Читайте также:
|
В современных условиях интенсивного формирования и совершенствования государственных структур управления, перестройки экономики Российский Федерации и перевода ее на принципы рыночных отношений, расширения международных контактов с развитыми государствами мира и установления взаимоотношений на новой основе со странами ближнего зарубежья (СНГ) особую остроту приобретают проблемы совершенствования информационного обеспечения Президента Российской Федерации и государственных органов законодательной и исполнительной власти России на основе создания единого информационно-телекоммуникационного и правового пространства, что необходимо для оперативной оценки социально-экономических процессов и явлений, происходящих в стране и отдельных ее регионах, эффективного управления государственными структурами в различных условиях с учетом обеспечения безопасности государственных и экономических секретов России.
Этим одним из важнейших и приоритетных направлений деятельности занималось ФАПСИ (Федеральное агентство праивтельственной связи и информации), которое в 2003 году было упразднено и его функции, шщтаты и материальная часть были переданы в состав Минобороны РФ, Федеральной службы охраны РФ и ФСБ России. Теперь эти ведомства обеспечивают в рамках своей компетенции надежное функционирование и развитие защищенных информационно-телекоммуникационных систем России, являющихся технической основой информационной инфраструктуры государства, важнейшим инструментом органов государственной власти и управления в проведении реформ в стране. Одно из важнейших требований к таким системам - это обеспечение необходимого уровня безопасности обрабатываемой информации.
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки, хранения и передачи информации по каналам связи повышается потенциальная угроза потери ее конфиденциальности. К основным факторам, способствующим повышению этой угрозы, могут быть отнесены следующие:
- наличие больших объемов информации, накапливаемой, хранимой и обрабатываемой с помощью автоматизированных технических средств;
- сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
- наличие большого круга пользователей, имеющих непосредственный доступ к ресурсам вычислительных систем и массивам баз данных;
- усложнение режимов функционирования технических средств и автоматизация межмашинного обмена и обмена информацией по каналам связи;
- неизбежное применение широкой номенклатуры импортных технических средств хранения, обработки и передачи информации по каналам связи;
- распространение в России средств негласного съема информации и активизация деятельности коммерческих и других негосударственных структур в областях как перехвата, так и защиты информации.
Несмотря на изменение международной обстановки, деятельность технических разведок развитых иностранных государств по добыче информации не сокращается и эти государства продолжают принимать меры по повышению ее эффективности. Эффективные радиоразведывательные службы имеют Великобритания, ФРГ, Франция и ряд других государств, однако наиболее мощной в мире организацией, решающей задачу добычи информации техническими средствами, является Агентство национальной безопасности (АНБ) США. Бюджет АНБ составляет около 15 миллиардов долларов, численность - около 24 тысяч сотрудников в центральном аппарате и примерно от 40 до 50 тысяч на периферийных пунктах радиоперехвата. Для решения наиболее сложных задач дополнительно привлекаются лучшие научно-исследовательские силы страны. По контрактам с АНБ работает несколько десятков самых известных американских фирм, занимающих передовые позиции в области электроники, физики, компьютерной техники. За многие годы существования (свыше 40 лет) АНБ создало сложную, хорошо отлаженную систему добычи информации от ее перехвата до криптоанализа, анализа потока сообщений и открытого текста. Для АНБ представляет интерес буквально все, что появляется в эфире, а также в проводных, радиорелейных и кабельных сетях связи независимо от их государственной принадлежности. Осуществляется перехват с дипломатических, военно-дипломатических, военных, коммерческих и других каналов связи. Результаты постоянно проводимой ФСБ России контрольно-инспекторской работы по проверке состояния безопасности шифрованной связи свидетельствуют о том, что к большинству наших линий связи, включая закрытые, проявляется постоянный неослабевающий интерес со стороны иностранных спецслужб. Более того, по высказываниям бывшего директора АНБ У. Студмена, в последнее время одним из приоритетных направлений в деятельности этого агентства стал "сбор разведывательной экономической информации общего характера", то есть целенаправленное электронное слежение за конкретными компаниями с целью добычи подробных сведений о разрабатываемых технологиях, новых товарах, готовящихся сделках, а также об отдельных руководителях различного уровня.
В этой связи значительный интерес для технических разведок стала представлять не только секретная, но и служебная информация, не относящаяся к категории секретной, но позволяющая путем анализа и сопоставления содержащихся в ней сведений получить важную информацию. Поэтому и защита информации должна носить комплексный характер. В основу научно обоснованной концепции безопасности связи и информации закладываются следующие основные требования:
- обеспечение равнопрочной защиты информации на всех этапах ее накопления, обработки, хранения и передачи по каналам связи;
- обеспечение гарантированной защиты информации в каналах связи с обязательным применением криптографических методов (обеспечение конфиденциальности информации);
- обеспечение целостности и подлинности информации на всех этапах ее хранения, обработки и передачи по каналам связи (имитозащита);
- обеспечение аутентификации сторон, обменивающихся информацией (подтверждение подлинности отправителя и получателя информации с использованием электронной цифровой подписи);
- обеспечение контроля доступа к информационным системам и базам данных;
- обеспечение защиты технических средств от утечки информации по побочным каналам и от возможно внедренных в них электронных устройств съема информации;
- обеспечение защиты программных продуктов, средств вычислительной техники, информационных систем от внедрения программных "вирусов" и закладок.
Реализация этих требований достигается прежде всего применением средств шифрования и криптографической защиты, прошедших всесторонние исследования и отвечающих современным требованиям безопасности, которые в комплексе с другими средствами и системами защиты обеспечивают необходимый уровень конфиденциальности информации, ее целостности и подлинности. Решение такой проблемы на современном этапе под силу только развитым странам, обладающим мощным научно-техническим потенциалом, собственными криптографическими научными школами, а также сложившимися шифровальными и дешифровальными службами, службами радиоэлектронной разведки и защиты информации. Всем этим Российская Федерация в полной мере обладает, что позволяет нашему государству обеспечить современный уровень безопасности информации в системах связи и информационных системах, а также поддерживать на необходимом уровне научно-технический паритет с техническими разведками ведущих иностранных государств. Однако, если не принять соответствующие меры, учитывающие ряд обстоятельств, которые выходят на передний план в настоящее время Россия может оказаться в ситуации, когда важная информация, включая информацию негосударственных структур, становится добычей разведок наиболее развитых стран.
Одним из таких обстоятельств, как уже упоминалось выше, является наличие больших объемов информации, сосредоточенных в средствах ее сбора, обработки и хранения, предоставляемых современными компьютерными технологиями, в том числе и базами данных. В настоящее время в стране большая часть из имеющихся нескольких тысяч баз данных, содержащих конфиденциальную информацию, выполнена с применением минимальных средств защиты и разграничения доступа и не обеспечивает необходимого уровня защиты информации. Вместе с тем зарубежный опыт свидетельствует, что базы данных являются одним из важных источников утечки информации. Ежегодные потери американских фирм от хищений экономической и технологической информации из компьютеров и обеспечивающих обмен информацией между ними систем связи иностранными конкурентами и разведслужбами могут в самое ближайшее время достичь нескольких миллиардов долларов. Ситуация усугубляется доступностью и дешевизной средств съема информации с компьютерного оборудования. Например, комплект оборудования мобильного поста перехвата, позволяющий осуществлять дистанционный съем информации с компьютерных систем на расстоянии до 1 км, стоит не более 400 долларов. С учетом изложенного, задача защиты баз данных приобретает большую актуальность. Учитывая значительные финансовые и материальные затраты, которые потребуются для обеспечения полномасштабной защиты и сертификации уже имеющихся и разрабатываемых баз данных, средств теледоступа к ним и создания необходимого для этого научно-технического задела, целесообразно на первом этапе основное внимание уделить защите информации от перехвата и преднамеренных искажений в линиях связи баз данных как звену, наиболее доступному для возможных несанкционированных действий. При этом, в первую очередь, необходимо обеспечить надежную защиту конфиденциальной информации Президента Российской Федерации, органов государственной власти и управления, правоохранительных структур, а также кредитно-финансовых и налогово-имущественных ведомств и учреждений Российской Федерации.
В последние годы ряд зарубежных фирм выходили с предложениями о создании систем связи для органов государственной власти и управления, ведомств и организаций России, в том числе за счет кредитов, предоставляемых на льготных условиях. Причем, предлагалось не только телекоммуникационное оборудование, но и криптомодули собственного производства, легко встраиваемые в рекламируемое связное оборудование. Такие предложения выглядят на первый взгляд заманчиво, поскольку дают возможность в короткие сроки резко повысить эффективность функционирования информационно-телекоммуникационных систем. Однако имеющийся в ФСБ России опыт специальных проверок импортного оборудования свидетельствует о серьезных негативных последствиях для интересов страны, которыми чревато принятие упомянутых предложений. Так, например, в ходе проверки 100 ЭВМ, закупленных у всемирно известной фирмы, в 8 из них было выявлено более 30 закладочных устройств, предназначенных для уничтожения накопленной информации и вывода этих ЭВМ из строя. В качестве еще одного примера можно упомянуть о предотвращении утечки информации с одного из важных объектов за счет выявления канала утечки информации, создаваемого изделием иностранного производства вследствие того, что фирмой не был установлен ряд радиодеталей, предусмотренный по технической документации. Аналогичных примеров можно привести множество.
Опыт ведущих иностранных государств (США, Великобритании, Франции, ФРГ и др.) показывает, что для удовлетворения потребностей органов государственной власти и управления ими используются только системы связи, оснащенные шифровальными средствами собственной разработки и изготовления.
Можно отметить, что в соответствии с Федеральным законом Российской Федерации "О федеральных органах правительственной связи и информации" ФАПСИ были предоставлены права по осуществлению выдачи предприятиям и организациям независимо от форм собственности разрешений на получение лицензий на проведение работ по созданию и эксплуатации шифротехники, включая средства криптографической защиты технических средств, а также предоставление услуг засекреченной связи. Осуществление защиты информации в Российской Федерации должно проводиться организациями, имеющими соответствующую лицензию а средства защиты должны быть сертифицированы в соответствии с принятой системой сертификации средств криптографической защиты информации. В настоящее время эту функцию по лицензированию и сертификации выполняют органы ФСБ России.
Необходимость выполнения этого требования объясняется тем обстоятельством, что качество защиты информации не может быть непосредственно оценено пользователем (в отличие от качества систем связи), вследствие чего возникает необходимость в защите пользователя государством от некачественных изделий и услуг в сфере обеспечения безопасности информации. Особенно актуальным этот вопрос стал в последнее время, когда в связи с отсутствием в России закона, ограничивающего возможности негосударственных структур по использованию технических средств съема информации, такие средства появились в открытой продаже. Вместе с тем организовались фирмы, занимающиеся защитой информации и, в частности, выявлением электронных устройств перехвата информации и установкой средств защиты. Однако отсутствие в этих фирмах достаточного количества квалифицированных специалистов в области криптографии, необходимого опыта разработки шифровальных средств и оборудования для исследования шифровальной аппаратуры и поиска устройств перехвата информации приводит к появлению на российском рынке ненадежных средств защиты информации.
Так, например, возможность получения высоких прибылей за счет предоставления услуг по защите банковской информации активизировала попытки негосударственных фирм создать системы хранения, обработки, передачи и защиты конфиденциальной информации, в том числе системы защиты банковской информации от подделки ("электронная цифровая подпись"). При рассмотрении продукции ряда коммерческих фирм, представляющей собой различные варианты реализации средств электронной цифровой подписи и предлагавшейся для защиты банковской информации установлено, что указанная продукция не обеспечивает целостность сообщений, передаваемых по каналам связи, допуская в отдельных случаях возможность их подделки, то есть по сути не выполняет функций цифровой подписи и не может быть рекомендована для использования в сетях передачи конфиденциальной информации. Таким образом, несовершенство межбанковского обмена информацией, облегченный доступ к банковским документам и отсутствие конфиденциальности при передаче финансовых документов между различными регионами страны приводит к различным нарушениям действующего законодательства, в том числе к преступлениям в кредитно-финансовой сфере. Повышение эффективности функционирования финансово-кредитной системы России, исключение случаев подлога финансовых документов возможно только при создании сети передачи конфиденциальной банковской информации с обеспечением контроля ее целостности и подлинности. В настоящее время Центральным Банком России совместно с ФСБ проводятся работы по созданию указанной выше сети и усилению безопасности банковской информации с использованием разработанного государственного стандарта электронной цифровой подписи.
Не менее важно, что в результате деятельности частных производителей шифротехники и услуг в области безопасности связи в стране появятся неконтролируемые государством системы закрытой связи, которые могут использоваться различными преступными организациями и значительно затруднят борьбу правоохранительных органов с ними. Такого положения не допускает ни одна страна в мире. Серьезные меры по контролю за шифровальным оборудованием приняты, например, во Франции. Государственному контролю подлежит изготовление, экспорт и использование шифровального оборудования. Экспорт возможен только с разрешения премьер-министра после консультаций с межминистерским комитетом по военному оборудованию. Закон объявляет неразрешенный экспорт и снабжение криптографическим оборудованием преступлением, которое наказывается штрафом от 6 до 500 тыс. франков или тюремным заключением на срок от одного до трех месяцев. Суд также может запретить нарушителю заниматься производством криптографического оборудования на срок до двух лет или до пяти лет в случае повторного нарушения. АНБ также установило критерии, которым должна удовлетворять компания-изготовитель криптографических средств защиты. Она не может находиться в иностранном владении, под иностранным контролем или влиянием и должна иметь необходимые условия для работы с секретной информацией, используемой при разработке изделия.
Весьма актуальными являются вопросы системного подхода к обеспечению безопасности информации в создаваемых сетях связи. В настоящее время рядом отечественных организаций и зарубежных фирм предлагаются многочисленные проекты создания открытых телекоммуникационных сетей в интересах органов власти, управления и государственно-значимых предприятий России. Оценивая целесообразность создания таких сетей, необходимо иметь в виду следующее. В высших органах власти, в органах государственного управления, банках и других государственно-значимых организациях и на предприятиях имеется значительный объем сведений, которые сами по себе не составляют государственной тайны, однако целенаправленные усилия по их обработке, сопоставлению и анализу позволяют извлечь из этих сведений нужную информацию, а порой и информацию, составляющую государственную тайну. Ряд таких сведений представляет интерес не столько для иностранных технических разведок сколько для террористических организаций и даже уголовных элементов и с распространением в России средств съема информации с линий связи может стать им легко доступен в случае использования для передачи таких сведений открытых телекоммуникационных сетей.
Следует отметить, что проблема защиты указанных выше сведений не является только российской проблемой. 20 мая 1987 года Конгрессом США был принят Закон о безопасности ЭВМ. В соответствии с этим законом на Национальное бюро стандартов возложена ответственность за разработку стандартов и рекомендаций по обеспечению безопасности важной информации в государственных компьютерных системах на основе рекомендаций АНБ, а на организации, обрабатывающие важную информацию - ответственность за реализацию этих стандартов и рекомендаций. При этом закон определяет, что важной информацией является "любая информация, потеря, неправильное использование, несанкционированное изменение или доступ к которой могут привести к нежелательным воздействиям на национальные интересы или на осуществление правительственных программ, но которая не удовлетворяет критериям, определяющим секретную информацию". Следует также иметь в виду, что создание открытых сетей связи в органах государственной власти и управления в большинстве случаев и экономически не оправдано, поскольку для передачи и обработки секретной информации высших органов власти и управления уже эксплуатируются надежно защищенные и обладающие необходимой живучестью сети конфиденциальной связи, которые могут взять на себя дополнительную нагрузку по обработке и передаче несекретной информации без существенных дополнительных затрат.
Таким образом, наиболее эффективным и экономичным путем решения проблемы обеспечения безопасности информации в интересах органов власти, государственных и государственно-значимых предприятий и организаций России является использование и развитие потенциала уже существующих защищенных систем и сетей связи, позволяющих осуществлять управление страной в мирное время, особый период и при чрезвычайных ситуациях. Эта линия проводится в жизнь при реализации программы создания Интегрированной государственной системы конфиденциальной связи России (ИГСКСР). ИГСКСР создается с целью обеспечения приоритетного удовлетворения потребностей органов власти в информационной поддержке принимаемых решений, конфиденциальности передаваемой информации и безопасности информационных баз и банков данных Президента, Правительства, Федерального собрания, а также министерств, ведомств, промышленных и экономических структур. Концепция ИГСКСР предусматривает создание современной системы конфиденциальной связи, отвечающей международным требованиям по передаче различных видов информации (телефонной, данных, факсимильной, электронной почты и др.) и охватывающей административные и промышленные регионы страны, которая обеспечивала бы выход на страны ближнего и дальнего зарубежья, а также на международные банковские сети.
ИГСКСР предполагается создавать поэтапно, путем объединения основных наиболее разветвленных сетей телефонной и документальной связи, с осуществлением постепенной интеграции используемых и вводом новых средств, обеспечивающих переход к международным стандартам, улучшения качественных и количественных показателей связи, расширения спектра предоставляемых пользователям услуг. При развертывании ИГСКСР в полной мере используются уже имеющиеся каналы связи, технические средства и высококвалифицированный обслуживающий персонал. Применение в интегрированной сети единого засекречивающего коммутационного и связного оборудования, отвечающего международным стандартам и протоколам взаимодействия, позволяет наиболее эффективно использовать каналы связи и избежать дублирования сетей, отказаться от необходимости разработки устройств сопряжения для систем с различными протоколами взаимодействия, не потребует больших капитальных вложений и эксплуатационных затрат, что в результате даст большой экономический эффект.
Из изложенного вытекают следующие выводы, свидетельствующие о роли и задачах ведомств работающих в сфере правительственной связи и информации:
1. Актуальность обеспечения безопасности информации в телекоммуникационных и информационных системах в настоящее время не только не уменьшается, но и возрастает. Это связано с увеличением объемов передаваемой по каналам связи и хранимой в базах данных информации, с применением широкой номенклатуры импортных технических средств, а также с тем, что иностранные технические разведки начинают проявлять интерес к экономической информации. С распространением в России средств нелегального съема информации, важная информация может стать добычей не только иностранных разведывательных служб, но и террористических организаций и даже уголовных элементов, что может привести к очень серьезным последствиям, в особенности в сфере банковской деятельности.
2. С учетом российский реалий, наиболее целесообразным и экономичным путем обеспечения защиты информации высших органов государственной власти, органов управления, государственно-значимых предприятий и учреждений России является использование возможностей существующей системы правительственной связи, а также Интегрированной государственной системы конфиденциальной связи по мере ее развития.
3. Для надежного обеспечения защиты информации эта работа должна проводиться только организациями, имеющими соответствующие лицензии, а аппаратура криптографической защиты должна быть соответствующим образом сертифицирована.
Дата добавления: 2015-12-08; просмотров: 83 | Нарушение авторских прав