Статьи

Інформаційна безпека: управління, технології, кадри

Питання інформаційної безпеки об'єктів критично важливих для держави інфраструктур стають сьогодні все більш актуальними [1] Питання інформаційної безпеки об'єктів критично важливих для держави інфраструктур стають сьогодні все більш актуальними [1]. Високі темпи розвитку національної мережевої середовища, комп'ютеризація ключових секторів національного господарського комплексу і економіки країни ставлять забезпечення інформаційної безпеки підтримують їх об'єктів на рівень першорядних державних завдань. Разом з тим в Доктрині інформаційної безпеки Російської Федерації [2] зазначається засилля продуктів зарубіжного виробництва, пропрієтарних програм з закритим вихідним кодом в складі засобів обчислювальної техніки і автоматизованих систем поставляються російським замовникам. Це об'єктивно знижує рівень захищеності національної інформаційно-телекомунікаційної інфраструктури від деструктивних впливів. Разом з тим потенційна небезпека таких дій з кримінальними, терористичними і військово-політичними цілями підвищується. Про це свідчать події останніх років. Прикладом може служити жорстка позиція ряду країн по відношенню до Росії у відповідь на дії Грузії проти Південної Осетії в серпні 2008 року, що підкріплюється спробами «інформаційної блокади», в тому числі з використанням ІТ. В останні роки мережеві технології активно використовуються для підготовки та проведення терористичних акцій. У США створені, активно оснащуються і навчаються військові формування, орієнтовані на дії в умовах масового протистояння в мережевому середовищі.

Все це змушує по-новому підійти до аналізу існуючих загроз і є приводом для критичної оцінки стану справ, що склався у сфері забезпечення національної інформаційної безпеки. В першу чергу такий оцінці повинні підлягати заходи адміністративно-організаційного характеру, дії з розвитку і застосування сучасних інформаційних технологій, а також ситуація з підготовкою кадрів, здатних вирішувати завдання в області інформаційної безпеки.

об'єкти захисту

Як відомо, слід захищати тільки те, що окупає витрати замовника на створення систем забезпечення безпеки. Для держави це - критично важливі об'єкти (КВО) Національної інформаційно-телекомунікаційної інфраструктури (НИТКИ). До числа сучасних загроз слід віднести деструктивні інформаційні впливи на них з терористичними і військово-політичними цілями. У цьому сенсі потрібно формалізувати і кластеризувати, наскільки це можливо, простір критично важливих об'єктів, визначивши ієрархію класів об'єктів з позиції необхідності забезпечення їх інформаційної безпеки. Слід проаналізувати підходи ряду країн до проведення інформаційно-військових дій і з урахуванням оцінки поточного стану вітчизняної законодавчої бази запропонувати заходи щодо вдосконалення нормативно-правового забезпечення інформаційної безпеки в Росії.

Першорядне увагу слід приділити підходам до створення ефективної системи ідентифікації, кластеризації та категоризації об'єктів критично важливих інфраструктур, класифікації систем управління ними, визначення загроз, яким можуть піддаватися подібні об'єкти. На основі таких ідентифікаторів можна запропонувати підходи до аналізу захищеності інформаційно-телекомунікаційних систем управління критично важливими об'єктами. З позицій «Загальних критеріїв» і Керівних документів ФСТЕК РФ слід проаналізувати можливість оцінки інформаційної безпеки критичних об'єктів, беручи до уваги типові умови середовища оточення, цілі безпеки окремих елементів подібних об'єктів і, як наслідок, відповідних вимог до них.

Результати, отримані в ході виконання таких досліджень і практичних робіт, можуть бути використані стосовно забезпечення інформаційної безпеки інших категорій практично значущих об'єктів з більш низькими вимогами до безпеки.

Вимоги по інформаційної безпеки

Вимоги до КВО НИТКИ з позицій безпеки інформаційних технологій і з позицій програмної інженерії [3] повинні поєднуватися і доповнювати один одного, так як комплекс засобів забезпечення безпеки інформаційних технологій, як правило, являє собою складно організоване в архітектурно-технологічному плані програмне забезпечення. Ефективно такий комплекс може бути створений тільки в разі, якщо його розробка спирається на міжнародні та російські стандарти і рекомендації. Якщо розглянути етапи життєвого циклу програмних засобів забезпечення безпеки як складову частину загального програмного комплексу управління складно організованим об'єктом, то легко помітити, що вони багато в чому збігаються (див. таблицю ).

Однак методологія програмної інженерії сьогодні в належній мірі не дотримується - це напрямок слабо відображено в навчальних планах і програмах вузів, покликаних готувати кадри для ІТ-індустрії. Як наслідок, немає належного числа фахівців, які володіють цими методами.

математичні моделі

Головна проблема, що виникає протягом усіх етапів життєвого циклу програмних засобів забезпечення захисту, - відсутність методологій верифікації на відповідність вимогам, що пред'являються до них. Причина полягає у відсутності математичних моделей, що адекватно описують процеси можливого інформаційного протиборства. Правда, слід зазначити, що на сьогоднішній день непогано розвинені критеріальні підходи (стандарти і рекомендації) до оцінки рівня захищеності інформаційних технологій, засновані на вимогах до функціональних можливостей засобів захисту, до якості їх реалізації, до дій розробників і персоналу на окремих етапах життєвого циклу програми. Однак можливості таких підходів обмежені в силу відсутності суворої формалізації і через їх орієнтації на прості в архітектурному і технологічному плані об'єкти. На це вказують і положення самих критеріальних підходів, які вимагають залучення математично строгих моделей, які гарантують інформаційну безпеку об'єктів в ході їх створення, впровадження і модифікації в тому випадку, якщо це об'єкти з високими рівнями довіри.

У розробці та застосуванні засобів і систем захисту інформаційних технологій Росія відставала на 15 років від інших країн через більш пізнього впровадження в практику технологій пакетних комунікацій і Internet. Як наслідок, була відсутня необхідність в дослідженнях на цьому напрямку. На жаль, такий стан, особливо в частині розробки вітчизняних засобів забезпечення безпеки інформаційних технологій, зберігається і донині. Для його зміни необхідні стимули, щоб забезпечити впровадження нових підходів на практиці, випереджальний розвиток досліджень на цьому напрямку і, головне, - підготовка кадрів вищої кваліфікації, здатних підтримувати ці процеси.

загальносвітові традиції

Розробка і впровадження програмних засобів забезпечення безпеки інформаційних технологій у всьому світі стимулюються по-різному. У створенні засобів захисту об'єктів масового застосування і програмних засобів з відкритим вихідним кодом визначальну роль відіграють бізнес-структури. Держава також бере участь в цих роботах, але в значно меншому ступені і в першу чергу шляхом підтримки наукових досліджень і процесів підготовки кадрів через вищі навчальні заклади. Однак головне його вплив, як правило, визначається різного роду пільгами при проведенні конкурсів, податками на прибуток і т.п.

В області програмних засобів, що забезпечують безпеку інформаційних технологій об'єктів критично важливих для держави інфраструктур, так само як і програм з відкритим кодом для використання в автоматизованих системах управління, держава відіграє головну роль. Воно напряму фінансує не тільки науково-дослідні і дослідно-конструкторські роботи, а й процеси впровадження та супроводу таких коштів, а також підготовку кадрів, здатних забезпечити належний рівень їх супроводу. Такі компанії, як IBM, Microsoft і Google, залучаються до співфінансування подібного роду робіт в рамках відповідних національних проектів, що проводяться під егідою держави. У Росії така практика відсутня - немає ні системи, ні ідей.

У технологічно розвинених країнах накопичений великий досвід розробки та застосування положень критеріальних підходів до забезпечення безпеки інформаційних технологій, їх поєднання з положеннями стандартів і рекомендацій програмної інженерії. На федеральному рівні визначено регламентований порядок розробки, введення в експлуатацію, супроводу і модифікації програмного забезпечення автоматизованих систем національно значущих об'єктів і програмних засобів забезпечення їх інформаційної безпеки, що створює режим суворого контролю за цими процесами з боку держави. Як наслідок, тут проводяться дослідження і є певні практичні результати в області створення і застосування математичних моделей гарантовано захищених систем. До їх числа відносяться: сучасні модифікації традиційних моделей розмежування доступу (Харрісона-Руззо-Ульмана, Take-Grant і Белла-Ла Падула), модель системи військових сполучень, різні моделі інформаційних потоків, розширення моделі рольової управління. Однак, якщо подивитися з позиції можливості їх застосування до складно організованим об'єктів захисту, то тут все поки не настільки райдужно, що пояснюється об'єктивними труднощами вирішення цього завдання.

Краще в порівнянні з іншими сервісами забезпечення безпеки інформаційних технологій справа йде з криптографією такриптоаналізу. До початку 80-х років при використанні в мережах зв'язку мережевих технологій, заснованих на комутації фізичних каналів, це був чи не єдиний сервіс, який гарантує конфіденційність і цілісність інформації. З появою технологій пакетних комунікацій і Internet змінилися загрози, способи їх реалізації та сама модель противника - виникла необхідність в цілому ряді інших сервісів безпеки. Більш того, слід зазначити, що зі збільшенням швидкостей передачі даних до 100 Мбіт / с - 1 Гбіт / с багато з традиційних підходів вже не дозволяють забезпечити обробку даних в режимі онлайн. В силу цих причин розробка нових механізмів, моделей і реалізують їх програмних засобів забезпечення безпеки інформаційних технологій виходить на перший план.

ОС з відкритим кодом і безпеку ІТ

Забезпечення безпеки ІТ в складі будь-якого, особливо складно організованого об'єкта є Важкореалізовані процес, який виконується на різних рівнях: законодавчому (нормативно-правовому); адміністративно-організаційному; операційному; програмно-технічному. На останньому з них основні, базові механізми захисту надає операційна система. В ході реформування вже існуючих, а тим більше створення нових засобів і систем забезпечення інформаційної безпеки ці механізми дуже активно еволюціонують. Перманентно і досить швидко в часі з'являються нові уразливості, загрози, способи їх реалізації. Це призводить до необхідності перегляду вже існуючих механізмів ОС, які забезпечують інформаційну безпеку підконтрольного об'єкта. Вирішення цього завдання практично неможливо без використання ПЗ з відкритим кодом. Наявність такого програмного забезпечення є найважливішою умовою успішного проведення робіт, спрямованих на забезпечення національної безпеки, і держава повинна підтримувати розвиток такого ПО і таких ОС. Однак, на мій погляд, ці стимули повинні грунтуватися на тих принципах, які використовуються і пройшли належну апробацію в інших технологічно розвинених країнах світу.

Сучасні напрямки забезпечення безпеки ІТ

Таку область, як безпека інформаційних технологій, можна структурувати і кластеризувати до різного рівня деталізації, проте, якщо судити про проблемної області на «макрорівні», то в якості найбільш актуальних напрямків можна назвати:

  • створення програмного забезпечення з відкритим кодом, орієнтованого на потреби захисту критично важливих об'єктів;

  • розробку нових, ефективних моделей гарантовано захищених систем, їх використання на практиці стосовно складно організованим об'єктів захисту;

  • підготовку фахівців, здатних організувати і вести цю роботу на рівні сучасних вимог до безпеки інформаційних технологій.

Еволюція планів і програм підготовки кадрів

Активна роль в підготовці кадрів за коштами інформаційної безпеки на механіко-математичному факультеті та на факультеті ВМиК МГУ належить Інституту проблем інформаційної безпеки (ІПІБ) МГУ. Сьогодні на кафедрі обчислювальної математики мехмату підготовлені десятки фахівців, що володіють теоретичними знаннями і практичним досвідом у цій галузі, а через аспірантуру організована підготовка кадрів вищої кваліфікації за фахом 05.13.19 «Захист інформації. Інформаційна безпека". В МДУ створений і почав працювати спеціалізованої вченої ради по даній спеціальності.

За останні кілька років на кафедрі обчислювальної математики механіко-математичного факультету МДУ, в рамках традиційної Програми та навчального плану підготовки фахівця-математика, на додатковому наборі спеціальних курсів природничо-наукового змісту в «бойовій обстановці» відпрацьовувалася магістерська програма за новою спеціальністю. Заснована на традиційній програмі мехмату, яка передбачає відповідну найвищим світовим стандартам математичну підготовку, вона дозволяє готувати кадри, здатні вирішувати найскладніші завдання забезпечення інформаційної безпеки. Фахівці, які пройшли таку підготовку, здатні не тільки строго використовувати обумовлені нормативами механізми і методи розробки захищених складних програмних комплексів, грамотно писати код, але і в стані будувати математично строгі моделі інформаційного протиборства, які дозволяють верифікувати код в процесі його створення та модифікації. Аспіранти та студенти мехмату, наприклад, використовують подібні моделі при розробці окремих елементів ОС з підвищеними вимогами до безпеки підтримуваних нею ресурсів комп'ютерних систем, при створенні прототипу програмного комплексу для активного моніторингу складно організованих автоматизованих систем на предмет виявлення деструктивних впливів і оперативного реагування. Поки що такі випускники - «штучний товар», однак при належному відношенні державних органів і організацій, а також великих структур недержавного сектора економіки налагодити цільову підготовку таких кадрів, в тому числі і вищої кваліфікації, можна і потрібно в самий найближчий час. Не маючи критичної маси таких молодих фахівців у відповідних секторах національного господарського комплексу, ми ризикуємо серйозно підірвати національну безпеку країни.

література

  1. Андрєєв О.О. Критично важливі об'єкти і кібертероризм. Частина 1. Системний підхід до організації протидії [під ред. В.А.Васеніна]. - М .: МЦНМ, 2008. - 398 с.
    Критично важливі об'єкти і кібертероризм. Частина 2. Аспекти програмної реалізації засобів протидії. - М .: МЦНМ, 2008. - 607 с.

  2. Доктрина інформаційної безпеки Російської Федерації [Електронний ресурс] URL: www.scrf.gov.ru/documents/5.html . (Дата звернення: 15.06.2009).
  3. Липа В.В. Програмна інженерія. Методологічні основи: навч. держ. ун-т - Вища школа економіки. - М .: ТЕИС, 2006. - 608 с.

Валерій Васенін ( [email protected] ) - зав. відділом Інституту проблем інформаційної безпеки МДУ імені М.В. Ломоносова.

Таблиця. Етапи життєвого циклу програмного забезпечення

Новости