последних разработок «НТЦ Контакт» — выпуск средства активной защиты информации — генератора линейного зашумления, устройства для защиты от утечки информации по каналам эл. питания и заземления. При создании прибора использован физический эффект генерации хаоса на нелинейных элементах. Прибор имеет очень хороший спрос на рынке нашей страны. «НТЦ Контакт» обладает собственной производственной базой и штатом разработчиков.

О развитии сегмента ИБ в РБ мы говорили с директором предприятия Тепляковым  Анатолием Адамовичем.

Дайте пожалуйста оценку состояния сегмента информационной безопасности (ИБ) в Республике Беларусь на сегодняшний день? Ваша оценка уровня нормативной и законодательной базы в РБ регулирующей ИБ?

Информацию, стоит разделить на 2 группы: секретная и несекретная.  Защита секретной информации область ответственности КГБ, и вне нашего сегодняшнего обсуждения. Если говорить о несекретной информации – а это персональные данные, служебная тайна и пр. В этой области основная проблема – недостаток нормативного регулирования. Хотя сделано уже немало. Но сравнив с ситуацией, например, в  РФ, понимаешь, что явно недостаточно.

Почему важно наличие разработанной нормативной базы для развития средств и систем сегмента ИБ?

Применение средств защиты регламентируется экономическими возможностями. Из каких источников финансируются затраты на ИБ? Оказывается, что в существующей РБ системе мы не можем затраты на ИБ отнести на себестоимость. Приходится платить из прибыли. Каждому собственнику нужно принять решение – какую часть прибыли направить на покупку средств и систем защиты, при этом руководителю не всегда понятны цели и задачи применения этих средств. Коммерческие компании покупают средства информационной безопасности только в случае если риск потери информации и угрозы ее потери явно выражены и имеют конкретную стоимость. Здесь же возникает еще вопрос оценки  стоимости нематериальных активов… С государственными органами несколько проще, т.к. при их финансировании из бюджета уже закладывается статья расходов на ИБ. Если бы затраты на ИБ относились на себестоимость, то процессы установки таких средств шли бы активнее. При невозможности апеллирования к разуму, возможен другой путь – более жесткое регулирование требований к ИБ. Например, постановление Совмина РБ от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации», выпущенное во исполнение закона «Об информации, информатизации и защите информации», вводит в действие «Положение о порядке защиты информации в государственных информационных системах…», «Положение о порядке аттестации систем защиты информации», «Положение о порядке проведения государственной экспертизы средств защиты информации» это как раз тот стимул, который заставляет собственников выполнить требования постановления, даже если они считают расходы относительно большими.

Как можете оценить качество разработки этих документов?

Хоть я и сам принимал некоторое участие в разработке материалов этого постановления, но должен признать — качество документов оставляет желать лучшего. Этому были объективные причины: ограничение во времени и масса проблем которые привели к тому, что по сути правильные решения не совсем качественно оформлены.

Будут ли коррективы в последние документы?

Там есть «ляпы» которые явно придется убрать. Например, одно из требований — запрет для информационных систем, обрабатывающих информацию ограниченного распространения по подключению к сетям общего пользования (включая Интернет). По сути, правильно с точки зрения защиты. Но если посчитать средства, которые понадобятся на разделение систем в такой организации (отдельно на доступ в Интернет, отдельно на внутреннюю обработку) то в бюджете просто может не оказаться средств на это. И если частная компания сама решает приемлемость этого правила, для государственных организаций (особенно работающих с закрытой информацией) – данное разделение на сегодня обязательно.

Документ впервые регламентирует процедуру, впервые явно обозначил необходимость декларирования уровня доверия к системам защиты – собственник должен объявить об уровне доверия, аттестовать их.

В том, что нормативные акты по ИБ выходят несколько сырые, есть объективные причины. Опыта по созданию таких нормативных актов в стране не было. Нормативные акты должны создаваться для урегулирования уже существующих отношений. Для этого необходимо исследовать опыт существующих отношений, немного его экстраполировать в будущее и тогда можно ожидать качественного правового акта. Поскольку опыт такого рода был весьма ограничен, а сроки небольшие, получить высококачественный правовой акт сложно. Хотя к этому стремились.

Появление «Постановления №675» активизировало процесс оформления систем ЗИ, т.к. возникли требования по созданию систем защиты и аттестации, которые, безусловно, можно выполнить, только создав сами эти системы. При этом надо понимать, что процесс создания СКЗИ далеко не дешевый процесс. Но другим способом обеспечить комплексную защиту информации практически невозможно.

Говоря о системе технического нормирования, стоит отметить, что в бывшем СССР существовала прекрасная система технического регулирования взаимоувязанной конструкторской, программной, технологической и пр. документации. Примером полезности и применимости такой системы – стало создание ракетного комплекса «Энергия-Буран». Когда в короткий срок была создана уникальная система. В создании комплекса участвовало порядка 40 тыс. предприятий со всего СССР. Благодаря в т.ч. системе технического регулирования была возможность планового создания такого рода сложных систем. Стандарты в СССР были лучше или хуже, но все были взаимоувязаны и поддерживали заданные рамки. С распадом СССР был потерян единый методологический центр и качество регулирования ухудшилось.

Кто в Беларуси сейчас осуществляет увязку стандартов и норм?

Госстандарт. Хотя в СССР Госстандарт проводил единую политику, но не являлся источником разработки стандартов. Разработчиками являлись научные центры.

С точки зрения создания вооружений система была выстроена идеально. Она позволяла унифицировать создание систем вооружений и экономила значительные средства в рамках государства. Другая сторона — такая система стандартизации удлиняла сроки создания.

Применение стандартов было обязательным. За нарушение стандартов можно было получить и уголовное наказание. Сейчас с одной стороны мы приняли курс на международные стандарты, которые, кстати, стали необязательными. При этом была потеряна методологическая основа. В СССР, принимая международные стандарты, обязательно увязывали их с национальной системой стандартизации. Если они выходили из этих рамок, то от них либо отказывались, либо свои приводили в соответствие с международными не нарушая целостности и взамоувязанности системы.

На Западе существует система корпоративных стандартов, поддерживающих заявительный принцип. Например, Минобороны США может ввести свои требования которым должен соответствовать продукт. Если продукт не покупается Минобороны, то эти  требования к продукту не обязательны. Если вы добровольно заявили (декларировали), соответствие стандарту, он становится обязательным для вашей продукции. Это позволяет значительно сократить время создания продуктов, но качество не всегда гарантируется. Конечно, «рынок отшлифует» — просто перестанут покупать плохой продукт. Там стандарты являются элементами конкурентной борьбы. Часто возможность применять некий стандарт стоит денег и немалых. Но яркий пример стандартизации в мировом масштабе – ПЭВМ, применение которых уже давно не связывают с какой-либо конкретной страной-производителем, а они работают как часы.

Повторюсь — стандартизация позволяет получать системы с меньшими затратами и уменьшает существующие издержки на создание систем государственного уровня, но переход на новые стандарты стоит денег и немалых.

Что происходит с стандартизацией в РФ, РБ и пр.? Какие существуют концепции стандартов в мире?

Концепция стандартов, по крайней мере в области информационной безопасности,  в РБ далеко не всегда пересекается с МЭК и ISO и вместо того, чтобы их привести в соответствие, часто просто переводят стандарт и вводят его в действие не задумываясь о совместимости с уже существующей системой, решая, вероятно проблемы одного или нескольких предприятий,  но создавая проблемы у множества других. Хочу еще раз отметить: в СССР была прекрасная система стандартизации, до которой западной еще расти и расти. Но множество причин, в том числе политических, заставляют нас вводить их, западные стандарты – надо идти на их рынок. По моему мнению, делать это надо с умом, без спешки – семь раз отмерить и только затем отрезать. Пример – стандарты группы СТБ 34.101.1-3 («общие критерии») во-первых, их некоторые понятия (например, «спецификация») просто не соответствуют терминам ЕСКД, ЕСПД.  На Западе спецификации — это требования к системе, у нас спецификация это перечень элементов. Здесь наступает противоречие – мы говорим одно, а подразумеваем другое.

Говоря об «общих критериях», следует сказать о способах регулирования создания систем ЗИ – немецком (в деталях прописывающим требования к компонентам системы ЗИ) и условно скажем, английском/американском. Явные плюсы немецкого способа: невысокие требования к квалификации специалистов создающих системы. При этом мы точно знаем, что получим в результате. Минус данной системы: эти требования появляются позже чем, продукт появляется на рынке. Задержка может составить 1-1,5 года. Таким образом, самые современные средства не могут быть применены, пока не разработают требования по защите.

Многие пользуются этой системой и до конца от нее не отказались, но большинство перешло на англо-американскую систему.  В ней предполагается, что люди создающие систему, имеют высокую квалификацию и им нужны только рамки. Таким образом, «общие критерии», это «рамки» — набор базовых требований и требований на создание самих требований. Требования делятся на 2 категории: 1 категория – требования собственно к системам защиты – функциональные (активная часть – «как защищать?»), 2 категория – пассивная часть, требования доверия (почему мы будем доверять тому, что прописали в функциональных требованиях?). Первый плюс: она может применяться к любой, даже неизвестной на сегодняшний день системе, второй плюс даже появляется новая система (расширенные требования), мы знаем, как добавлять новые требования. В связи с тем, что «общие критерии» действуют во множестве стран, появляется возможность уменьшить расходы на сертификацию.

Мне так кажется, что эти требования создавались как формализованные средства с дальней целью – автоматизации разработки систем защиты. В конце концов, формализация этих требований может быть доведена до такого уровня,  что их станет понимать машина. Правда, изучая эти стандарты, мы видим противоречия между ГОСТовскими требованиями и требованиями международных систем. Их надо коренным образом переработать, имея в виду прежде всего наши, белорусские интересы. И только когда начнем уверенно выходить на международный рынок, уточнить их в смысле совпадения с западными стандартами. Кстати, использование системы ЕСКД и не использование стандартов ИСО никак не помешало автомату Калашникова завоевать международные рынки. Был бы продукт достойный.

Возможно, ли встроить друг в друга принципиально разные системы?

Во-первых, хочу заметить, что в мире не существует единой системы стандартов — их много, хороших и плохих, в общем разных. В абсолютном большинстве случаев, стандарт – элемент конкурентной борьбы, способ навязать конкуренту свои требования. Это действует и между странами. Ведь начать исполнять чужие стандарты не дешевое дело.

В общем же, стандарты всегда возможно подстроить друг под друга. Но этого пока нет. И сейчас есть проблема их совмещения. Например, то, что получается в результате применения ИСО15408 (наше СТБ 34.101.1-3) это  скорее, часть технического задания. Получается, что если бы задания по безопасности разрабатывались как часть тех. задания на систему или подсистему защиты тогда все было бы нормально, а сейчас получается что-то само по себе. Неизвестно куда его пришивать.

Я с уважением отношусь к принятию общих критериев — они наконец-то дают возможность создавать комплексную систему защиты. Правда, защиту только от несанкционированного доступа (утечки по тех. каналам выпадают, физ. защита как предположение). Наши общие критерии отличаются от ISO, не только терминологически, но и принципиально, что сильно сдерживает их применение.

Сейчас мало людей до конца понимающих не только букву но и дух стандарта. Внутреннюю логику. Безусловно, эти документы однозначно следует привязать к нашим стандартам для обеспечения широкой применимости.

— Как можете оценить уровень продуктов ИБ в РБ и РФ?

Зависит от класса специалистов создающих продукт. По уровню создания продуктов (сложности, функциональности) у нас уровень выше, но не хватает ресурсов на создание продуктов и недостаточно разработана нормативная база.

С другой стороны, в РФ осталось академическое ядро, которого в РБ нет. На самом деле в этой области все определяется людьми.

В РФ активно применяется международные стандарты благодаря стремлению к интеграции в международное сообщество. В РБ же, к сожалению процесс идет медленнее и с худшим качеством.

— Какие можете обозначить мировые тренды, тенденции развития систем информационной безопасности?

Бурное развитие компонентов безопасности в информационных системах. Значимость систем обеспечения информационной безопасности будет расти. Если скорость роста собственно информационных систем примерно 20-30% в год, то развитие систем безопасности значительно выше. Например, Microsoft активно внедряет криптографию, компоненты сетевой безопасности в свои продукты. В Linux компоненты безопасности развиты значительно лучше мелкомягких, шире и полнее. При этом тенденция роста сохраняется и будет только расти.

Беседовал Драгун Сергей

Полная версия. Опубликовано в журнале «Технологии безопасности» №3, 2011.

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.