Проблемы регулирования области безопасности информационных технологий

Как уже говорилось, объекты аналоговой среды непосредственно не взаимодействуют с процессами электронной среды. Но мы используем ИТ, значит, можно говорить о существовании интерфейсной зоны. Тогда, например:

1. Базовый реквизит, придающий сообщению статус документа:
В аналоговой среде - собственноручная подпись;
В интерфейсной зоне - ЭЦП (асимметричная);
В электронной среде - ЗКА (симметричная).
2. Обеспечение доверия осуществляется:
В аналоговой среде - нотариатом;
В интерфейсной зоне - удостоверяющими центрами;
В электронной среде - ЗКН.
3. Регулирование при этом осуществляется:
В аналоговой среде - законами;
В интерфейсной зоне - ТР;
В электронной среде - стандартами.

Несколько слов о каждом из этих направлений.

Законодательство.

Давно назрела необходимость перехода от слабо связанных, разрозненных законов к целостному информационному кодексу. Основные интегрирующие идеи - информационное производство, информационный продукт, информационные ресурсы. Необходим также переход от признания электронного документа к обязательности обеспечения прав граждан на осуществление документооборота в электронной форме. Это создаст условия в обществе для востребованности информации и обеспечит серьезный импульс развитию ИТ.

Техническое регулирование.

Разрабатываемые в настоящее время ТР45 и ТР46 должны не заменить собой весь комплекс наработанных документов, а дополнить их в части безопасности именно ИТ, а не ПЭВМ, данных и каналов.

Следует учесть при этом, что, говоря о технологической зависимости от Запада в сфере ИТ, обычно понимается зависимость от используемых технических средств - от ИЭТ до СВТ и систем на их основе. На самом деле эта зависимость значительно шире - она касается информационных технологий управления оборудованием и производством - и, как правило, контроль этих этапов не обеспечивается. Это должно стать основой технического регулирования в области безопасности информационных технологий. Основы концепции могли бы включать следующие положения.

Информационная технология (ИТ) - процессы, методы и средства поиска, хранения, обработки, использования, предоставления или распространения информации.

ИТ реализуются в компьютерных системах (КС) - отдельных технических средствах, СВТ и системах на их основе - локальных и глобальных сетях, объединяющих СВТ каналами связи во взаимодействующую систему.

Безопасность ИТ - состояние защищенности ИТ, обеспечивающее безопасную эксплуатацию КС.

ИТ описываются последовательностью операций поиска, хранения, обработки, использования, предоставления или распространения информации.

Защищенная ИТ - ИТ, обладающая свойством сохранять последовательность операций.

Результатом реализации ИТ в КС являются последовательности сигналов управления производством товаров, сигналов управления персональным оборудованием, и\или сообщения в электронном виде, которые могут содержать информацию ограниченного доступа, в частности, персональную информацию.

Безопасность ИТ обеспечивается достаточным уровнем защищенности:

• компьютерной техники (ПЭВМ);
• данных;
• каналов связи;
• информационной технологии как последовательности операций.

Защищенность КТ регламентируется требованиями ФСТЭК.
Защищенность данных регламентируется требованиями ФСТЭК.
Защищенность каналов связи регламентируется требованиями ФСБ.

Требования по защищенности ИТ в свою очередь делятся на:

1. Требования по защищенности ИТ управления производством
2. Требования по защищенности ИТ управления персональным (бытовым) оборудованием
3. Требования по защищенности ИТ информационных систем, содержащих информацию ограниченного доступа, в частности, персональную информацию.

В таком виде можно расширить и защитить зону технического регулирования, развивая, а не разрушая имеющуюся систему.

Стандартизация.

Российский вариант "Общих критериев" введен ГОСТом Р ИСО/МЭК 15408-2002 г. с 1 января 2004 года.

Главной чертой нового стандарта является то, что в нем нет жесткой универсальной шкалы классов безопасности, как в ранее изданных руководящих документах. Таким образом, "Общие критерии" - это критерии оценки информационных технологий, а не требования к защищенности, и, тем более, не требования к средствам защиты. На основе "Общих критериев" можно только оценить, насколько информационная технология удовлетворяет требованиям потребителя, если он способен изложить их в виде профиля защиты. Оценить средство защиты на основе "Общих критериев" нельзя.

Достаточны ли средства защиты, установленные на компьютере? Защищена ли конкретная операционная система? На эти вопросы нельзя ответить на основе "Общих критериев". Нельзя, потому что не определена информационная технология, в которой эти средства будут использоваться. Значит, "Общие критерии" далеко не всегда можно использовать, а только для каждой конкретной информационной технологии. А какова практика? Как правило, объектами оценки становятся средства, а не технологии! Вот это очень плохо, это сильно искажает реальную картину.

Таким образом, "Общие критерии" должны дополнять, а не заменять выработанную на сегодняшний момент нормативную правовую базу. Иначе - опять снижение уровня защищенности наших систем до западного уровня. Нельзя говорить: "переход на "Общие критерии" в защите информации", правильно будет сказать: "применение "Общих критериев" для оценки защищенности информационных технологий".

Говоря более широко, внедрение ТР не должно сопровождаться отменой ГОСТ, так как это не конкурирующие, а дополняющие один другого механизмы регулирования. Необходимо возобновить разработку государственной программы стандартизации, пока - по отраслевому принципу.

Автор: Конявский В. А.

Дата публикации: 01.01.2006

Библиографическая ссылка: Конявский В. А. Проблемы регулирования области безопасности информационных технологий // Комплексная защита информации. Сборник материалов X Международной конференции 4–7 апреля 2006 года, Суздаль. Минск, 2006 С. 106–107.

---