В рубрику "Концепции безопасности" | К списку рубрик | К списку авторов | К списку публикаций
А.П. Каландин, генерал-лейтенант в отставке
(1993—1999 гг. — заместитель председателя Гостехкомиссии России;
1999 — 2004 гг. — советник председателя Гостехкомиссии России)
Необходимые уточнения законодательства
Безусловно, многие прекрасно понимают, что в рамках единого экономического пространства будет циркулировать информация, отнесенная как к государственной тайне (государственным секретам), так и носящая конфиденциальный характер, и эту информацию необходимо защищать путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения, по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется государством (его правительством).
Что касается защиты государственной тайны, то известно, что в каждом государстве принят соответствующий закон, который регламентирует деятельность по ее сохранению, правда, решение общих экономических вопросов повлечет уточнение таких категорий, как "межгосударственная тайна" или "межгосударственные секреты", обращение с которыми потребует некоторого юридического уточнения и, прежде всего, меры ответственности за их разглашение.
При заинтересованности всех сторон такие уточнения в законодательстве государств-участников соглашения о сотрудничестве в области защиты информации могли бы быть разработаны создаваемой совместной рабочей группой и узаконены установленным порядком.
Уроки прошлого
Принятые в Минске 22 января 1993 г. и подписанные десятью государствами СНГ «Соглашения о взаимном обеспечении сохранности межгосударственных секретов» и «Общие принципы обеспечения режима секретности при осуществлении политического, экономического, научно-технического и военного сотрудничества между государствами-участниками «Соглашения о взаимном обеспечении сохранности межгосударственных секретов» могли бы стать основой для разработки четырехстороннего соглашения.
Как известно, правительством России подписаны двухсторонние соглашения о сотрудничестве в области защиты информации с правительством Казахстана в 1995 г., с правительством Украины в 1996 году и правительством Белоруссии в 1997 г.
Данные соглашения предусматривают сотрудничество Сторон в следующих областях:
Понятно, что изложенные почти десять лет назад направления сотрудничества являются актуальными и сейчас и требуется их конкретная практическая реализация.
Пути к сотрудничеству
К сожалению, сегодня можно констатировать, что практически все направления сотрудничества, кроме проведения совместных конференций и выставок в области технической защиты информации, просто продекларированы.
Что же можно сделать, чтобы эти соглашения заработали?
Прежде всего, необходимо провести серию двухсторонних, трехсторонних и четырехсторонних консультаций между участниками Сторон единого экономического пространства, для чего надо создать рабочие группы из представителей государственных органов защиты информации. Например, в России это могли бы быть представители МИД, ФСТЭК, ФСБ и Федерального агентства по информационным технологиям. По результатам этих встреч могло бы быть подготовлено положение о межгосударственной системе защиты информации, в котором необходимо отразить следующее:
Подготовленное положение могло бы быть принято и введено в действие четырехсторонним межправительственным соглашением Сторон.
Поскольку вышеназванные соглашения предусматривают сотрудничество Сторон в вопросах создания, развития и гармонизации национальных систем стандартизации, лицензирования, сертификации и страхования в области защиты информации, осуществления обмена информацией в этой области, то возникает вопрос, какой же нормативной базой пользоваться при реализации данного направления сотрудничества.
Нормативная база: сделать выбор
Вариантов здесь может быть два: первый — разработать новую, приемлемую всеми нормативно-методическую базу (ясно, что процесс этот может длиться очень долго); второй — принять во временное руководство всеми Сторонами существующую нормативно-методическую базу одного из государств или ее комбинированное представление. Тогда при решении вопросов межгосударственного лицензирования и сертификации можно было бы руководствоваться едиными для всех требованиями и методиками.
Кстати, такой опыт межгосударственного регулирования в вопросах лицензирования и сертификации в мире уже существует.
В 1990 г. под эгидой Международной организации по стандартизации (ИСО) и при содействии государственных организаций Великобритании, Германии, Голландии, Канады, США и Франции были развернуты работы по созданию международного стандарта в области оценки безопасности информационных технологий (ИТ), который больше известен под названием "Общие критерии". К маю 2000 г. к "Общим критериям" присоединилось уже 14 государств (Австралия, Великобритания, Германия, Греция, Испания, Италия, Канада, Нидерланды, Новая Зеландия, Норвегия, США, Финляндия, Франция, Швеция), а с 2001 по 2005 гг. к ним присоединилось еще 7 государств (Австрия, Венгрия, Израиль, Сингапур, Турция, Чехия и Япония), итого на сегодняшний день 21 государство мира для использования в системах обработки информации, относящейся к национальной безопасности, отдает предпочтение продуктам информационных технологий, надлежащим образом оцененным в соответствии с "Общими критериями".
Используя мировой опыт, мы бы могли в каждом государстве определить один орган по сертификации средств защиты информации и продуктов информационных технологий, который бы создал по 1-2 испытательные лаборатории, которые, руководствуясь единой нормативной базой, проводили бы сертификационные испытания. По результатам этих испытаний выданный сертификат признавался бы в рамках единого экономического пространства.
Этот орган сертификации должен иметь лицензию, выданную правительством государства, на осуществление международной сертификационной деятельности. На мой взгляд, таким органом в России могла бы стать Федеральная служба по техническому и экспортному контролю, в Белоруссии — государственный центр безопасности информации при Президенте Белоруссии, в Казахстане — отдел защиты государственной тайны канцелярии премьер-министра.
Что сделано в России
В апреле 2002 г. Госстандартом России принят ГОСТ Р ИСО/МЭК 15408-2002, разработанный по заказу Гостехко-миссии России Центром безопасности информации, 4-м ЦНИИ Минобороны РФ, Центром "Атомзащитаинформ" и ЦНИИатоминформ Минатома России, ВНИИстандартом при активном участии экспертов международной рабочей группы по "Общим критериям".
Был рассмотрен и одобрен Руководящий документ (РД) Гостехкомиссии России "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий", соответствующий указанному ГОСТу, а также План разработки и апробации нормативных документов на основе методологии принятого ГОСТа.
Разработаны Комментарии к российскому стандарту, предназначенные для лучшего понимания российскими специалистами назначения, основных концептуальных положений, методологии и терминологии "Общих критериев", а также для пояснения расхождений в терминологии стандарта с принятой в России терминологией и действующими нормативными документами.
Подготовлен проект РД "Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий".
По заказу Гостехкомиссии (ФСТЭК) России также подготовлены РД:
В заключение хочется сказать, что реализация изложенной методологии позволила бы не только сблизить позиции наших государств в решении вопросов обеспечения информационной безопасности в едином экономическом пространстве, но и гармонизировать наши стандарты с международными. Россия такой шаг уже сделала. Приглашаем всех к сотрудничеству в области обеспечения информационной безопасности.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2005