Безопасность систем связи в современных ведомственных сетях

Александр Андреечкин
Генеральный директор РКСС

Об актуальности вопроса

Любая система связи сложной инфраструктуры имеет свои пространственно-временные, технические и технологические характеристики. Категория безопасности выступает в виде одного из комплексных показателей состояния этой системы, основные составляющие которой формируются в единстве мер экономического, политического, организационного и иного характера и должны быть адекватны угрозам для личности, жизненно важных интересов общества и государства в повседневной деятельности и при чрезвычайных ситуациях, вызванных природными, техногенными и антропогенными факторами.

Основные технические особенности построения современных систем связи ВС и обеспечения безопасности в системе воздействия угроз

Несмотря на различие категорий и структуры КВО, существует ряд общих факторов, определяющих состояние безопасности ВС КВО:

• информационная инфраструктура КВО объединяет распределенные автоматизированные системы;
• обработка информации, предназначенной для автоматизации управления технологическими процессами (ТП), ведется в реальном времени;
• в ВС циркулируют различные категории обрабатываемой информации;
• постоянно модифицируются угрозы, связанные с незащищенным выходом в сети общего пользования (СОП), в том числе в сети международного обмена.

По существу, техническая особенность функционирования современных ВС и систем связи предполагает необходимость организации доверенного переноса внутрикорпоративной информации в сети и системы межведомственного и международного обмена и наоборот – из сети Интернет в корпоративные информационно-телекоммуникационные системы (ИТКС).

Проблемы доверия при обеспечении безопасности систем связи ВС. Технические и правовые гарантии

Подавляющее большинство угроз связано с существенными недостатками архитектуры ИТКС, уязвимостями ПО, недостаточностью мер аутентификации, а также отсутствием надлежащей проверки программно-аппаратных средств и средств разработки, то есть – в соответствии с актуализированной в настоящее время терминологией (ГОСТ Р ИСО/МЭК 154083) – с применением недоверенных решений. Интересен тот факт, что большинство проводимых работ и организационных мероприятий западных стран сосредоточены вокруг защиты информации в сетях беспроводной передачи данных и сетях международного обмена. Практически отсутствуют сведения о работах по защите собственно среды переноса трафика, так как страны – телекоммуникационные лидеры строят свои сети на оборудовании собственного производства.

Напротив, в РФ и магистральные СОП, и корпоративные сети естественных монополий построены главным образом на импортном оборудовании. Таким образом, для Российской Федерации не праздной является угроза масштабного применения в режиме "черного ящика" с удаленным доступом недоверенного зарубежного оборудования и ПО, центры технологического обслуживания которого находятся за пределами России. Помимо этого, к уязвимым местам современных ИТКС относятся хранилища и базы данных с удаленным доступом, что резко увеличивает риски несанкционированного доступа во все компоненты сетей связи. Возможность внедрения закладок в АСУ ТП иностранного производства фактически требует изоляции системы от возможного канала получения команд, которые могут внедряться обычными хакерами. Фактически реальные последствия реализации угроз в ВС КВО имеют такую же степень опасности, как и любые криминальные акции, что отмечено прежде всего в стратегии "Основных направлений государственной политики в области обеспечения безопасности АСУ производственными и технологическими процессами КВО инфраструктуры РФ" (№ 803 от 3.02.2012).

Совершенно оправдано мнение юридического сообщества – отдельные факты кибертерроризма могут быть приравнены к актам терроризма и соответственно повлечь за собой уголовную ответственность.

Вместе с тем ряд существенных требований ФСТЭК по защите от угроз КСИИ КВО носят не законодательный, а рекомендательный характер (особенно при обработке открытой информации). Хотя в соответствии с существующей практикой ответственность при решении поставленных задач возможна также только при наличии прямых законодательных уложений.

Исходя из Федерального закона "О техническом регулировании" (2003 г.) взамен ГОСТов, исполнение которых является добровольным, введены обязательные для исполнения технические регламенты со статусом технических законов. Таким образом, наиболее соответствующим шагом должна быть разработка Технического регламента в виде Федерального закона "Технический регламент информационной безопасности для КВО", в котором будут даны необходимые определения безопасности, защиты информации, информационной безопасности, кибертерроризма с целью дальнейшей кодификации в законодательстве страны; указаны критерии оценки, заданы требования к аттестации и верификации ВС, доказательная базы гарантированной защищенности (доверия) на всех этапах их жизненного цикла. Необходимость разработки такого документа связана также с комплементарностью ряда понятий безопасности – для системной защиты инфраструктуры КВО в целом должна использоваться комплексная методология безопасности.

Со своей стороны, в рамках проработки вопросов "О неотложных мерах по обеспечению информационной безопасности РФ в условиях массового использования зарубежных аппаратно-программных средств в системах автоматизированного управления", ГК "Ростехнологии" проводит работу по формированию согласованной технической политики по созданию доверенной технологической основы систем управления, мониторинга и связи для КВО РФ, систем оповещения населения, формирует технические решения, обеспечивающие разработку и кастомизацию доверенной архитектуры на всех уровнях модели ИТКС в условиях применения, соответствующих требованиям заказчика.

Основные предложения

Представляется целесообразным:

1. Актуализировать подготовку законопроектов прямого действия и руководящих документов по внесению изменений в отраслевые законы о безопасности ТЭК, транспортной безопасности и др. путем введения в них конкретных требований по информационной безопасности и требований доверия к инфраструктурным компонентам.
2. Совершенствовать правовые механизмы формирования доверенных решений систем связи ВС, использования доверенного оборудования и ПО.
3. Инициировать разработку и развитие производства собственной элементной базы, в том числе систем на кристалле.

Решение перечисленных вопросов фактически лежит в обеспечивающей основе требований Закона РФ "О безопасности" (от 24.01.93 № 2446-1), так как предусматривается, что безопасность (состояние защищенности) достигается, с одной стороны, проведением единой государственной политики, с другой – обязательной для ВС КВО реализацией комплекса мер, адекватных современным угрозам.