Защита государственных секретов всегда была важной составляющей обороноспособности страны. С началом внедрения в различных, в первую очередь, силовых, ведомствах информационных систем возникла потребность обеспечить разграничение доступа к ресурсам этих систем по аналогии с бумажными носителями. Так, в 1970 году в США появилась первая теоретическая модель разграничения доступа ADEPT-50, а в 1985 году Министерство обороны США выпустило первые критерии оценки защищенности компьютерных систем, так называемую «Оранжевую книгу». Эти критерии, по сути, основывались на обобщенном опыте построения систем защиты информации в государственных структурах. Таким образом, именно госсектор стал локомотивом развития мирового рынка информационной безопасности. Технологии, успешно использовавшиеся в силовых ведомствах, были впоследствии поставлены на службу как частному бизнесу, так и домашнему пользователю.
В процессе эволюции технологий и систем защиты информации возникла необходимость унифицировать требования к их созданию и обеспечить некоторую стандартизацию. Одним из важнейших итогов этой работы стал международный стандарт ISO/IEC 15408, так называемые «Общие критерии», получивший признание во многих странах мира, включая наших соседей. Украина выбрала собственный путь, разработав серию нормативных документов системы технической защиты информации, ключевым в которых является НД ТЗИ 2.5-004-99 «Критерии оценки защищенности информации в компьютерных систем от несанкционированного доступа» и основывается на «Канадских критериях защищенности» 1993 года. Этот документ используется при проектировании и создании комплексных систем защиты информации государственных информационных ресурсов, а также систем, в которых обрабатывается информация с ограниченным доступом, требование по защите которой определено законом. Определение комплексной системы защиты информации (КСЗИ) как взаимосвязанной совокупности организационных и инженерно-технических мероприятий, средств и методов защиты информации приводится в Законе Украины «О защите информации в информационно-телекоммуникационных системах».
Параллельно с критериями защищенности, оперирующими в качестве цели оценки совокупностью программно-аппаратных средств, развивалось направление стандартизации в части менеджмента информационной безопасности, результатом чего стало утверждение международного стандарта ISO/IEC 27001. Внедрение системы управления информационной безопасностью (СУИБ) согласно этому стандарту позволяет правильно организовать процесс защиты информационных ресурсов и управления рисками для этих ресурсов. Для проверки качества организации процесса менеджмента информационной безопасности был внедрен институт сертификации согласно стандарту ISO/IEC 27001. Сертификат выдается партнерами Британского Института Стандартов и имеет международный статус.
В нашей стране только первая версия ISO/IEC 27001 получила статус государственного стандарта. Вопрос его практической применимости остается актуальным. Пока же стандарт де-факто, пусть и с некоторыми отраслевыми особенности, является обязательным в банковской сфере – в виде требований СОУ Н НБУ 65.1 СУІБ 1.0:2010
Итак, на этот момент в Украине одновременно существуют две парадигмы систем защиты: КСЗИ и СУИБ в банковской сфере. Этапы создания первой определены в НД ТЗІ 3.7-003-05 «Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе». Заказчик своими силами или с привлечением подрядчиков разрабатывает техническое задание на КСЗИ, согласовывает его с Государственной службой специальной связи и защиты информации Украины (Госспецсвязь), а затем, на основании него проектирует, внедряет КСЗИ с помощью совокупности организационных мероприятий, программно-аппаратных и инженерных средств и вводит в опытную эксплуатацию. Далее, на основании полученной заявки Госспецсвязь определяет компанию-лицензиата, которая выступает организатором государственной экспертизы КСЗИ. Организатор экспертизы, обладающий штатом квалифицированных экспертов, разрабатывает программу и методику экспертных испытаний, проводит их и представляет результаты своей работы в виде проекта экспертного заключение на рассмотрение экспертного совета по вопросам технической защиты информации Госспецсвязи. В случае положительного решения КСЗИ получает аттестат соответствия требованиям системы технической защиты информации.
Такая практика действует в стране с начала 2000-х годов и претерпела лишь незначительные изменения. К сожалению, Общие Критерии в нашей стране пока не гармонизированы, а критерии защищенности 1999-года многие специалисты считают устаревшими, ведь технологии построения информационно-телекоммуникационных систем за это время ушли далеко вперед. В существующей системе создания КСЗИ можно найти и ряд других недостатков. Да, действительно, для систем с различной архитектурой, различными требованиями по обеспечению безопасности, основывающихся, в том числе, и на различных категориях доступа к информации, существуют стандартные функциональные профили защищенности, т.е. некоторые фиксированные наборы услуг безопасности. В то же время, разработчик КСЗИ при формировании технического задания самостоятельно определяет объекты защиты, на которые эти услуги распространяются. Эксперты из Госспецсвязи в процессе согласования технического задания проверяют спецификации услуг, однако зачастую бывает трудно определить адекватность выдвигаемых требований реально функционирующей информационно-телекоммуникационной системе.
Следующий этап контроля адекватности и полноты действий по созданию КСЗИ – экспертиза. Впрочем, обычно организатор экспертизы лишь проверяет качество реализации заявленных услуг безопасности и комплектность документации на КСЗИ, не вдаваясь детально в технологии обработки информации. В лучших случаях эксперты еще анализируют конфигурации программно-аппаратных средств защиты, хотя для этого нужны дополнительные навыки. Тем не менее, практически никогда экспертами качество внедренной КСЗИ не проверяется тестированием на проникновение. Во-первых, этого не требует нормативная база, а во-вторых для проведения таких работ нужна серьезная практическая подготовка. Да, квалифицированных пентестеров в коммерческом сегменте достаточно, однако среди экспертов в части КСЗИ их можно пересчитать по пальцам одной руки. То же касается и самих разработчиков КСЗИ: организаций, одновременно владеющих нормативно-правовой базой в сфере технической защиты и квалификациями в области защиты операционных систем, сетей передачи данных, систем виртуализации и т.д. в Украине две или от силы три. Как правило, они являются разработчиками крупнейших и сложнейших КСЗИ в распределенных информационно-телекоммуникационных системах. Серьезные ограничения на техническую составляющую в КСЗИ в органах государственной власти также накладывает недостаточное бюджетное финансирование закупок соответствующих программно-аппаратных средств защиты. В итого, зачастую защита государственных информационных ресурсов сводится к так называемой «бумажной безопасности», когда КСЗИ вроде бы и построена по всем правилам, однако не в состоянии эффективно противостоять совокупности современных угроз. Нечто подобное мы наблюдали во время атаки на веб-сайты госорганов, связанной с блокировкой портала ex.ua в 2012 году. Тогда многие сайты были либо взломаны, либо подверглись массированным DDoS-атакам. Характерно, что при этом не устояли и те веб-ресурсы, в которых были созданы КСЗИ.
У подобных ситуаций есть еще одна веская причина. Разработчик может спроектировать и построить идеальную КСЗИ, эксперт – качественно проверить ее адекватность, однако за эксплуатацию ее в дальнейшем отвечает заказчик. Не будет ни для кого секретом, что квалифицированные технические специалисты в органах государственной власти присутствуют далеко не всегда – зарплаты невысокие, да и штатное расписание иногда не позволяет взять на работу дополнительных сотрудников даже в обязательную согласно законодательству Службу защиты информации. Очевидно, что в условиях неквалифицированной эксплуатации даже самая лучшая система защиты со временем теряет актуальность. Чтобы этого не произошло, инспекция Госспецсвязи периодически осуществляет контроль за состоянием защищенности государственных информационных ресурсов, однако при этом также не предусматриваются какие-либо инструментальные проверки. Инициативы в этом направлении команды реагирования на компьютерные инциденты CERT-UA, имеющей такие полномочия, вряд ли могут в осязаемое время покрыть весь масштаб проблемы.
Какие практические шаги можно предпринять для улучшения ситуации в сфере защиты информации?
1. В условиях современной информационной и кибервойны, которая ведется против нашей страны, обеспечение безопасности информационных систем органов власти должно стать государственной задачей. Особое внимание необходимо уделить защите критических инфраструктур, а также централизованных баз данных, в частности, социальных фондов и различных государственных реестров. Несмотря на все текущие сложности, задачи защиты государственных информационных ресурсов не должны финансироваться по остаточному принципу.
2. Существующая нормативная база, которая помимо прочего не содержит требований к разработке политики безопасности и оценке рисков, должна быть существенно доработана. Один путь – гармонизация стандартов ISO/IEC 27001 и ISO/IEC 15408, что даст возможность и крупным коммерческим структурам легально участвовать в государственной либо частной сертификации своих систем защиты информации. Другой путь – выработка собственных качественно новых стандартов безопасности для органов государственной власти и критических инфраструктур. При этом целесообразно рассмотреть вариант разработки некоторых облегченных требований, которые можно было бы использовать в сегменте малого и среднего бизнеса для обеспечения защиты, например, персональных данных. Отдельным пунктом, но находящимся за пределами рассмотрения данной статьи, стоит возможность легального использования международных стандартов криптографической защиты информации.
3. Необходимо дополнить процесс государственной экспертизы в сфере технической защиты информации тестированием защищаемых систем на проникновение. Это позволит сформировать институт экспертов, обладающих широким спектром квалификаций, и привлечь лучших специалистов отрасли для повышения информационной безопасности страны.
Каждое государство для защиты критических информационных ресурсов имеет свой «аналог» КСЗИ, где-то более, где-то менее формализованный. Для повышения эффективности такой работы в Украине целесообразно пересмотреть реестр информационно-телекоммуникационных систем, выделить из них наиболее важные и сконцентрировать усилия именно там. Изменение нормативно-правовой базы в сфере защиты информации – это вызов времени, однако лишь в таком случае на вопрос «быть или не быть КСЗИ», пусть и в трансформированном виде, можно будет дать положительный ответ.