Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

К безопасному информационному обществу

В. В. Гуров

Дискуссия за “круглым столом”, организованная журналом “Сети и системы связи” и состоявшаяся 10 сентября с. г. в ходе выставки “ИнфоКом—2003”, была посвящена обсуждению актуальных проблем безопасности инфокоммуникаций.

От индустриального общества информационное отличается тем, что основным объектом деятельности подавляющего большинства его членов становится информация, а в роли орудия труда выступают информационные технологии (ИТ). Экономическое развитие такого общества будет целиком определяться результатами интеллектуальной деятельности, которая заключается в производстве новой информации и использовании новых знаний. По мнению первого заместителя секретаря Совета безопасности РФ В. П. Шерстюка, вхождение России в информационное сообщество представляет собой одно из условий ее экономического процветания и духовного развития, сохранения стратегической стабильности в мире. Вместе с тем, как отметил В. П. Шерстюк, существует ряд угроз безопасности, затрагивающих интересы как отдельной личности, так и общества в целом.

Первое касается гарантии прав и свобод человека на доступ к открытой информации и ее использование для осуществления не запрещенной законом деятельности, а также защиты информации, обеспечивающей его личную безопасность, духовное и интеллектуальное развитие. Наиболее серьезной угрозой здесь являются возможность манипулирования сознанием человека посредством дезинформации и негативное влияние информационных перегрузок на его психику. Другая опасность — несанкционированное использование персональных данных, информации, составляющей личную и семейную тайну, сведений о частной жизни.

Второе связано с возможностью применения ИТ с целью нарушения социальной стабильности. Источниками угроз интересам общества становятся, с одной стороны, непрерывное усложнение инфокоммуникаций, обеспечивающих его жизнедеятельность, с другой — повышение доступности ИТ, предоставляющих заинтересованным субъектам возможность вмешиваться в функционирование инфокоммуникаций.

В качестве стратегических направлений в области обеспечения безопасности информационного общества В. П. Шерстюк выделил разработку принципов защиты глобальных инфокоммуникационных систем, совершенствование и гармонизацию нормативно-правовой базы, включая механизмы обеспечения прав и свобод граждан в информационной сфере.

Что говорится в законе?

Оценивая текущую ситуацию и перспективы развития законодательства в области информационной безопасности России, первый заместитель министра РФ по связи и информатизации Б. Д. Антонюк констатировал, что с утверждением в текущем году новой редакции закона “О связи” и (годом раньше) закона “Об электронной цифровой подписи” защита информации и средств ее передачи в нашей стране получила нормальную юридическую базу.

Каковы же основные положения закона “О связи” в отношении информационной безопасности? В частности, в нем закреплена юридическая ответственность оператора за обеспечение безопасности линии связи. В целях гарантирования целостности единой сети электросвязи РФ, устойчивости ее функционирования и безопасности статья 41 этого закона требует, чтобы используемые на сети средства связи обязательно соответствовали установленным требованиям. Что же касается персональной информации, то в статье 53 закона сведения об абонентах и оказываемых им услугах связи относятся к разряду конфиденциальной информации, подлежащей защите в соответствии с действующим законодательством РФ. Согласно же статье 63, оператор обязан обеспечивать соблюдение тайны связи. С сожалением замечу, что в статье 68, где сформулированы меры ответственности за нарушение законодательства РФ в области связи, по понятным причинам пока не нашли отражения такие нарушения, как искажение содержимого сообщений электронной почты, SMS и т. п., — в отличие, например, от искажения текста телеграфных сообщений.

Назвав закон “О связи” законом прямого действия, Б. Д. Антонюк подчеркнул, что, поскольку технологии меняются довольно быстро и в законе абсолютно все предусмотреть невозможно, Минсвязи готовит ряд нормативных документов, которые будут приниматься на уровне Правительства РФ, в том числе документ, регулирующий вопросы информационной безопасности сетей связи общего пользования. В начале декабря 2003 г. министерство планирует провести расширенное совещание с целью учета пожеланий и замечаний в отношении этого документа со стороны всех участников рынка.

Общие методы и критерии

Касаясь некоторых аспектов защиты информации ограниченного доступа, начальник управления Гостехкомиссии России Ю. Н. Лаврухин сообщил о завершении разработки нормативно-правовых актов, уточняющих состав, структуру и функции государственной системы защиты информации. Проанализировано было текущее состояние дел в субъектах РФ и проведены мероприятия по исполнению относящихся к сфере информационной безопасности законов, указов и постановлений. Кроме того, формируются региональные системы защиты информации. Во всех федеральных округах созданы коллегиальные координирующие органы по проблемам защиты информации при Полномочном представителе Президента в соответствующем округе. Ю. Н. Лаврухин отметил также устойчивую тенденцию к увеличению объема финансирования работ по технической защите информации, которая наблюдается практически во всех регионах.

Вхождение России в мировое информационное сообщество предполагает признание ею выработанных им критериев оценки безопасности информационных технологий. Межведомственная комиссия (МВК) по информационной безопасности при Совете безопасности РФ два года назад решила адаптировать применительно к России методологию стандарта ISO/IEC 15408, известного также под названием Common Criteria, (см. статью М. Фратто “Сертификация средств безопасности” в этом номере журнала). В связи с этим Гостехкомиссии России было поручено провести апробацию соответствующих нормативных документов. На сегодняшний день разработаны порядка 15 документов, в том числе ГОСТ Р ИСО/МЭК 15408 “Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий” (в трех частях). В настоящее время на соответствие ему, в частности, оценивается ОС Microsoft Windows Server 2003 Enterprise Edition. После обсуждения результатов апробации на МВК, как ожидает Ю. Н. Лаврухин, будет определен дальнейший порядок действий в этой области.

Криптография и удостоверяющие центры

Упомянутый выше закон “Об электронной цифровой подписи” направлен на достижение гарантии целостности и аутентичности электронных образов документов, циркулирующих в системах электронного документооборота, на создание единой системы юридически значимой электронной идентификации объектов и субъектов информационного взаимодействия, на обеспечение его безопасности и разграничение доступа к конфиденциальной информации, а также на создание единой системы управления ключами ЭЦП. По мнению начальника управления ФСБ России А. П. Баранова, все перечисленные задачи глубоко взаимосвязаны и для решения их необходим комплексный подход.

Инфраструктура удостоверяющего центра (УЦ) служит основой использования электронной цифровой подписи для подтверждения целостности, неизменности и аутентичности обрабатываемой информации. Благодаря ей ЭЦП в электронном документе становится эквивалентом собственноручной подписи под документом на бумажном носителе, поэтому поддержка информационных ресурсов УЦ — это один из ключевых аспектов функционирования юридически значимого электронного документооборота.

Важнейшим условием обеспечения информационной безопасности УЦ является выполнение требований относительно уровня защиты, которые определяются как статусом обрабатываемой информации, так и возможностями потенциального нарушителя. Несоответствие требуемому уровню защиты может привести к возможности подделки нарушителем ЭЦП в электронном документе. Если такая возможность в системе электронного документооборота существует, то нет смысла говорить о юридической значимости электронного документа.

Информационная безопасность УЦ достигается как применением технических средств, обеспечивающих необходимый уровень защиты, так и принятием и соблюдением организационных мер, которые зависят от условий эксплуатации и должны быть сформулированы в соответствующих правилах. Удостоверяющий центр — это единая электронная телекоммуникационная система, которая защищена криптографическими средствами и в которой реализуются криптографические протоколы. Последние функционируют не изолированно, а в некотором окружении, влияющем на корректность их работы. Наличие программных закладок в ОС, под управлением которой работают криптосредства, может привести к нарушению их функционирования, перехвату конфиденциальной информации, выдаче секретного ключа ЭЦП и т. д. Поэтому, считает А. Н. Баранов, оценивая информационную безопасность УЦ, его следует рассматривать как единую систему.

Создание и развитие инфраструктуры УЦ должны осуществляться с использованием прошедших сертификацию программно-аппаратных комплексов, где применяются криптографические алгоритмы, определенные в соответствующих государственных стандартах. В настоящее время некоторыми отечественными компаниями, в частности ОАО “Инфотекс” и ЗАО “Удостоверяющий центр”, уже предлагаются решения, позволяющие реализовать защищенную инфраструктуру УЦ, основанную на сертифицированных продуктах.

Особое мнение

Когда сообщение становится документом? Только после того, как его подпишут? Вряд ли. Прочитав, например, компрометирующую герцога Бэкингема и королеву Франции бумагу, подсунутую Рошфором Констанции Бонасье, которую бедняжка подписала не глядя, приняв ее за прошение о помиловании, сам кардинал Ришелье назвал сей “документ” фальшивкой, хотя наверняка знал, что изложенные в ней факты имели место. Когда же, чтобы оправдать казнь миледи, мушкетеры предъявили кардиналу собственноручно написанное им охранное свидетельство, выражать сомнения по поводу его “юридической значимости” было бессмысленно.

Особое мнение относительно соотношения понятий “электронная цифровая подпись” и “юридически значимый электронный документооборот” было высказано директором ВНИИПВТИ В. А. Конявским. По его словам, до последнего времени проблема технической защиты информации сводилась к защите компьютеров, баз данных и сетей. Безусловно, все три названных компонента участвуют в процессе формирования электронного документа. Четвертым компонентом, по мнению В. А. Конявского, является информационная технология, которая также должна быть защищена. Директор ВНИИПВТИ полагает, что вопросы защиты ИТ и формируемых с их помощью электронных документов на сегодня изучены недостаточно, и этим, в частности, он объясняет неуспех большинства проектов по созданию системы электронного документооборота.

Получая купюры в Сбербанке, мы, как правило, не проверяем их подлинность, а, наскоро пересчитав, засовываем в карман. Кассир же, напротив, взяв у нас тысячерублевую банкноту непременно проверит ее, независимо от того, стоит на ней подпись председателя Центробанка или нет. Все это говорит о том, что доверие к документу порождает не стоящая на нем подпись как таковая, а технология его изготовления и движения. Только доверяя технологии мы можем доверять созданному с ее помощью документу.

Следовательно, чтобы защищать документ, в первую очередь нужно обеспечить стабильность свойств информационной технологии. При этом важно не столько защитить компьютеры и ОС, сколько обеспечить целостность технологического процесса, т. е. чтобы он не нарушался. В то же время В. А. Конявский считает, что на сегодня нет четкого определения информационной технологии, которая, с его точки зрения, является не просто совокупностью методов и средств обработки, хранения и передачи информации, а некоей их последовательностью. Сообщение в электронной форме, снабженное ЭЦП, само по себе еще не будет электронным документом. Оно становится таковым только в том случае, когда ЭЦП на документе позволит полностью доверять технологии его изготовления..





  
12 '2003
СОДЕРЖАНИЕ

электронная Россия

• Проблемы информатизации в ДФО

бизнес

• Заметки аудитора: как в России обслуживают пользователей?

• Новые перспективы развития рынка услуг спутниковой связи

• Пляжная форма обучения для дистрибуторов

инфраструктура

• Рекомендации по поддержке пользователей на дому

• Как организовать долговременное хранение данных

• Принципы выбора IP-УАТС

• Centrex в стиле IP

• Точное время в вашей сети

• Тестируем соединители MAPI для Microsoft Outlook

информационные системы

• «Повзрослевшие» системы обмена сообщениями

сети связи

• Поколение Next, или Метро-Ethernet в столице

• Видео по протоколу

• Конвергенция становится беспроводной

• IP-телефония. Кризис позади

кабельные системы

• Средства сращивания оптических волокон

• Тест не пройден. Что делать дальше?

• Как улучшить охлаждение серверов, сократив при этом затраты на их охлаждение

защита данных

• Сертификация средств безопасности

• К безопасному информационному обществу

новые продукты

• Система абонентского доступа IPTL компании Terayon


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх