Комплексні системи захисту інформації: бути чи не бути?


Захист державних секретів завжди була важливою складовою обороноздатності країни. З початком впровадження в різних, в першу чергу, силових, відомствах інформаційних систем виникла потреба забезпечити розмежування доступу до ресурсів цих систем за аналогією з паперовими носіями. Так, в 1970 році в США з'явилася перша теоретична модель розмежування доступу ADEPT-50, а в 1985 році Міністерство оборони США випустило перші критерії оцінки захищеності комп'ютерних систем, так звану «Помаранчеву книгу». Ці критерії, по суті, грунтувалися на узагальненому досвіді побудови систем захисту інформації в державних структурах. Таким чином, саме держсектор став локомотивом розвитку світового ринку інформаційної безпеки. Технології, успішно використовувалися в силових відомствах, були згодом поставлені на службу як приватному бізнесу, так і домашньому користувачеві.


В процесі еволюції технологій і систем захисту інформації виникла необхідність уніфікувати вимоги до їх створення та забезпечити деяку стандартизацію. Одним з найважливіших підсумків цієї роботи став міжнародний стандарт ISO / IEC 15408, так звані «Загальні критерії», який отримав визнання в багатьох країнах світу, включаючи наших сусідів. Україна вибрала власний шлях, розробивши серію нормативних документів системи технічного захисту інформації, ключовим в яких є НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації комп'ютерних систем від несанкціонованого доступу» і ґрунтується на «Канадських критеріях захищеності» 1993 року. Цей документ використовується при проектуванні та створенні комплексних систем захисту інформації державних інформаційних ресурсів, а також систем, в яких обробляється інформація з обмеженим доступом, вимога щодо захисту якої визначено законом. Визначення комплексної системи захисту інформації (КСЗІ) як взаємопов'язаної сукупності організаційних та інженерно-технічних заходів, засобів і методів захисту інформації наводиться в Законі України «Про захист інформації в інформаційно-телекомунікаційних системах».


Паралельно з критеріями захищеності, що оперують в якості мети оцінки сукупністю програмно-апаратних засобів, розвивався напрямок стандартизації в частині менеджменту інформаційної безпеки, результатом чого стало утвердження міжнародного стандарту ISO / IEC 27001. Впровадження системи управління інформаційною безпекою (СУІБ) відповідно до цього стандарту дозволяє правильно організувати процес захисту інформаційних ресурсів і управління ризиками для цих ресурсів. Для перевірки якості організації процесу менеджменту інформаційної безпеки було запроваджено інститут сертифікації відповідно до стандарту ISO / IEC 27001. Сертифікат видається партнерами Британського Інституту Стандартів і має міжнародний статус.


У нашій країні тільки перша версія ISO / IEC 27001 отримала статус державного стандарту. Питання його практичного застосування залишається актуальним. Поки ж стандарт де-факто, нехай і з деякими галузевими особливості, є обов'язковим в банківській сфері - у вигляді вимог СОУ Н НБУ 65.1 СУІБ 1.0: 2010.


Отже, на цей момент в Україні одночасно існують дві парадигми систем захисту: КСЗІ і СУІБ в банківській сфері. Етапи створення першої визначені в НД ТЗІ 3.7-003-05 «Порядок проведення робіт по створенню комплексної системи захисту інформації в інформаційно-телекомунікаційній системі". Замовник своїми силами або із залученням підрядників розробляє технічне завдання на КСЗІ, погоджує його з Державною службою спеціального зв'язку та захисту інформації України (Держспецзв'язку), а потім, на підставі нього проектує, впроваджує КСЗІ за допомогою сукупності організаційних заходів, програмно-апаратних та інженерних засобів і вводить в дослідну експлуатацію. Далі, на підставі отриманої заявки Держспецзв'язку визначає компанію-ліцензіата, яка виступає організатором державної експертизи КСЗІ. Організатор експертизи, володіє штатом кваліфікованих експертів, розробляє програму та методику експертних випробувань, проводить їх і представляє результати своєї роботи у вигляді проекту експертного висновку на розгляд експертної ради з питань технічного захисту інформації Держспецзв'язку. У разі позитивного рішення КСЗІ отримує атестат відповідності вимогам системи технічного захисту інформації.


Така практика діє в країні з початку 2000-х років і зазнала лише незначних змін. На жаль, Загальні Критерії в нашій країні поки не гармонізовані, а критерії захищеності 1999 року багато фахівців вважають застарілими, адже технології побудови інформаційно-телекомунікаційних систем за цей час пішли далеко вперед. В існуючій системі створення КСЗІ можна знайти і ряд інших недоліків. Так, дійсно, для систем з різною архітектурою, різними вимогами щодо забезпечення безпеки, що грунтуються, в тому числі, і на різних категоріях доступу до інформації, існують стандартні функціональні профілі захищеності, тобто деякі фіксовані набори послуг безпеки. У той же час, розробник КСЗІ при формуванні технічного завдання самостійно визначає об'єкти захисту, на які ці послуги поширюються. Експерти з Держспецзв'язку в процесі узгодження технічного завдання перевіряють специфікації послуг, однак часто буває важко визначити адекватність висунутих вимог реально функціонуючої інформаційно-телекомунікаційній системі.


Наступний етап контролю адекватності та повноти дій по створенню КСЗІ - експертиза. Втім, зазвичай організатор експертизи лише перевіряє якість реалізації заявлених послуг безпеки і комплектність документації на КСЗІ, які не вдаючись детально в технології обробки інформації. У кращих випадках експерти ще аналізують конфігурації програмно-апаратних засобів захисту, хоча для цього потрібні додаткові навички. Проте, практично ніколи експертами якість впровадженої КСЗІ не перевіряється тестуванням на проникнення. По-перше, цього не вимагає нормативна база, а по-друге для проведення таких робіт потрібна серйозна практична підготовка. Так, кваліфікованих пентестеров в комерційному сегменті досить, проте серед експертів в частині КСЗІ їх можна перелічити на пальцях однієї руки. Те ж стосується і самих розробників КСЗІ: організацій, одночасно володіють нормативно-правовою базою в сфері технічного захисту і кваліфікаціями в області захисту операційних систем, мереж передачі даних, систем віртуалізації і т.д. в Україні дві або від сили три. Як правило, вони є розробниками найбільших і найскладніших КСЗІ в розподілених інформаційно-телекомунікаційних системах. Серйозні обмеження на технічну складову в КСЗІ в органах державної влади також накладає недостатнє бюджетне фінансування закупівель відповідних програмно-апаратних засобів захисту. У разом, часто захист державних інформаційних ресурсів зводиться до так званої «паперової безпеки», коли КСЗІ начебто і побудована за всіма правилами, проте не в змозі ефективно протистояти сукупності сучасних загроз. Щось подібне ми спостерігали під час атаки на веб-сайти держорганів, пов'язаної з блокуванням порталу ex.ua в 2012 році. Тоді багато сайтів були або зламані, або піддалися масованим DDoS-атакам. Характерно, що при цьому не встояли і ті веб-ресурси, в яких були створені КСЗІ.


У подібних ситуацій є ще одна вагома причина. Розробник може спроектувати і побудувати ідеальну КСЗІ, експерт - якісно перевірити її адекватність, однак за експлуатацію її надалі відповідає замовник. Не буде ні для кого секретом, що кваліфіковані технічні фахівці в органах державної влади присутні далеко не завжди - зарплати невисокі, та й штатний розклад іноді не дозволяє взяти на роботу додаткових співробітників навіть в обов'язкову згідно із законодавством Службу захисту інформації. Очевидно, що в умовах некваліфікованої експлуатації навіть найкраща система захисту з часом втрачає актуальність. Щоб цього не сталося, інспекція Держспецзв'язку періодично здійснює контроль за станом захищеності державних інформаційних ресурсів, однак при цьому також не передбачаються будь-які інструментальні перевірки. Ініціативи в цьому напрямку команди реагування на комп'ютерні інциденти CERT-UA, що має такі повноваження, навряд чи можуть в відчутне час покрити весь масштаб проблеми.


Які практичні кроки можна зробити для поліпшення ситуації в сфері захисту інформації?


1. В умовах сучасної інформаційної і кібервійни, яка ведеться проти нашої країни, забезпечення безпеки інформаційних систем органів влади має стати державним завданням. Особливу увагу необхідно приділити захисту критичних інфраструктур, а також централізованих баз даних, зокрема, соціальних фондів та різних державних реєстрів. Незважаючи на всі поточні складнощі, завдання захисту державних інформаційних ресурсів не повинні фінансуватися за залишковим принципом.


2. Існуюча нормативна база, яка крім іншого не містить вимог до розробки політики безпеки та оцінки ризиків, повинна бути істотно допрацьована. Один шлях - гармонізація стандартів ISO / IEC 27001 та ISO / IEC 15408, що дасть можливість і великим комерційним структурам легально брати участь у державній або приватній сертифікації своїх систем захисту інформації. Інший шлях - вироблення власних якісно нових стандартів безпеки для органів державної влади та критичних інфраструктур. При цьому доцільно розглянути варіант розробки деяких полегшених вимог, які можна було б використовувати в сегменті малого і середнього бізнесу для забезпечення захисту, наприклад, персональних даних. Окремим пунктом, але знаходяться за межами розгляду даної статті, варто можливість легального використання міжнародних стандартів криптографічного захисту інформації.


3. Необхідно доповнити процес державної експертизи в сфері технічного захисту інформації тестуванням захищаються систем на проникнення. Це дозволить сформувати інститут експертів, що володіють широким спектром кваліфікацій, і залучити кращих фахівців галузі для підвищення інформаційної безпеки країни.


Кожна держава для захисту критичних інформаційних ресурсів має свій «аналог» КСЗІ, десь більше, десь менше формалізований. Для підвищення ефективності такої роботи в Україні доцільно переглянути реєстр інформаційно-телекомунікаційних систем, виділити з них найбільш важливі і сконцентрувати зусилля саме там. Зміна нормативно-правової бази в сфері захисту інформації - це виклик часу, однак лише в такому разі на питання «бути чи не бути КСЗІ», нехай і в трансформованому вигляді, можна буде дати позитивну відповідь.


Віктор Жора, експерт в сфері інформаційної безпеки