Пока не грянул гром

Информационная безопас???ность — дело государственное

Михаил Сенаторов выделяет такой аспект безопасности, как защита территориально распределенных внутрикорпоративных систем. По его словам, в банковской сфере этот вопрос исключительно актуален

Состоявшаяся 27-28 января Всероссийская конференция «Информационная безопасность России в условиях глобального информационного общества» стала уже шестой по счету. «Говоря об информационной безопасности как о проблеме, следует вначале определиться с самим термином ?безопасность?», — отметил в своем выступлении заместитель начальника Управления информационной безопасности аппарата Совета Федерации Анатолий Стрельцов. По его словам, под «безопасностью» в отечественной нормативной базе понимается состояние отсутствия угрозы чему-либо, а значит, проблему информационной безопасности логичнее всего структурировать по объектам, которые необходимо защищать. Таких объектов, по мнению Стрельцова, три: информация как таковая, информационная инфраструктура и правовой статус участников процесса обмена информацией. Под информационной инфраструктурой понимаются средства, с помощью которых распространяется та или иная информация; примерами, может служить субъектно-ориентированная инфраструктура (когда сведения передаются непосредственно от одного человека — или организации — к другому), СМИ, Internet и др.

Соответственно, в решении проблемы по обеспечению эффективной и безопасной работы всего, что связано с информацией, невозможно ограничиться реализацией некой универсальной меры, технической или юридической. Необходим целый комплекс средств, направленных на устранение конкретных угроз. И именно конкретные, пусть и небольшие шаги дадут нужный эффект: так, говоря о проблеме спама, глава российского офиса Sun Microsystems Сергей Тарасов предложил сообща добиться хотя бы прекращения так называемой рекламной кампании печально известного Центра американского английского.

«Если мы сможем сделать это к следующей конференции, значит, мы собираемся здесь не зря», — заявил он.

Также Тарасов предложил обратить внимание и на другой, достаточно важный источник «информационной опасности» — тенденцию построения профессиональных информационных систем на основе усиления и доработки стандартных, потребительских аппаратных и программных средств. Так, например, типичная для современной России ситуация, когда даже в госучреждениях вместо настоящих серверов используются усовершенствованные ПК, уже сама по себе является источником опасности.

«Танк можно попытаться сделать даже из легкового автомобиля, усилив его защиту, — отметил Тарасов. — Но лучше все-таки использовать инструменты по их прямому назначению».

По его словам, в настоящее время безопасность информационной среды уже нельзя рассматривать как компонент, который можно привнести извне, после того как завершено оснащение рабочих мест доступом к информационным системам; вопросы безопасности должны быть ключевыми уже на этапах подготовки типовых решений.

Но одной технической подготовки недостаточно: для эффективной защиты необходимо еще и законодательное регулирование, которому на Конференции была посвящена отдельная секция. Один из главных обсуждаемых на ней вопросов касался использования в создании правовой основы информационной безопасности России опыта других стран. По словам юриста Фонда гражданских инициатив в политике Интернет Михаила Якушева, у сегодняшней России есть немало общего с западными соседями. Примером может служить отсутствие единого Информационного кодекса (сродни Уголовному или Гражданскому) — и в России, и за рубежом информационная безопасность регулируется большим количеством разрозненных юридических документов. Но есть и отличия — так, по словам Якушева, на Западе подавляющее большинство вопросов решается на уровне подзаконных актов и постановлений, принимаемых органами исполнительной власти, в том числе и на местах.

У нас же основная работа ведется в законодательных органах: по мнению советника аппарата Комитета по безопасности Государственной думы Елены Волчинской, на сегодняшний день уже не только сформирована концептуальная основа, но и есть конкретные результаты: новые законы «О связи», «О противодействии экстремистской деятельности», «Об электронно-цифровой подписи». Последний вызвал среди участников конференции немало споров, но, как заявила сотрудник Института государства и права РАН Нина Соловяненко, при всех своих недочетах закон уже работает, и менять его необходимо исключительно эволюционным путем.

При этом она упрекнула отечественных законо?творцев в том, что они имеют недостаточное представление о самом предмете информационной безопасности, а также в нежелании учитывать накопленный мировой опыт.

О том, в какой мере необходимо его учитывать, говорилось и на секционном заседании, посвященном ГОСТу 15408-2002, лежащему в основе совершенствования процессов обеспечения безопасности ИТ. В частности, обсуждался вопрос о степени применения «Общих критериев» — системы сертификации, принятой уже в двух десятках стран. По словам представителя Microsoft Владимира Мамыкина, присоединение России к их числу принесло бы массу выгод как отечественным игрокам компьютерного рынка, так и государству. По мнению Мамыкина, наличие международного сертификата в области безопасности у популярных российских программных продуктов позволило бы значительно повысить их продажи за рубежом и тем самым принесло бы в казну дополнительные налоговые поступления.

Правда, оптимизм Мамыкина разделяют не все. Скажем, в Центре безопасности связи ФСБ считают, что простой проверки на соответствие профилям для уверенности в эффективности решения недостаточно — для полной гарантии необходимы количественные показатели.

В рамках конференции рассматривался и такой аспект безопасности, как защита территориально распределенных внутрикорпоративных систем. Особенно актуален этот вопрос в банковской сфере: так, по словам заместителя председателя Банка России Михаила Сенаторова, в силу значительной децентрализации банковской информационно-телекоммуникационной системы, которая опирается на 78 самостоятельных систем, расположенных в различных регионах страны, велики так называемые операционные риски, то есть риски, обусловленные функционированием технических средств. Кроме того, в связи с постоянным ростом количества транзакций растут и расходы на содержание информационно-телекоммуникационной системы. По словам Сенаторова, в настоящее время идет процесс построения новой системы, основанной на трех центрах, каждый из которых сможет заменить два других в случае их выхода из строя.

Общие критерии — теперь и в России

Под достаточно расплывчатым словосочетанием «Общие критерии» скрывается вполне конкретная новая система сертификации продуктов в области защиты информации, соответствующая ГОСТ/ИСО МЭК 15408-2002 «Критерии оценки безопасности информационных технологий». В основе «Критериев» лежат так называемые профили безопасности — наборы угроз, от которых защищает сертифицируемый продукт. Профили фиксируются для каждого конкретного класса продуктов, и на сегодняшний день принятых Гостехкомиссией классов насчитывается более десятка.

С помощью этих профилей ведется и сертификация конкретных решений, на их основе формируется задание по безопасности, результаты тестирования на соответствие которому в дальнейшем предоставляются клиентам. Всего принято семь уровней тестирования — от первого, самого простого, представляющего собой перечисление набора угроз, до седьмого, содержащего научное обоснование методов и способов защиты. Первые четыре уровня признаются странами-участниками соглашения без дополнительной проверки, для сертификации же по более высокому уровню производителю придется предоставить продукт на тестирование местным сертификационным органам, поскольку такая степень безопасности подразумевает наличие уникальных особенностей, присущих каждому государству.

Новое оружие информационных войн

Недавно в Communications of the ACM была опубликована заметка о роботах будущего, способных самостоятельно выполнять целый ряд сложных задач. Авторы наглядно продемонстрировали, как благодаря увеличению вычислительной мощности компьютеров, машины скоро приобретут свойства живых существ, причем их создание обойдется не слишком дорого.

Впрочем, лично меня волнует не столько растущий потенциал роботов, сколько ПО, которое по уровню своего интеллекта уже сравнимо с мышами или обезьянами. Такие программы способны превратиться в новое грозное оружие войн XXI века.

Вплоть до настоящего времени все методы обеспечения безопасности информационных сетей по сути остаются статическими. А между тем талантливые вредители уже пишут программы, обладающие реальным интеллектом. Затем этот вредоносный код внедряется в потенциально уязвимые места Internet и в результате бьет по известным слабым местам миллионов компьютеров и других устройств, подключенных к Глобальной сети.

Специалисты из организации Security Intelligence Products and Systems оценивают совокупный ущерб от электронных атак только за первые десять месяцев 2003 года суммой от 170 до 203 млрд. долл. В то же время по итогам всего 2002 года этот показатель оценивался в диапазоне 110-130 млрд. долл. И между прочим, в данный показатель не включается стоимость установки защитных механизмов.

Естественно, возникает вопрос: «Способны ли существующие подходы к созданию защитных механизмов обеспечить достойное противостояние постоянно растущей угрозе в данной области?» Это вопрос из разряда классических. Такие вопросы возникают при ведении любых боевых действий, когда атакующая мощь наступающих должна быть нейтрализована силами обороняющихся. В военных конфликтах одной силе всегда противостоит другая, и атакующие терпят поражение, если обороняющиеся вовремя извлекают уроки из происходящего, реагируют на возникающие угрозы быстрее, а имеющихся у них ресурсов достаточно для того, чтобы свести на нет усилия агрессоров.

К сожалению, перспективы обороняющихся в грядущих информационных войнах не вызывают особого оптимизма. Имеющиеся методы предотвращения вторжений не отвечают требованиям, предъявляемым к безопасному ведению электронной коммерции. Атакующие могут использовать большое количество самообучающихся (!) программ, которые будут следить за действиями обороняющихся и оперативно менять ранее намеченные планы в соответствии со сложившейся ситуацией. Баланс сил смещается в сторону атакующих. Затраты на изготовление и запуск деструктивного программного обеспечения будут сокращаться, а расходы на противостояние ему — расти до тех пор, пока компании не откажутся от принятой в настоящее время политики применения статических средств защиты.

В новую эпоху информационных войн защитникам корпоративных сетей нужно избрать новую тактику. Необходимо организовать активное противодействие агрессорам, с тем чтобы не позволить им адаптироваться к поведению обороняющихся. Сети должны проектироваться таким образом, чтобы ПО обнаружения и уничтожения атакующего кода срабатывало быстрее деструктивных программ, выявляющих новые уязвимые места. Очень большое значение приобретает международная кооперация в деле идентификации и нейтрализации источников атак. Но еще большее внимание должно уделяться мероприятиям, направленным на рост влияния директоров информационных служб, поскольку вопросы, связанные с обеспечением безопасности, становятся сегодня основным препятствием на пути дальнейшего прогресса глобального информационного сообщества.