Информационная безопасность в рамках единого экономического пространства России, Белоруссии, Казахстана и Украины

Информационная безопасность в рамках единого экономического пространства России, Белоруссии, Казахстана и Украины

А.П. Каландин, генерал-лейтенант в отставке
(1993—1999 гг. — заместитель председателя Гостехкомиссии России;
1999 — 2004 гг. — советник председателя Гостехкомиссии России)

Необходимые уточнения законодательства

Безусловно, многие прекрасно понимают, что в рамках единого экономического пространства будет циркулировать информация, отнесенная как к государственной тайне (государственным секретам), так и носящая конфиденциальный характер, и эту информацию необходимо защищать путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения, по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется государством (его правительством).

Что касается защиты государственной тайны, то известно, что в каждом государстве принят соответствующий закон, который регламентирует деятельность по ее сохранению, правда, решение общих экономических вопросов повлечет уточнение таких категорий, как "межгосударственная тайна" или "межгосударственные секреты", обращение с которыми потребует некоторого юридического уточнения и, прежде всего, меры ответственности за их разглашение.

При заинтересованности всех сторон такие уточнения в законодательстве государств-участников соглашения о сотрудничестве в области защиты информации могли бы быть разработаны создаваемой совместной рабочей группой и узаконены установленным порядком.

Уроки прошлого

Принятые в Минске 22 января 1993 г. и подписанные десятью государствами СНГ «Соглашения о взаимном обеспечении сохранности межгосударственных секретов» и «Общие принципы обеспечения режима секретности при осуществлении политического, экономического, научно-технического и военного сотрудничества между государствами-участниками «Соглашения о взаимном обеспечении сохранности межгосударственных секретов» могли бы стать основой для разработки четырехстороннего соглашения.

Как известно, правительством России подписаны двухсторонние соглашения о сотрудничестве в области защиты информации с правительством Казахстана в 1995 г., с правительством Украины в 1996 году и правительством Белоруссии в 1997 г.

Данные соглашения предусматривают сотрудничество Сторон в следующих областях:

• разработка и использование нормативно-методических документов в сфере технической защиты информации, в том числе документов по противодействию иностранным техническим разведкам, защите от несанкционированного доступа к информации;
• подготовка, использование и повышение квалификации кадров на основе согласованных квалификационных требований к выпускникам соответствующих высших учебных заведений, специалистам по технической защите информации;
• разработка, производство, поставки научно-технической продукции и средств технической защиты информации и их использование;
• разработка правовых актов по вопросам владения, пользования и распоряжения информацией;
• оказание услуг по комплексному техническому контролю состояния защищенности от технических средств разведки объектов различного назначения, в том числе автоматизированных систем управления;
• проведение совместных научных конференций, симпозиумов, выставок по вопросам сбора, анализа, обмена информацией о состоянии, тенденциях развития и мировых достижениях в области технической защиты информации;
• развитие связей между органами защиты информации Сторон по вопросам технической защиты информации.

Понятно, что изложенные почти десять лет назад направления сотрудничества являются актуальными и сейчас и требуется их конкретная практическая реализация.

Пути к сотрудничеству

К сожалению, сегодня можно констатировать, что практически все направления сотрудничества, кроме проведения совместных конференций и выставок в области технической защиты информации, просто продекларированы.

Что же можно сделать, чтобы эти соглашения заработали?

Прежде всего, необходимо провести серию двухсторонних, трехсторонних и четырехсторонних консультаций между участниками Сторон единого экономического пространства, для чего надо создать рабочие группы из представителей государственных органов защиты информации. Например, в России это могли бы быть представители МИД, ФСТЭК, ФСБ и Федерального агентства по информационным технологиям. По результатам этих встреч могло бы быть подготовлено положение о межгосударственной системе защиты информации, в котором необходимо отразить следующее:

• общие положения, где желательно дать четкое определение межгосударственной системы защиты информации, а также необходимые термины и определения;
• основные задачи межгосударственной системы защиты информации;
• организацию работ по защите информации на предприятиях;
• организацию работ по защите информации в системах и средствах информатизации;
• организацию работ по защите информации о совместно производимых оружии и военной технике;
• подготовку и переподготовку кадров;
• межгосударственное лицензирование и сертификацию СЗИ;
• контроль состояния защиты информации;
• финансирование мероприятий по защите информации.

Подготовленное положение могло бы быть принято и введено в действие четырехсторонним межправительственным соглашением Сторон.

Поскольку вышеназванные соглашения предусматривают сотрудничество Сторон в вопросах создания, развития и гармонизации национальных систем стандартизации, лицензирования, сертификации и страхования в области защиты информации, осуществления обмена информацией в этой области, то возникает вопрос, какой же нормативной базой пользоваться при реализации данного направления сотрудничества.

Нормативная база: сделать выбор

Вариантов здесь может быть два: первый — разработать новую, приемлемую всеми нормативно-методическую базу (ясно, что процесс этот может длиться очень долго); второй — принять во временное руководство всеми Сторонами существующую нормативно-методическую базу одного из государств или ее комбинированное представление. Тогда при решении вопросов межгосударственного лицензирования и сертификации можно было бы руководствоваться едиными для всех требованиями и методиками.

Кстати, такой опыт межгосударственного регулирования в вопросах лицензирования и сертификации в мире уже существует.

В 1990 г. под эгидой Международной организации по стандартизации (ИСО) и при содействии государственных организаций Великобритании, Германии, Голландии, Канады, США и Франции были развернуты работы по созданию международного стандарта в области оценки безопасности информационных технологий (ИТ), который больше известен под названием "Общие критерии". К маю 2000 г. к "Общим критериям" присоединилось уже 14 государств (Австралия, Великобритания, Германия, Греция, Испания, Италия, Канада, Нидерланды, Новая Зеландия, Норвегия, США, Финляндия, Франция, Швеция), а с 2001 по 2005 гг. к ним присоединилось еще 7 государств (Австрия, Венгрия, Израиль, Сингапур, Турция, Чехия и Япония), итого на сегодняшний день 21 государство мира для использования в системах обработки информации, относящейся к национальной безопасности, отдает предпочтение продуктам информационных технологий, надлежащим образом оцененным в соответствии с "Общими критериями".

Используя мировой опыт, мы бы могли в каждом государстве определить один орган по сертификации средств защиты информации и продуктов информационных технологий, который бы создал по 1-2 испытательные лаборатории, которые, руководствуясь единой нормативной базой, проводили бы сертификационные испытания. По результатам этих испытаний выданный сертификат признавался бы в рамках единого экономического пространства.

Этот орган сертификации должен иметь лицензию, выданную правительством государства, на осуществление международной сертификационной деятельности. На мой взгляд, таким органом в России могла бы стать Федеральная служба по техническому и экспортному контролю, в Белоруссии — государственный центр безопасности информации при Президенте Белоруссии, в Казахстане — отдел защиты государственной тайны канцелярии премьер-министра.

Что сделано в России

В апреле 2002 г. Госстандартом России принят ГОСТ Р ИСО/МЭК 15408-2002, разработанный по заказу Гостехко-миссии России Центром безопасности информации, 4-м ЦНИИ Минобороны РФ, Центром "Атомзащитаинформ" и ЦНИИатоминформ Минатома России, ВНИИстандартом при активном участии экспертов международной рабочей группы по "Общим критериям".

Был рассмотрен и одобрен Руководящий документ (РД) Гостехкомиссии России "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий", соответствующий указанному ГОСТу, а также План разработки и апробации нормативных документов на основе методологии принятого ГОСТа.

Разработаны Комментарии к российскому стандарту, предназначенные для лучшего понимания российскими специалистами назначения, основных концептуальных положений, методологии и терминологии "Общих критериев", а также для пояснения расхождений в терминологии стандарта с принятой в России терминологией и действующими нормативными документами.

Подготовлен проект РД "Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий".

По заказу Гостехкомиссии (ФСТЭК) России также подготовлены РД:

• Руководство по разработке профилей защиты и заданий по безопасности;
• Руководство по формированию семейств профилей защиты;
• Руководство по регистрации профилей защиты;
• Базовая модель угроз безопасности информационных технологий;
• Профили защиты основных типов продуктов и систем ИТ: операционных систем, систем управления базами данных, межсетевых экранов, виртуальных частных сетей и др. На основе "Общих критериев" и "Общей методологии оценки" в России проведена сертификация 8 продуктов и систем ИТ.

В заключение хочется сказать, что реализация изложенной методологии позволила бы не только сблизить позиции наших государств в решении вопросов обеспечения информационной безопасности в едином экономическом пространстве, но и гармонизировать наши стандарты с международными. Россия такой шаг уже сделала. Приглашаем всех к сотрудничеству в области обеспечения информационной безопасности.