28-29 марта в столице под эгидой Минсвязи РФ пройдет двухдневная международная конференция по теме "Безопасность и доверие при использовании инфокоммуникационных сетей и систем".
В ней примут участие и поделятся своим опытом решения технических и правовых аспектов информационной безопасности ведущие специалисты Международного Союза Электросвязи (ITU), Европейской Комиссии, Европейского агентства сетевой и информационной безопасности (ENISA), а также представители госвласти и бизнеса, юридических и консалтинговых компаний, разработчики и системные интеграторы.
...
В целом проблема безопасности носит многоаспектный характер. Это и решение собственно технологических и технических проблем, а также юридические, правовые и этические моменты. Решить их пытаются многие международные и отечественные структуры. В частности, в России в 2005 году по инициативе Ассоциации деловой электросвязи (АДЭ) был образован Координационный совет по информационной безопасности инфокоммуникационных сетей и систем. Основной его задачей является подготовка согласованных рекомендаций представителями бизнеса и регулирующих органов. В рамках конференции пройдет четвёртое расширенное заседание Координационного совета, на котором, в частности, будут рассмотрены такие актуальные вопросы как защита международных идентификаторов мобильных телефонов, противодействие хищению и распространению баз персональных данных, а также регулирование информационной безопасности инфокоммуникационных инфраструктур, используемых на критически важных и потенциально опасных объектах.
Что касается технической стороны дела, то России есть чем «похвастаться» в области создания оригинальных систем защиты. Так, ряд крупных западных производителей антивирусного программного обеспечения использует в своих продуктах антивирусное ядро "Антивирус Касперского", созданный "Лабораторией Касперского" - признанным лидером в технологиях защиты компьютерной информации. Очередным свидетельством наступления электронной эры стало начало выдачи биометрических паспортов гражданам Калининградской области. Электронная начинка для паспортов изготовлена по технологии НИИ "Восход". В настоящее время российский проект, основанный на предложении НИИ "Восход" об изменении международного биометрического стандарта и включении в него трёхмерного цифрового изображение лица, на заседании международного подкомитета по стандартизации в области биометрии при ISO (международная организация по стандартизации) уже поддержали 30 стран мира.
Но задача стоит гораздо шире, чем простое распространение передовых технологий информзащиты на рынке. По сути, речь идет о том, чтобы создать четкие правила информационной безопасности и предоставить всем субъектам информационного пространства - от простого гражданина, который пользуется мобильником и кредиткой с чипом, до гигантских корпораций и государственных служб - базовый уровень информационной безопасности.
http://www.strana.ru/stories/03/12/26/3458/276780.html
Безопасность и доверие при использовании инфокоммуникационны
Сообщений: 4
• Страница 1 из 1
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#2 
5611 » Вт 29 апр, 2008 14:08 »
2-3 апреля 2008 г. в московском Президент Отеле состоялась 7-я международная конференция "Безопасность и доверие при использовании инфокоммуникационных сетей и систем". Организатор конференции общественно-государственное объединение "Ассоциация документальной электросвязи" при поддержке Министерства информационных технологий и связи Российской Федерации.
Заседание, посвященное открытию конференции, провел А.С. Кремер, заместитель председателя исследовательской комиссии МСЭ-Т по информационной безопасности, председатель исполкома АДЭ. С приветствиями к участникам конференции обратились Д.А. Милованцев, заместитель Министра информационных технологий и связи Российской Федерации, О.В. Сыромолотов, руководитель службы контрразведки ФСБ России, Ю.Н. Лаврухин, начальник Управления ФСТЭК России, Н.Н. Мухитдинов, генеральный директор Исполкома РСС, представители международных организаций Малкольм Джонсон, директор МСЭ-Т, Роберто Гаэтано, вице-президент ICANN.
В рамках конференции состоялось расширенное заседание Координационного совета по информационной безопасности инфокоммуникационных сетей и систем, сформированного на базе АДЭ, на котором обсуждались требования по обеспечению безопасности обращения со сведениями о клиентах. Вел заседание заместитель Координационного совета, заместитель директора ДИКТ Мининформсвязи России А.П. Гермогенов. На заседании выступили Ю.С. Забудько, начальник отдела судебно-претензионной работы по защите прав субъектов персональных данных Россвязьохранкультуры, А.А. Бажанов, заместитель начальника Управления лицензирования и сертификации ФСТЭК России, М.Ю. Емельянников, заместитель коммерческого директора НИП "Информзащита", Д.М. Романов, менеджер по продуктам ЗАО "Сан Майкросистемс".
Во второй половине первого дня работы конференции состоялось четыре секционных заседания и три круглых стола.
На заседании "Противодействие преступлениям и правонарушениям в сфере телекоммуникаций" (ведущий - В.В. Ефимов, МВД России) обсуждались вопросы, посвященные рассмотрению и изучению опыта компаний, профильных организаций, правоохранительных органов в области пресечения и противоборства с преступлениями и правонарушениями в телекоммуникационной среде, включая глобальные сети. Данная проблематика является острой и актуальной для широкого круга участников инфокоммуникационного рынка, а также государственных структур. Основным идеологическим стержнем должна стать идея поиска наибольшего числа точек соприкосновения всех заинтересованных сторон, с целью сосредоточения усилий на противодействии как преступному использованию инфокоммуникационных сетей и систем, так и противоправному воздействию на них. Обсуждались вопросы защиты пользователей инфокомуникационных услуг от противоправного посягательства на законные права и интересы, создание благоприятной, безопасной и надежной телекоммуникационной среды, способной обеспечить растущие потребности граждан в инфокоммуникационных сервисах. На заседании выступили У.В. Зинина, юрист Координационного центра национального домена сети Интернет, М.Ю. Кадер, инженер-консультант ООО "Сиско Системс", К.И. Колесник, эксперт по сетевым технологиям ООО "Сименс", А.В. Иванов, сотрудник Управления К МВД России.
На заседании "Безопасность электронных платежных систем" (ведущий - А.В. Володин, директор по информационной безопасности ЗАО "Центр Финансовых Технологий") обсуждались вопросы информационных рисков, характерных для электронных платёжных систем, способов совершения мошенничества. Особое внимание было уделено анализу лучшей зарубежной и отечественной практики нейтрализации рисков, анализу состояния предназначенных для этой цели технологий. Состоялся обмен опытом разбора инцидентов, взаимодействия с правоохранительными органами. На заседании выступили В.Ю. Дегтярев, председатель Совета директоров ООО "Компания "Демос", А.В. Ковалев, руководитель службы безопасности и финансового мониторинга ООО "Яндекс".
На заседании "Обеспечение защиты контента в сетях и системах связи" (ведущий - Д.В. Ларюшин, менеджер по технической политике "Интел Текнолоджиз") обсуждались проблемы технической и правовой защиты конфиденциальной и юридически значимой информации, циркулирующей в сетях и системах связи, различные аспекты российского и международного регулирования в области защиты контента и авторских прав. На заседании выступили Джеффри Лоуренс, Intel Corpoaration, В.В. Селиванов, юрисконсультант ООО "Яндекс", Д.К. Лабин, ЗАО "Моторола ЗАО".
На заседании круглого стола "О требованиях к безопасности средств связи" (ведущий - Л.В. Юрасова, заместитель Руководителя Федерального агентства связи) обсуждался проект технического регламента "О безопасности средств связи", который устанавливает обязательные требования к безопасности средств связи в целях защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, охраны окружающей среды, жизни или здоровья животных и растений, предупреждения действий, вводящих в заблуждение приобретателей. Проект устанавливает обязательные требования в части обеспечения электрической, механической, пожарной взрывобезопасности, безопасности излучений, электромагнитной совместимости. Требования, устанавливаемые проектом технического регламента, оказывают существенное влияние на хозяйственную деятельность производителей, продавцов и операторов связи, поскольку должны выполняться как на этапе выпуска оборудования в обращение на территории Российской Федерации, так и в процессе его эксплуатации на сетях связи. На заседании выступили В.В. Капитонов, ЛОНИИР, В.А. Романов, СОНИИР, В.Е. Рубинраут, ЦСЛ, Г.В. Чернецов, ССКТБ.
На заседании круглого стола "Расширение международного сотрудничества в вопросах управления развитием Интернета и обеспечения информационной безопасности" (ведущий - В.А. Кутуков, генеральный директор ЗАО "Стек Софт") обсуждались экономические и технологические приоритеты при взаимодействии с ICANN. На заседании выступили Голубенцев С.В., первый заместитель руководителя Департамента - директор Дирекции информационных технологий Производственно-технологического департамента ВГТРК, Кокошкин И.В., заместитель генерального директора НИИР, Тарасов С.А., эксперт, Вени Марковски, ICANN , Роберто Гаэтано, вице-президент ICANN.
На заседании круглого стола "Создание опытной зоны ENUM" (ведущий - И.О. Масленников, директор по развитию ООО "МФИ Софт") обсуждались правовые, организационные, этические и технологические вопросы противодействия внутренним угрозам. На заседании выступили Гуркин Д.В., cоветник генерального директора по новым технологиям ЗАО "Синтерра", Кондаков А.Б., директор по развитию ООО "Наунет СП", Чураев Н.А., директор по маркетингу ЗАО "Скай Линк"
На заседании круглого стола "Вопросы нормативно-правового и нормативно-технического обеспечения функционирования системы управления ССОП при чрезвычайных ситуациях и условиях чрезвычайного положения" (ведущий - А.Н. Першов, начальник экспертно-аналитического отдела ДИКТ Мининформсвязи России) обсуждались нормативно-правовые и нормативно-технические аспекты управления ССОП, направленные на минимизацию рисков техногенных катастроф. На заседании выступили Беленкович В.М., генеральный директор ОАО "Би эС Би", Кондаков А.Б., директор по развитию ООО "Наунет СП", Семилетов С.И., старший научный сотрудник ИГП РАН, Степин Б.П., начальник главного центра управления междугородными связями телевидением ОАО "Ростелеком".
Во второй день работы конференции состоялось пять секционных заседаний и два круглых стола.
На заседании "Обеспечение информационной безопасности операторов связи" (ведущий В.Е. Филюнин, начальник управления планирования и развития мультисервисных сетей Департамента планирования и развития сетей связи Генеральной дирекции ОАО "Ростелеком") обсуждались вопросы подтверждения соответствия требованиям информационной безопасности операторов связи в рамках системы "Связь-качество". Анализировались угрозы безопасности при использовании IP-коммуникаций и IP-сервисов. На заседании выступили В.М. Самойлов, начальник службы автоматизации ОАО "Мобильные ТелеСистемы", Ю.В. Загубин, начальник ООО "ИЦ ДЭС", С.И. Луковский, директор АНО ЦКС, В.А. Темников, главный инженер проектов РосНИИРОС, П.Б. Васильев, директор по развитию ООО "Гарант-Парк-Телеком".
На заседании "Противодействие распространению вредоносного кода и спама" (ведущий - В.А. Сердюк, генеральный директор ЗАО "ДиалогНаука") обсуждались вопросы борьбы с вредоносным кодом и спамом. Рассматривались практические аспекты реализации решений по защите от угроз безопасности, связанных с распространением вредоносного программного кода и спама. На заседании выступили В.А. Федотов, руководитель отдела развития ООО "Доктор Веб", М.Ю. Кадер, инженер-консультант ООО "Сиско Системс".
На заседании "Безопасность критических инфокоммуникационных инфраструктур" (ведущий - А.А. Чапчаев, генеральный директор ОАО "ИнфоТеКС") обсуждались возможные пути противодействия угрозам, связанным с нарушением функционирования информационно-телекоммуникационных систем и сетей критически важных объектов Российской Федерации. Анализировались методы, алгоритмы и средства обеспечения информационной безопасности, а также рекомендации по их применению. На заседании выступили Д.В. Соболев, директор Дирекции информационной безопасности ЗАО "Компания ТрансТелеКом", А.П. Даньков А.П., старший аналитик Ассоциации ЕВРААС, Д.Ю. Юрченко Д.Ю., ведущий специалист ОАО "Гипросвязь", Ю.А. Копорулин Ю.А. директор научного центра "Безопасность сетей связи" ФГУП ЦНИИС.
На заседании "Этические проблемы при использовании инфокоммуникационных сетей и систем (ведущий: Малюк А.А., декан факультета "Информационная безопасность" МИФИ) обсуждалась принятая в июле 2007 года "Стратегия развития информационного общества в России". Констатировали, что "в современных условиях особую остроту приобретают такие вопросы, как развитие сферы общественного достояния и обеспечение языкового многообразия в киберпространстве, охрана частной жизни, конфиденциальность и безопасность, общество и глобализация. В решении этих проблем важнейшая роль отводится этическому подходу к киберпространству, которое плохо поддается жесткому законодательному регулированию и которое должно быть достоянием всего человечества. На заседании выступили А.А. Стрельцов, начальник Департамента Аппарата Совета Безопасности РФ, М.Ю. Лермонтов, советник министра Министерства культуры и массовых коммуникаций РФ, И.Ю. Алексеева, главный научный сотрудник Института философии РАН, Д.Б. Фролов, профессор МИФИ, Е.И. Беспалов, директор по маркетингу ООО "МегаВерсия".
На заседании "Управление доступом и электронными правами" (ведущий - Емельянников М.Ю., заместитель коммерческого директора НИП "ИНФОРМЗАЩИТА") отметили, что в современных гетерогенных сетях с большим количеством разнородных приложений проблема управления доступом и правами пользователей становится все более и более сложной как с технической, так и с организационной точки зрения. Внимание к ней усиливается и в связи необходимостью соблюдения требований по организации разграничения доступа к конфиденциальной информации, установленных ФЗ о коммерческой тайне и о персональных данных. На заседании выступили С.А. Зекцер, аналитик НИП "ИНФОРМЗАЩИТА", Д.В. Андреевский, старший эксперт Департамента информационной безопасности ОАО "Вымпелком", Р.Н. Хайретдинов, заместитель генерального директора ЗАО "Инфовотч", И.В. Ляпунов, заместитель директора технического центра ЗАО "Инфосистемы Джет"
На заседании круглого стола "Обеспечение стабильности, совместимости и безопасности Интернета" (ведущий - Хаген Хультц, ICANN) обсуждалась деятельность ICANN по поддержке стабильности и безопасности Интернета, а также необходимость и возможность участия в этой деятельности российских специалистов.
На заседании круглого стола "Расширенное заседание рабочей группы по информационной безопасности при Совете операторов электросвязи РСС" (ведущий - Джансериков Э.Т., ОАО "Кыргызтелеком") обсуждался проект меморандума по противодействию мошенничеству на сетях электросвязи, а также предложения по направлениям стандартизации информационной безопасности в рамках ИК 17 МСЭ-Т на исследовательский период 2009-2012 гг. На заседании выступили Аванесов Ю.С., ОАО "Межрегиональный ТранзитТелеком", Банков А.С., АО "Молдтелеком", Тариелашвили Г.Т, ОАО "Укртелеком", Вашкевич А.Н., РУП "Белтелеком", Етрухин Н.Н., ЦНИИС, Жуков В.Н., АО "Казахтелеком", Загубин Ю.В., ИЦ ДЭС, Комаров Д.Б., РУП "Белтелеком", Костров Д.В., ОАО "Межрегиональный ТранзитТелеком", Лобанов А.В., ОАО "Ростелеком".
На заключительном пленарном заседании второго дня работы конференции состоялось подведение итогов конференции.
По материалам конференции будет подготовлен итоговый документ конференции.
Спонсоры конференции - "Моторола", "Сиско Системс".
Спонсоры заседаний конференции - "Интел Текнолоджиз", "ИнфоТеКС", ИЦ ДЭС, Координационный центр национального домена сети интернет, "Сан Майкросистемс", "Синтерра", Центр компетенции информационно-телекоммуникационных сетей.
Адрес новости: http://www.cnews.ru/news/line/index.sht ... /15/297143
Заседание, посвященное открытию конференции, провел А.С. Кремер, заместитель председателя исследовательской комиссии МСЭ-Т по информационной безопасности, председатель исполкома АДЭ. С приветствиями к участникам конференции обратились Д.А. Милованцев, заместитель Министра информационных технологий и связи Российской Федерации, О.В. Сыромолотов, руководитель службы контрразведки ФСБ России, Ю.Н. Лаврухин, начальник Управления ФСТЭК России, Н.Н. Мухитдинов, генеральный директор Исполкома РСС, представители международных организаций Малкольм Джонсон, директор МСЭ-Т, Роберто Гаэтано, вице-президент ICANN.
В рамках конференции состоялось расширенное заседание Координационного совета по информационной безопасности инфокоммуникационных сетей и систем, сформированного на базе АДЭ, на котором обсуждались требования по обеспечению безопасности обращения со сведениями о клиентах. Вел заседание заместитель Координационного совета, заместитель директора ДИКТ Мининформсвязи России А.П. Гермогенов. На заседании выступили Ю.С. Забудько, начальник отдела судебно-претензионной работы по защите прав субъектов персональных данных Россвязьохранкультуры, А.А. Бажанов, заместитель начальника Управления лицензирования и сертификации ФСТЭК России, М.Ю. Емельянников, заместитель коммерческого директора НИП "Информзащита", Д.М. Романов, менеджер по продуктам ЗАО "Сан Майкросистемс".
Во второй половине первого дня работы конференции состоялось четыре секционных заседания и три круглых стола.
На заседании "Противодействие преступлениям и правонарушениям в сфере телекоммуникаций" (ведущий - В.В. Ефимов, МВД России) обсуждались вопросы, посвященные рассмотрению и изучению опыта компаний, профильных организаций, правоохранительных органов в области пресечения и противоборства с преступлениями и правонарушениями в телекоммуникационной среде, включая глобальные сети. Данная проблематика является острой и актуальной для широкого круга участников инфокоммуникационного рынка, а также государственных структур. Основным идеологическим стержнем должна стать идея поиска наибольшего числа точек соприкосновения всех заинтересованных сторон, с целью сосредоточения усилий на противодействии как преступному использованию инфокоммуникационных сетей и систем, так и противоправному воздействию на них. Обсуждались вопросы защиты пользователей инфокомуникационных услуг от противоправного посягательства на законные права и интересы, создание благоприятной, безопасной и надежной телекоммуникационной среды, способной обеспечить растущие потребности граждан в инфокоммуникационных сервисах. На заседании выступили У.В. Зинина, юрист Координационного центра национального домена сети Интернет, М.Ю. Кадер, инженер-консультант ООО "Сиско Системс", К.И. Колесник, эксперт по сетевым технологиям ООО "Сименс", А.В. Иванов, сотрудник Управления К МВД России.
На заседании "Безопасность электронных платежных систем" (ведущий - А.В. Володин, директор по информационной безопасности ЗАО "Центр Финансовых Технологий") обсуждались вопросы информационных рисков, характерных для электронных платёжных систем, способов совершения мошенничества. Особое внимание было уделено анализу лучшей зарубежной и отечественной практики нейтрализации рисков, анализу состояния предназначенных для этой цели технологий. Состоялся обмен опытом разбора инцидентов, взаимодействия с правоохранительными органами. На заседании выступили В.Ю. Дегтярев, председатель Совета директоров ООО "Компания "Демос", А.В. Ковалев, руководитель службы безопасности и финансового мониторинга ООО "Яндекс".
На заседании "Обеспечение защиты контента в сетях и системах связи" (ведущий - Д.В. Ларюшин, менеджер по технической политике "Интел Текнолоджиз") обсуждались проблемы технической и правовой защиты конфиденциальной и юридически значимой информации, циркулирующей в сетях и системах связи, различные аспекты российского и международного регулирования в области защиты контента и авторских прав. На заседании выступили Джеффри Лоуренс, Intel Corpoaration, В.В. Селиванов, юрисконсультант ООО "Яндекс", Д.К. Лабин, ЗАО "Моторола ЗАО".
На заседании круглого стола "О требованиях к безопасности средств связи" (ведущий - Л.В. Юрасова, заместитель Руководителя Федерального агентства связи) обсуждался проект технического регламента "О безопасности средств связи", который устанавливает обязательные требования к безопасности средств связи в целях защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, охраны окружающей среды, жизни или здоровья животных и растений, предупреждения действий, вводящих в заблуждение приобретателей. Проект устанавливает обязательные требования в части обеспечения электрической, механической, пожарной взрывобезопасности, безопасности излучений, электромагнитной совместимости. Требования, устанавливаемые проектом технического регламента, оказывают существенное влияние на хозяйственную деятельность производителей, продавцов и операторов связи, поскольку должны выполняться как на этапе выпуска оборудования в обращение на территории Российской Федерации, так и в процессе его эксплуатации на сетях связи. На заседании выступили В.В. Капитонов, ЛОНИИР, В.А. Романов, СОНИИР, В.Е. Рубинраут, ЦСЛ, Г.В. Чернецов, ССКТБ.
На заседании круглого стола "Расширение международного сотрудничества в вопросах управления развитием Интернета и обеспечения информационной безопасности" (ведущий - В.А. Кутуков, генеральный директор ЗАО "Стек Софт") обсуждались экономические и технологические приоритеты при взаимодействии с ICANN. На заседании выступили Голубенцев С.В., первый заместитель руководителя Департамента - директор Дирекции информационных технологий Производственно-технологического департамента ВГТРК, Кокошкин И.В., заместитель генерального директора НИИР, Тарасов С.А., эксперт, Вени Марковски, ICANN , Роберто Гаэтано, вице-президент ICANN.
На заседании круглого стола "Создание опытной зоны ENUM" (ведущий - И.О. Масленников, директор по развитию ООО "МФИ Софт") обсуждались правовые, организационные, этические и технологические вопросы противодействия внутренним угрозам. На заседании выступили Гуркин Д.В., cоветник генерального директора по новым технологиям ЗАО "Синтерра", Кондаков А.Б., директор по развитию ООО "Наунет СП", Чураев Н.А., директор по маркетингу ЗАО "Скай Линк"
На заседании круглого стола "Вопросы нормативно-правового и нормативно-технического обеспечения функционирования системы управления ССОП при чрезвычайных ситуациях и условиях чрезвычайного положения" (ведущий - А.Н. Першов, начальник экспертно-аналитического отдела ДИКТ Мининформсвязи России) обсуждались нормативно-правовые и нормативно-технические аспекты управления ССОП, направленные на минимизацию рисков техногенных катастроф. На заседании выступили Беленкович В.М., генеральный директор ОАО "Би эС Би", Кондаков А.Б., директор по развитию ООО "Наунет СП", Семилетов С.И., старший научный сотрудник ИГП РАН, Степин Б.П., начальник главного центра управления междугородными связями телевидением ОАО "Ростелеком".
Во второй день работы конференции состоялось пять секционных заседаний и два круглых стола.
На заседании "Обеспечение информационной безопасности операторов связи" (ведущий В.Е. Филюнин, начальник управления планирования и развития мультисервисных сетей Департамента планирования и развития сетей связи Генеральной дирекции ОАО "Ростелеком") обсуждались вопросы подтверждения соответствия требованиям информационной безопасности операторов связи в рамках системы "Связь-качество". Анализировались угрозы безопасности при использовании IP-коммуникаций и IP-сервисов. На заседании выступили В.М. Самойлов, начальник службы автоматизации ОАО "Мобильные ТелеСистемы", Ю.В. Загубин, начальник ООО "ИЦ ДЭС", С.И. Луковский, директор АНО ЦКС, В.А. Темников, главный инженер проектов РосНИИРОС, П.Б. Васильев, директор по развитию ООО "Гарант-Парк-Телеком".
На заседании "Противодействие распространению вредоносного кода и спама" (ведущий - В.А. Сердюк, генеральный директор ЗАО "ДиалогНаука") обсуждались вопросы борьбы с вредоносным кодом и спамом. Рассматривались практические аспекты реализации решений по защите от угроз безопасности, связанных с распространением вредоносного программного кода и спама. На заседании выступили В.А. Федотов, руководитель отдела развития ООО "Доктор Веб", М.Ю. Кадер, инженер-консультант ООО "Сиско Системс".
На заседании "Безопасность критических инфокоммуникационных инфраструктур" (ведущий - А.А. Чапчаев, генеральный директор ОАО "ИнфоТеКС") обсуждались возможные пути противодействия угрозам, связанным с нарушением функционирования информационно-телекоммуникационных систем и сетей критически важных объектов Российской Федерации. Анализировались методы, алгоритмы и средства обеспечения информационной безопасности, а также рекомендации по их применению. На заседании выступили Д.В. Соболев, директор Дирекции информационной безопасности ЗАО "Компания ТрансТелеКом", А.П. Даньков А.П., старший аналитик Ассоциации ЕВРААС, Д.Ю. Юрченко Д.Ю., ведущий специалист ОАО "Гипросвязь", Ю.А. Копорулин Ю.А. директор научного центра "Безопасность сетей связи" ФГУП ЦНИИС.
На заседании "Этические проблемы при использовании инфокоммуникационных сетей и систем (ведущий: Малюк А.А., декан факультета "Информационная безопасность" МИФИ) обсуждалась принятая в июле 2007 года "Стратегия развития информационного общества в России". Констатировали, что "в современных условиях особую остроту приобретают такие вопросы, как развитие сферы общественного достояния и обеспечение языкового многообразия в киберпространстве, охрана частной жизни, конфиденциальность и безопасность, общество и глобализация. В решении этих проблем важнейшая роль отводится этическому подходу к киберпространству, которое плохо поддается жесткому законодательному регулированию и которое должно быть достоянием всего человечества. На заседании выступили А.А. Стрельцов, начальник Департамента Аппарата Совета Безопасности РФ, М.Ю. Лермонтов, советник министра Министерства культуры и массовых коммуникаций РФ, И.Ю. Алексеева, главный научный сотрудник Института философии РАН, Д.Б. Фролов, профессор МИФИ, Е.И. Беспалов, директор по маркетингу ООО "МегаВерсия".
На заседании "Управление доступом и электронными правами" (ведущий - Емельянников М.Ю., заместитель коммерческого директора НИП "ИНФОРМЗАЩИТА") отметили, что в современных гетерогенных сетях с большим количеством разнородных приложений проблема управления доступом и правами пользователей становится все более и более сложной как с технической, так и с организационной точки зрения. Внимание к ней усиливается и в связи необходимостью соблюдения требований по организации разграничения доступа к конфиденциальной информации, установленных ФЗ о коммерческой тайне и о персональных данных. На заседании выступили С.А. Зекцер, аналитик НИП "ИНФОРМЗАЩИТА", Д.В. Андреевский, старший эксперт Департамента информационной безопасности ОАО "Вымпелком", Р.Н. Хайретдинов, заместитель генерального директора ЗАО "Инфовотч", И.В. Ляпунов, заместитель директора технического центра ЗАО "Инфосистемы Джет"
На заседании круглого стола "Обеспечение стабильности, совместимости и безопасности Интернета" (ведущий - Хаген Хультц, ICANN) обсуждалась деятельность ICANN по поддержке стабильности и безопасности Интернета, а также необходимость и возможность участия в этой деятельности российских специалистов.
На заседании круглого стола "Расширенное заседание рабочей группы по информационной безопасности при Совете операторов электросвязи РСС" (ведущий - Джансериков Э.Т., ОАО "Кыргызтелеком") обсуждался проект меморандума по противодействию мошенничеству на сетях электросвязи, а также предложения по направлениям стандартизации информационной безопасности в рамках ИК 17 МСЭ-Т на исследовательский период 2009-2012 гг. На заседании выступили Аванесов Ю.С., ОАО "Межрегиональный ТранзитТелеком", Банков А.С., АО "Молдтелеком", Тариелашвили Г.Т, ОАО "Укртелеком", Вашкевич А.Н., РУП "Белтелеком", Етрухин Н.Н., ЦНИИС, Жуков В.Н., АО "Казахтелеком", Загубин Ю.В., ИЦ ДЭС, Комаров Д.Б., РУП "Белтелеком", Костров Д.В., ОАО "Межрегиональный ТранзитТелеком", Лобанов А.В., ОАО "Ростелеком".
На заключительном пленарном заседании второго дня работы конференции состоялось подведение итогов конференции.
По материалам конференции будет подготовлен итоговый документ конференции.
Спонсоры конференции - "Моторола", "Сиско Системс".
Спонсоры заседаний конференции - "Интел Текнолоджиз", "ИнфоТеКС", ИЦ ДЭС, Координационный центр национального домена сети интернет, "Сан Майкросистемс", "Синтерра", Центр компетенции информационно-телекоммуникационных сетей.
Адрес новости: http://www.cnews.ru/news/line/index.sht ... /15/297143
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#3 5611 » Вт 15 июл, 2008 08:47 »
«Информационно-коммуникационные технологии (ИТ) являются одним из наиболее важных факторов, влияющих на формирование общества двадцать первого века», - говорится в Окинавской Хартии Глобального Информационного Общества, которая была подписана в прошлом году главами «восьмерки» ведущих государств планеты.
В последнее время в мире бурно развивается электронная коммерция или торговля по сети Интернет, осуществляемая при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.
Однако, за рубежом, где электронная коммерция наиболее широко распространена, объем сделки или стоимость товаров часто ограничиваются 300-400 дол. Это объясняется недостаточным решением проблем информационной безопасности в компьютерных сетях. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.
Безопасная информация и ее свойства
По мнению ведущих зарубежных специалистов, развитие процесса электронной коммерции в основном определяется прогрессом в области безопасности информации. Уточним само понятие «безопасность информации» – это состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.
Основные задачи при достижении безопасности информации заключаются в обеспечении ее доступности, конфиденциальности, целостности и юридической значимости. Каждая угроза должна рассматриваться с точки зрения того, насколько она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает все большую важность по мере создания нормативно-правовой базы безопасности информации в нашей стране.
Последнее актуально при необходимости обеспечения строгого учета платежных документов и любых информационных услуг. Например, наиболее важным (ценным) объектом защиты в автоматизированных банковских системах является электронный платежный документ, его информация или данные, о чем, в частности, говорится в приказе ЦБ РФ №02-144 от 3 апреля 1997 г.
Кроме прочего должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.
По прогнозам авторитетных аналитиков, начало стремительного развития электронной коммерции в России придется на конец текущего года. Внешними приметами этого процесса могут служить участившиеся конференции, выставки и семинары, посвященные использованию Интернета. На отечественном финансовом рынке начали развиваться е-трейдинг и е-банкинг. Зарубежные компании активно скупают популярные российские сайты или создают совместные предприятия для электронной коммерции. В Государственной Думе обсуждаются различные законопроекты, связанные с использованием Интернета.
Вот почему несомненный интерес представляет опыт обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет-сетях. Эти вопросы рассматривались на конференции «Информационная безопасность корпоративных сетей», прошедшей в апреле на Валдае и организованной департаментом информатизации Минсвязи России, Главгоссвязьнадзором России, ВНИИПВТИ и компанией «Телестарт». Рассмотрим некоторые аспекты защиты телекоммуникаций.
Стандартизация обеспечения безопасности информации
Обеспечение безопасности ИТ невозможно без создания грамотной и качественной системы защиты информации. Это и определило деятельность мирового сообщества по систематизации и упорядочению основных требований и характеристик безопасности информации. Одним из главных результатов стала система международных и национальных стандартов безопасности информации, насчитывающая более сотни различных документов.
Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну и стремительно развивающихся в нашей стране. Под открытыми системами понимают совокупность всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин «открытые» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, соответствующей тем же стандартам. Это, в частности, относится и к криптографической защите информации или к защите от несанкционированного доступа (НСД) к информации.
В отличие от локальных сетей, сеть Интернет основана на открытых стандартах, и фирмы используют ее для продвижения продукции на мировой рынок.
Развитие Интернета заставило по-новому взглянуть на технологии открытых систем. Во-первых, Интернет поощряет применение открытых стандартов, доступных для внедрения всем, кто проявит к ним интерес. Во-вторых, он представляет собой крупнейшую в мире, и, вероятно, единственную сеть, к которой подключается множество компьютеров. И, наконец, Интернет становится общепринятым средством представления быстроменяющихся технологий и продукции на мировом рынке. Чтобы быть в курсе всех связанных с Интернетом новшеств и своевременно реагировать на эти изменения, требуются время и ресурсы, как и для любой другой информационной технологии, например, связанной с архитектурой клиент-сервер или объектно-ориентированным программированием. Целесообразно также следить за действиями органов стандартизации и поддерживать адекватную гибкость структуры своей организации.
В мире уже давно существует целый ряд комитетов, куда входят, в основном, организации-добровольцы, которые ведут работы по стандартизации предлагаемых технологий Интернета. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force - IETF), провели стандартизацию нескольких важных протоколов, тем самым, ускорив их внедрение. Среди результатов усилий IETF - такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.
Другие органы по стандартизации, такие как Международный союз электросвязи (ITU), Американский национальный институт стандартов (ANSI) и Институт инженеров по электронике и электромеханике (Institute of Electrical and Electronic Engineers - IEEE), тоже оказывают влияние на развитие Интернета. Однако IETF является единственным органом, изначально сформированным для этой цели.
Между тем, по сравнению с ITU или ANSI, IETF, скорее, неформальная структура. Поэтому IETF публикует свои стандарты в форме рекомендаций и не может требовать от предпринимателей их внедрения. Но, несмотря на то, что стандарты IETF необязательны для исполнения, за ними стоит сила рынка. И если предприниматель хочет выйти на огромный рынок, формируемый Интернетом, ему необходимо позаботиться, чтобы его продукция была совместима с другой, используемой в Интернете, а значит, соответствовала «необязательным» стандартам IETF.
В последние годы наблюдается фрагментированное влияние на формирование сетевых стандартов. По мере того как Интернет ширился и обретал черты как потребительского, так и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже такие неформальные органы стандартизации, как IETF. Предприниматели начали объединяться в специальные группы или консорциумы для внедрения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), Форум VRML (Virtual Reality Markup Language Forum) и Java Development Connection. В виду того, что группа IETF обладает значительным авторитетом, эти специальные группы (или отдельные компании) предлагают свои стандарты на ее рассмотрение. В случае их одобрения рекомендация IETF послужит дополнительным «знаком качества». Если стандарт утвержден IETF, то можно быть уверенным, что он будет максимально открытым и принесет выгоду многим предпринимателям.
Одна из причин возникновения специальных групп по стандартизации - противоречие между возрастающими темпами развития технологий и длительным циклом рассмотрения стандартов. Некоторые производители считают, что органы стандартизации тратят слишком много времени на подготовку и утверждение стандартов. И это свидетельствует, насколько напряженная борьба идет между компаниями за контроль над стандартами.
Протоколы безопасной передачи данных
IETF считается самой «быстрой» из организаций, выпускающих свои стандарты на основе уже работающих реализаций. Однако, по мнению Netscape, Cisco и других компаний, хотя IETF делает это более оперативно, чем другие организации (например, ISO и ITU), но все же недостаточно быстро. А чем больше времени уходит у органа по стандартизации на разработку и публикацию стандарта, тем шире временное «окно» для желающих выдвинуть собственные стандарты.
В Интернете популярны протоколы безопасной передачи данных: SSL, SET, IPv6. Они появились сравнительно недавно для защиты ценной информации и сразу стали стандартами де-факто.
SSL
SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications Corp. http://home.netscape.com/eng/ssl3/index.html как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде «клиент-сервер» интерпретируются следующим образом:
- при подключении пользователь и сервер должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, не ограничиваясь паролевой защитой;
- после установления соединения между сервером и клиентом весь информационный поток должен быть защищен от несанкционированного доступа;
- при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга (server/client authentication), согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).
Последняя версия SSLeay v. 0.8.0, доступная в исходных текстах, поддерживает SSLv3. Этот пакет предназначен для создания и управления различного рода сертификатами. В его состав входит и библиотека для поддержки SSL различными программами.
Протокол SSL принят W3 консорциумом (W3 Consortium) на рассмотрение как основной защитный протокол для клиентов и серверов (WWW browsers and servers) в сети Интернет.
SET
Наиболее распространенный зарубежный опыт решения вопросов управления криптографическими ключами электронного документооборота основывается на использовании Инфраструктуры открытых ключей (Public Key Infrastructure - PKI), названной так по способу защиты электронных документов - криптография с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств и организационно- технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления цифровыми ключами и сертификатами.
Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 ITU-T, и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.
Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации, и обеспечивают однозначную аутентификацию участников обмена. Цифровой сертификат - это определенная последовательность битов, основанных на криптографии с открытым ключом, представляющая собой совокупность персональных данных владельца и открытого ключа его электронной подписи (при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.
Цифровые сертификаты предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты также дают уверенность держателю карты и продавцу в том, что их транзакции будут обработаны с таким же высоким уровнем защиты, что и традиционные транзакции.
По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Среди центров сертификации можно назвать американские компании Verisign, GTE.
Наиболее перспективный протокол или стандарт безопасных электронных транзакций в сети Интернет - SET (Security Electronics Transaction), предназначенный для организации электронной торговли через Интернет, также основан на использовании цифровых сертификатов по стандарту Х.509. Во многих странах мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.
Открытый стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.
Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают совместно покупатели, продавцы и финансовые институты, обеспокоенные этими вопросами. В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в целом.
В частности, SET обеспечивает следующие специальные требования защиты операций электронной коммерции:
секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;
специальную криптографию с открытым ключом для проведения аутентификации;
аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;
аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
аутентификацию банка продавца как действующей организации, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца;
готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET заключается в применении цифровых сертификатов (стандарт X509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные системы Visa и Mastercard.
Кроме того, протокол SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами, и может быть интегрирован в существующие системы.
IPv6
В 1992 г. IETF выступила с инициативой по разработке требований к протоколам семейства TCP/IP нового поколения. После обсуждения нескольких концепций, в начале 1995 г. были опубликованы основные требования к архитектуре построения и указаны основные принципы функционирования средств обеспечения безопасности.
Протоколы TCP/IP нового поколения (IPv6) обладают следующими новшествами: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.
Дополнительно введенная в стандарт IPv6 спецификация Ipsec разрабатывается Рабочей группой IP Security IETF. IPsec включает в себя 3 базовых спецификаций, независимых по алгоритмам и опубликованных в качестве следующих RFC-документов.
Протокол IPsec предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет вне зависимости от приложения. Это позволяет организации создавать в Интернете виртуальные частные сети. IPsec поддерживает DES, MD, а также ряд других криптографических алгоритмов и предназначен для работы поверх связных протоколов.
С помощью IPsec создается ряд преимуществ при обеспечении информационной безопасности на сетевом уровне:
поддержка немодифицированных конечных систем;
поддержка иных протоколов, чем ТСР;
поддержка виртуальных сетей в незащищенных сетях;
защита заголовка транспортного уровня от перехвата, то есть более надежная защита от анализа трафика;
защита от атак типа «отказ в обслуживании».
Кроме того, IPsec не требует замены промежуточных устройств в сети, а также обязательной поддержки рабочими местами и серверами.
Для обеспечения комплексной информационной безопасности в IPsec используется несколько различных методов:
обмен ключами через открытую сеть на основе криптографического алгоритма Диффи-Хеллмана;
применение цифровой подписи с применением открытого ключа;
алгоритм шифрования, подобный DES, для шифрования передаваемых данных;
использование хэш-алгоритма для определения подлинности пакетов.
Протокол IPsec был разработан в рамках программ по созданию средств защищенной передачи пакетов для IPv6, протокола IP следующего поколения сети Интернет. Их спецификация продолжает совершенствоваться по мере выхода на рынок все новых и новых программных продуктов.
Российские стандарты
Среди различных отечественных стандартов по безопасности информационных технологий отметим несколько современных стандартов и документов, регламентирующих защиту взаимосвязи открытых систем (ВОС):
- ГОСТ Р ИСО 7498-2—99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
- ГОСТ Р ИСО/МЭК 9594-8—98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации;
- ГОСТ Р ИСО/МЭК 9594-9—95. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование.
К ним можно добавить нормативные документы, посвященные средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем:
- руководящий документ «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997);
- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
- ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
- ГОСТ Р 34.10--94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;
- ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
Общие критерии оценки безопасности ИТ
В 1990 г. Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Common Criteria» или «Общие критерии оценки безопасности информационных технологий» (ОК). В их разработке участвовали Национальный институт стандартов и технологии (NIST) и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и призваны стать основой для такой оценки. Разрабатываемые лучшими специалистами мира на протяжении десятилетия ОК неоднократно редактировались. В результате был подготовлен и в 1999 г. утвержден международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий». Ведущие мировые производители оборудования ИТ подготовились к этому моменту и сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
Заключение
Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры 4-х уровней:
законодательного;
административного;
процедурного;
программно-технического.
В современном мире национальная нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость привести российские стандарты и сертификационные нормативы в соответствие с общим международным уровнем развития ИТ и, в частности, с критериями оценки безопасности информационных технологий. Приведем основные причины своевременности такого шага. Во-первых, существует потребность в защищенном взаимодействии с иностранными организациями и зарубежными филиалами российских организаций. Во-вторых, на рынке реально доминируют аппаратно-программные продукты зарубежного производства.
Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.
Последний тезис подкрепляется материалами конференции «Информационная безопасность России в условиях Глобального Информационного Общества», организованной Советом Безопасности и Государственной Думой РФ в Москве 5 февраля. Актуальность рассматриваемой тематики подчеркивается документом «Доктрина информационной безопасности Российской Федерации», который был утвержден Президентом 9 сентября 2000 г. В нем, в частности, говорится, что «серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций».
09 июля 08
http://nau4ka.ru/2008/07/09/standarty-d ... internete/
В последнее время в мире бурно развивается электронная коммерция или торговля по сети Интернет, осуществляемая при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.
Однако, за рубежом, где электронная коммерция наиболее широко распространена, объем сделки или стоимость товаров часто ограничиваются 300-400 дол. Это объясняется недостаточным решением проблем информационной безопасности в компьютерных сетях. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.
Безопасная информация и ее свойства
По мнению ведущих зарубежных специалистов, развитие процесса электронной коммерции в основном определяется прогрессом в области безопасности информации. Уточним само понятие «безопасность информации» – это состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.
Основные задачи при достижении безопасности информации заключаются в обеспечении ее доступности, конфиденциальности, целостности и юридической значимости. Каждая угроза должна рассматриваться с точки зрения того, насколько она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает все большую важность по мере создания нормативно-правовой базы безопасности информации в нашей стране.
Последнее актуально при необходимости обеспечения строгого учета платежных документов и любых информационных услуг. Например, наиболее важным (ценным) объектом защиты в автоматизированных банковских системах является электронный платежный документ, его информация или данные, о чем, в частности, говорится в приказе ЦБ РФ №02-144 от 3 апреля 1997 г.
Кроме прочего должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.
По прогнозам авторитетных аналитиков, начало стремительного развития электронной коммерции в России придется на конец текущего года. Внешними приметами этого процесса могут служить участившиеся конференции, выставки и семинары, посвященные использованию Интернета. На отечественном финансовом рынке начали развиваться е-трейдинг и е-банкинг. Зарубежные компании активно скупают популярные российские сайты или создают совместные предприятия для электронной коммерции. В Государственной Думе обсуждаются различные законопроекты, связанные с использованием Интернета.
Вот почему несомненный интерес представляет опыт обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет-сетях. Эти вопросы рассматривались на конференции «Информационная безопасность корпоративных сетей», прошедшей в апреле на Валдае и организованной департаментом информатизации Минсвязи России, Главгоссвязьнадзором России, ВНИИПВТИ и компанией «Телестарт». Рассмотрим некоторые аспекты защиты телекоммуникаций.
Стандартизация обеспечения безопасности информации
Обеспечение безопасности ИТ невозможно без создания грамотной и качественной системы защиты информации. Это и определило деятельность мирового сообщества по систематизации и упорядочению основных требований и характеристик безопасности информации. Одним из главных результатов стала система международных и национальных стандартов безопасности информации, насчитывающая более сотни различных документов.
Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну и стремительно развивающихся в нашей стране. Под открытыми системами понимают совокупность всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин «открытые» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, соответствующей тем же стандартам. Это, в частности, относится и к криптографической защите информации или к защите от несанкционированного доступа (НСД) к информации.
В отличие от локальных сетей, сеть Интернет основана на открытых стандартах, и фирмы используют ее для продвижения продукции на мировой рынок.
Развитие Интернета заставило по-новому взглянуть на технологии открытых систем. Во-первых, Интернет поощряет применение открытых стандартов, доступных для внедрения всем, кто проявит к ним интерес. Во-вторых, он представляет собой крупнейшую в мире, и, вероятно, единственную сеть, к которой подключается множество компьютеров. И, наконец, Интернет становится общепринятым средством представления быстроменяющихся технологий и продукции на мировом рынке. Чтобы быть в курсе всех связанных с Интернетом новшеств и своевременно реагировать на эти изменения, требуются время и ресурсы, как и для любой другой информационной технологии, например, связанной с архитектурой клиент-сервер или объектно-ориентированным программированием. Целесообразно также следить за действиями органов стандартизации и поддерживать адекватную гибкость структуры своей организации.
В мире уже давно существует целый ряд комитетов, куда входят, в основном, организации-добровольцы, которые ведут работы по стандартизации предлагаемых технологий Интернета. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force - IETF), провели стандартизацию нескольких важных протоколов, тем самым, ускорив их внедрение. Среди результатов усилий IETF - такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.
Другие органы по стандартизации, такие как Международный союз электросвязи (ITU), Американский национальный институт стандартов (ANSI) и Институт инженеров по электронике и электромеханике (Institute of Electrical and Electronic Engineers - IEEE), тоже оказывают влияние на развитие Интернета. Однако IETF является единственным органом, изначально сформированным для этой цели.
Между тем, по сравнению с ITU или ANSI, IETF, скорее, неформальная структура. Поэтому IETF публикует свои стандарты в форме рекомендаций и не может требовать от предпринимателей их внедрения. Но, несмотря на то, что стандарты IETF необязательны для исполнения, за ними стоит сила рынка. И если предприниматель хочет выйти на огромный рынок, формируемый Интернетом, ему необходимо позаботиться, чтобы его продукция была совместима с другой, используемой в Интернете, а значит, соответствовала «необязательным» стандартам IETF.
В последние годы наблюдается фрагментированное влияние на формирование сетевых стандартов. По мере того как Интернет ширился и обретал черты как потребительского, так и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже такие неформальные органы стандартизации, как IETF. Предприниматели начали объединяться в специальные группы или консорциумы для внедрения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), Форум VRML (Virtual Reality Markup Language Forum) и Java Development Connection. В виду того, что группа IETF обладает значительным авторитетом, эти специальные группы (или отдельные компании) предлагают свои стандарты на ее рассмотрение. В случае их одобрения рекомендация IETF послужит дополнительным «знаком качества». Если стандарт утвержден IETF, то можно быть уверенным, что он будет максимально открытым и принесет выгоду многим предпринимателям.
Одна из причин возникновения специальных групп по стандартизации - противоречие между возрастающими темпами развития технологий и длительным циклом рассмотрения стандартов. Некоторые производители считают, что органы стандартизации тратят слишком много времени на подготовку и утверждение стандартов. И это свидетельствует, насколько напряженная борьба идет между компаниями за контроль над стандартами.
Протоколы безопасной передачи данных
IETF считается самой «быстрой» из организаций, выпускающих свои стандарты на основе уже работающих реализаций. Однако, по мнению Netscape, Cisco и других компаний, хотя IETF делает это более оперативно, чем другие организации (например, ISO и ITU), но все же недостаточно быстро. А чем больше времени уходит у органа по стандартизации на разработку и публикацию стандарта, тем шире временное «окно» для желающих выдвинуть собственные стандарты.
В Интернете популярны протоколы безопасной передачи данных: SSL, SET, IPv6. Они появились сравнительно недавно для защиты ценной информации и сразу стали стандартами де-факто.
SSL
SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications Corp. http://home.netscape.com/eng/ssl3/index.html как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде «клиент-сервер» интерпретируются следующим образом:
- при подключении пользователь и сервер должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, не ограничиваясь паролевой защитой;
- после установления соединения между сервером и клиентом весь информационный поток должен быть защищен от несанкционированного доступа;
- при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга (server/client authentication), согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).
Последняя версия SSLeay v. 0.8.0, доступная в исходных текстах, поддерживает SSLv3. Этот пакет предназначен для создания и управления различного рода сертификатами. В его состав входит и библиотека для поддержки SSL различными программами.
Протокол SSL принят W3 консорциумом (W3 Consortium) на рассмотрение как основной защитный протокол для клиентов и серверов (WWW browsers and servers) в сети Интернет.
SET
Наиболее распространенный зарубежный опыт решения вопросов управления криптографическими ключами электронного документооборота основывается на использовании Инфраструктуры открытых ключей (Public Key Infrastructure - PKI), названной так по способу защиты электронных документов - криптография с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств и организационно- технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления цифровыми ключами и сертификатами.
Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 ITU-T, и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.
Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации, и обеспечивают однозначную аутентификацию участников обмена. Цифровой сертификат - это определенная последовательность битов, основанных на криптографии с открытым ключом, представляющая собой совокупность персональных данных владельца и открытого ключа его электронной подписи (при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.
Цифровые сертификаты предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты также дают уверенность держателю карты и продавцу в том, что их транзакции будут обработаны с таким же высоким уровнем защиты, что и традиционные транзакции.
По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Среди центров сертификации можно назвать американские компании Verisign, GTE.
Наиболее перспективный протокол или стандарт безопасных электронных транзакций в сети Интернет - SET (Security Electronics Transaction), предназначенный для организации электронной торговли через Интернет, также основан на использовании цифровых сертификатов по стандарту Х.509. Во многих странах мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.
Открытый стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.
Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают совместно покупатели, продавцы и финансовые институты, обеспокоенные этими вопросами. В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в целом.
В частности, SET обеспечивает следующие специальные требования защиты операций электронной коммерции:
секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;
специальную криптографию с открытым ключом для проведения аутентификации;
аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;
аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
аутентификацию банка продавца как действующей организации, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца;
готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET заключается в применении цифровых сертификатов (стандарт X509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные системы Visa и Mastercard.
Кроме того, протокол SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами, и может быть интегрирован в существующие системы.
IPv6
В 1992 г. IETF выступила с инициативой по разработке требований к протоколам семейства TCP/IP нового поколения. После обсуждения нескольких концепций, в начале 1995 г. были опубликованы основные требования к архитектуре построения и указаны основные принципы функционирования средств обеспечения безопасности.
Протоколы TCP/IP нового поколения (IPv6) обладают следующими новшествами: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.
Дополнительно введенная в стандарт IPv6 спецификация Ipsec разрабатывается Рабочей группой IP Security IETF. IPsec включает в себя 3 базовых спецификаций, независимых по алгоритмам и опубликованных в качестве следующих RFC-документов.
Протокол IPsec предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет вне зависимости от приложения. Это позволяет организации создавать в Интернете виртуальные частные сети. IPsec поддерживает DES, MD, а также ряд других криптографических алгоритмов и предназначен для работы поверх связных протоколов.
С помощью IPsec создается ряд преимуществ при обеспечении информационной безопасности на сетевом уровне:
поддержка немодифицированных конечных систем;
поддержка иных протоколов, чем ТСР;
поддержка виртуальных сетей в незащищенных сетях;
защита заголовка транспортного уровня от перехвата, то есть более надежная защита от анализа трафика;
защита от атак типа «отказ в обслуживании».
Кроме того, IPsec не требует замены промежуточных устройств в сети, а также обязательной поддержки рабочими местами и серверами.
Для обеспечения комплексной информационной безопасности в IPsec используется несколько различных методов:
обмен ключами через открытую сеть на основе криптографического алгоритма Диффи-Хеллмана;
применение цифровой подписи с применением открытого ключа;
алгоритм шифрования, подобный DES, для шифрования передаваемых данных;
использование хэш-алгоритма для определения подлинности пакетов.
Протокол IPsec был разработан в рамках программ по созданию средств защищенной передачи пакетов для IPv6, протокола IP следующего поколения сети Интернет. Их спецификация продолжает совершенствоваться по мере выхода на рынок все новых и новых программных продуктов.
Российские стандарты
Среди различных отечественных стандартов по безопасности информационных технологий отметим несколько современных стандартов и документов, регламентирующих защиту взаимосвязи открытых систем (ВОС):
- ГОСТ Р ИСО 7498-2—99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
- ГОСТ Р ИСО/МЭК 9594-8—98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации;
- ГОСТ Р ИСО/МЭК 9594-9—95. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование.
К ним можно добавить нормативные документы, посвященные средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем:
- руководящий документ «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997);
- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
- ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
- ГОСТ Р 34.10--94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;
- ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
Общие критерии оценки безопасности ИТ
В 1990 г. Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Common Criteria» или «Общие критерии оценки безопасности информационных технологий» (ОК). В их разработке участвовали Национальный институт стандартов и технологии (NIST) и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и призваны стать основой для такой оценки. Разрабатываемые лучшими специалистами мира на протяжении десятилетия ОК неоднократно редактировались. В результате был подготовлен и в 1999 г. утвержден международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий». Ведущие мировые производители оборудования ИТ подготовились к этому моменту и сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
Заключение
Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры 4-х уровней:
законодательного;
административного;
процедурного;
программно-технического.
В современном мире национальная нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость привести российские стандарты и сертификационные нормативы в соответствие с общим международным уровнем развития ИТ и, в частности, с критериями оценки безопасности информационных технологий. Приведем основные причины своевременности такого шага. Во-первых, существует потребность в защищенном взаимодействии с иностранными организациями и зарубежными филиалами российских организаций. Во-вторых, на рынке реально доминируют аппаратно-программные продукты зарубежного производства.
Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.
Последний тезис подкрепляется материалами конференции «Информационная безопасность России в условиях Глобального Информационного Общества», организованной Советом Безопасности и Государственной Думой РФ в Москве 5 февраля. Актуальность рассматриваемой тематики подчеркивается документом «Доктрина информационной безопасности Российской Федерации», который был утвержден Президентом 9 сентября 2000 г. В нем, в частности, говорится, что «серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций».
09 июля 08
http://nau4ka.ru/2008/07/09/standarty-d ... internete/
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#4 5611 » Пн 21 июл, 2008 14:15 »
Электронная регистрационная карта на законопроект № 340741-4
Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры
Проект
ФЕДЕРАЛЬНЫЙ ЗАКОН
Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры
... 2. Совокупность критически важных объектов информационной и телекоммуникационной инфраструктуры образует критически важную информационную и телекоммуникационную инфраструктуру Российской Федерации, необходимую для обеспечения жизнедеятельности населения, функционирования экономики и деятельности органов государственного управления и местного самоуправления Российской Федерации.
3. Критически важный сегмент информационной и телекоммуникационной инфраструктуры Российской Федерации – составная часть критически важной инфраструктуры Российской Федерации, прекращение или нарушение функционирования которой может привести к чрезвычайной ситуации или к значительным негативным последствиям для отрасли экономики или хозяйства страны.
4. К критически важным сегментам информационной и телекоммуникационной инфраструктуры относятся сегменты, образуемые:
Государственной автоматизированной системой «Выборы»;
информационно-телекоммуникационными системами органов государственной власти;
автоматизированными системами управления войсками и оружием;
спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях;
информационно-телекоммуникационными системами органов управления правоохранительных структур;
средствами и системами телерадиовещания и другими системами информирования населения;
общегосударственными кадастрами и базами данных справочной информации;
магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
программно-техническими комплексами центров управления сетей связи;
информационно-телекоммуникационными системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы электронных платежей, информационные системы сбора обязательных платежей в бюджет, информационные системы учета и распределения бюджетных поступлений и расходов;
информационно-телекоммуникационными системами управления добычей и транспортировкой нефти, нефтепродуктов и газа;
информационно-телекоммуникационными системами управления водоснабжением, водонапорным и гидротехническим оборудованием;
информационно-телекоммуникационными системами управления энергоснабжением;
информационно-телекоммуникационными системами управления транспортом;
информационно-телекоммуникационными системами управления потенциально опасными объектами;
системами предупреждения и ликвидации чрезвычайных ситуаций;
географическими и навигационными системами;
системами, которые не относятся к вышеуказанным, но нарушение штатного режима функционирования которых может представлять угрозу национальным интересам Российской Федерации в информационной сфере
...
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к проекту федерального закона «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры»
Целью законопроекта является установление организационно-правовых особенностей обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры различных видов собственности и установление форм и методов государственного регулирования ее обеспечения.
Предлагаемые законопроектом нормы распространяются на критически важные объекты информационной и телекоммуникационной инфраструктуры, влияющие на безопасность государства в информационной сфере, включая функционирующие в их составе информационно-телекоммуникационные системы, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям.
Предметом нормативного регулирования в настоящем законопроекте являются правовые, организационные, экономические и иные отношения в сфере обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры, направленные на обеспечение их защиты от актов незаконного вмешательства.
Необходимость закона обусловлена рядом факторов. Основным из них является фактор террористической угрозы, опасность которого для объектов информационной и телекоммуникационной инфраструктуры резко возросла.
Недостаточное правовое урегулирование вопросов отнесения объектов информационной и телекоммуникационной инфраструктуры к критически важным, а также вопросов осуществления государственной экспертизы их защищенности, включая экспертизу объектов, принадлежащих организациям с негосударственной формой собственности, негативно сказывается на обеспечении информационной безопасности Российской Федерации.
Основной причиной создавшего положения, которое постоянно ухудшается, является отсутствие правовых механизмов регулирования процессов проектирования, создания и эксплуатации информационно-телекоммуникационных систем с учетом их значимости для обеспечения национальной безопасности Российской Федерации и возможных последствий от актов незаконного вмешательства или деструктивного информационного воздействия.
В настоящее время Гражданским кодексом Российской Федерации (статья 139) установлен один общий признак, которым должна обладать охраняемая информация - "коммерческая ценность", т.е. способность быть объектом рыночного оборота. Защита коммерческой тайны от неправомерных посягательств осуществляется на основе норм гражданского, административного либо уголовного права.
В тоже время значительная часть накапливаемой, обрабатываемой или передаваемой с использованием технических средств информации не является объектом рыночного оборота. Это так называемая «технологическая» информация – оперативно-диспетчерская, телеметрическая информация, команды телеуправления и телемеханики, а также статистическая, аналитическая и иная оперативная информация, на основе которой принимаются управленческие решения.
Указанная информация, как правило, не отчуждаема, не передается другим лицам и, соответственно, к ней не может быть применено понятие конфиденциальности в форме, используемой в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В тоже время, эта информация передается с использованием информационно-телекоммуникационных сетей, в том числе открытых, и обрабатывается в информационных системах, а воздействие на нее или искажение может иметь значительно более тяжкие последствия, чем разглашение информации ограниченного доступа.
Для подобной информации отсутствует деление, определяемое статьей 5 указанного Закона.
В этой связи представленный проект закона дополняет Федеральный закон № 149-ФЗ в части информационных систем и информационно-телекоммуникационных сетей, не подпадающих под определения статьи 2 указанного Закона, т.е. использующих «технологическую» информацию, и не противоречит указанному Закону.
Проект закона реализует принцип обеспечения безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащихся в них информации, изложенный в статье 3 Федерального закона № 149-ФЗ.
Проект закона развивает положение пункта 4 статьи 16 Федерального закона № 149-ФЗ в части описания порядка обеспечения «в случаях, установленных законодательством Российской Федерации … недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование».
Как показали результаты проверок, проведенных ФСТЭК России, система взаимоотношений между участниками взаимоотношений в сфере обеспечении информационной безопасности объектов информационной и телекоммуникационной инфраструктуры не регулируется законодательно, складываются стихийно, на основе рыночных механизмов, что создает условия для неконтролируемого воздействия на них и, в том числе, для злоупотреблений.
На объектах информационной и телекоммуникационной инфраструктуры, в том числе обеспечивающих деятельность силовых и финансовых структур, широко применяется программное обеспечение иностранного производства или заказываемое у случайных поставщиков.
В ряде информационных систем по решению их владельцев выполнение функций обработки информации, составляющей тайну личной жизни российских граждан, гарантированной Конституцией Российской Федерации, осуществляется за пределами России, в основном в США. В этих системах обрабатывается также информация о персональных данных граждан, которая становится доступной для зарубежных спецслужб и может использоваться для контроля за деятельностью и перемещениями руководства Российской Федерации, должностных лицах силовых структур, военнослужащих.
Программное обеспечение для обработки информации, в том числе составляющей государственную и служебную тайну, в большинстве случаев приобретается у случайных поставщиков и, соответственно, проверку на наличие недекларированных возможностей не проходит, поэтому его применение создает условия для неконтролируемого воздействия на объекты информационной и телекоммуникационной инфраструктуры, где оно установлено.
Как показали результаты технических мероприятий, проведенных в ходе проверок, информация, циркулирующая в этих системах, может быть доступна интересантам, и, в первую очередь, террористическим организациям.
В предложенном проекте федерального закона устанавливаются особенности осуществления:
определения угроз информационной безопасности критически важных объектов информационно-телекоммуникационной инфраструктуры;
оценки уязвимости объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации от актов незаконного вмешательства и деструктивных информационных воздействий;
категорирования критически важных объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации в зависимости от негативных последствий, возникающих вследствие прекращения или нарушения их функционирования;
разработки требований и реализации мер по обеспечению информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.
Следует отметить, что реализации норм предлагаемого проекта федерального закона не потребует создания нового федерального органа исполнительной власти в связи с тем, что такой орган определен Указом Президента Российской Федерации от 16 августа 2004 г., которым утверждено «Положение о Федеральной службе по техническому и экспортному контролю (ФСТЭК России). Согласно данному Положению, ВСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности в ключевых системах информационной инфраструктуры.
Предлагаемое проектом федерального закона создание единой государственной системы контроля состояния безопасности информационно-телекоммуникационных систем предусматривает проведение только организационных мероприятий, направленных на управление контролем состояния информационной безопасности, проводимой ведомственными органами контроля, а именно:
- создание единой нормативной базы по проведению контроля состояния информационной безопасности для всех органов и организаций критически важных объектов информационной и телекоммуникационной инфраструктуры;
- учет результатов контроля в единой базе данных федерального органа, уполномоченного в области обеспечения безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.
В этой связи можно сделать вывод, что на реализацию данного закона дополнительных расходов, покрываемых за счет средств федерального бюджета, не потребуется
Принятие Федерального закона "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры" обеспечит реализацию государственной политики в области информационной безопасности Российской Федерации и позволит упорядочить отношений между государственными органами и субъектами информационной и телекоммуникационной инфраструктуры в указанной области.
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=340741-4&02
Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры
Проект
ФЕДЕРАЛЬНЫЙ ЗАКОН
Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры
... 2. Совокупность критически важных объектов информационной и телекоммуникационной инфраструктуры образует критически важную информационную и телекоммуникационную инфраструктуру Российской Федерации, необходимую для обеспечения жизнедеятельности населения, функционирования экономики и деятельности органов государственного управления и местного самоуправления Российской Федерации.
3. Критически важный сегмент информационной и телекоммуникационной инфраструктуры Российской Федерации – составная часть критически важной инфраструктуры Российской Федерации, прекращение или нарушение функционирования которой может привести к чрезвычайной ситуации или к значительным негативным последствиям для отрасли экономики или хозяйства страны.
4. К критически важным сегментам информационной и телекоммуникационной инфраструктуры относятся сегменты, образуемые:
Государственной автоматизированной системой «Выборы»;
информационно-телекоммуникационными системами органов государственной власти;
автоматизированными системами управления войсками и оружием;
спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях;
информационно-телекоммуникационными системами органов управления правоохранительных структур;
средствами и системами телерадиовещания и другими системами информирования населения;
общегосударственными кадастрами и базами данных справочной информации;
магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
программно-техническими комплексами центров управления сетей связи;
информационно-телекоммуникационными системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы электронных платежей, информационные системы сбора обязательных платежей в бюджет, информационные системы учета и распределения бюджетных поступлений и расходов;
информационно-телекоммуникационными системами управления добычей и транспортировкой нефти, нефтепродуктов и газа;
информационно-телекоммуникационными системами управления водоснабжением, водонапорным и гидротехническим оборудованием;
информационно-телекоммуникационными системами управления энергоснабжением;
информационно-телекоммуникационными системами управления транспортом;
информационно-телекоммуникационными системами управления потенциально опасными объектами;
системами предупреждения и ликвидации чрезвычайных ситуаций;
географическими и навигационными системами;
системами, которые не относятся к вышеуказанным, но нарушение штатного режима функционирования которых может представлять угрозу национальным интересам Российской Федерации в информационной сфере
...
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к проекту федерального закона «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры»
Целью законопроекта является установление организационно-правовых особенностей обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры различных видов собственности и установление форм и методов государственного регулирования ее обеспечения.
Предлагаемые законопроектом нормы распространяются на критически важные объекты информационной и телекоммуникационной инфраструктуры, влияющие на безопасность государства в информационной сфере, включая функционирующие в их составе информационно-телекоммуникационные системы, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям.
Предметом нормативного регулирования в настоящем законопроекте являются правовые, организационные, экономические и иные отношения в сфере обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры, направленные на обеспечение их защиты от актов незаконного вмешательства.
Необходимость закона обусловлена рядом факторов. Основным из них является фактор террористической угрозы, опасность которого для объектов информационной и телекоммуникационной инфраструктуры резко возросла.
Недостаточное правовое урегулирование вопросов отнесения объектов информационной и телекоммуникационной инфраструктуры к критически важным, а также вопросов осуществления государственной экспертизы их защищенности, включая экспертизу объектов, принадлежащих организациям с негосударственной формой собственности, негативно сказывается на обеспечении информационной безопасности Российской Федерации.
Основной причиной создавшего положения, которое постоянно ухудшается, является отсутствие правовых механизмов регулирования процессов проектирования, создания и эксплуатации информационно-телекоммуникационных систем с учетом их значимости для обеспечения национальной безопасности Российской Федерации и возможных последствий от актов незаконного вмешательства или деструктивного информационного воздействия.
В настоящее время Гражданским кодексом Российской Федерации (статья 139) установлен один общий признак, которым должна обладать охраняемая информация - "коммерческая ценность", т.е. способность быть объектом рыночного оборота. Защита коммерческой тайны от неправомерных посягательств осуществляется на основе норм гражданского, административного либо уголовного права.
В тоже время значительная часть накапливаемой, обрабатываемой или передаваемой с использованием технических средств информации не является объектом рыночного оборота. Это так называемая «технологическая» информация – оперативно-диспетчерская, телеметрическая информация, команды телеуправления и телемеханики, а также статистическая, аналитическая и иная оперативная информация, на основе которой принимаются управленческие решения.
Указанная информация, как правило, не отчуждаема, не передается другим лицам и, соответственно, к ней не может быть применено понятие конфиденциальности в форме, используемой в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В тоже время, эта информация передается с использованием информационно-телекоммуникационных сетей, в том числе открытых, и обрабатывается в информационных системах, а воздействие на нее или искажение может иметь значительно более тяжкие последствия, чем разглашение информации ограниченного доступа.
Для подобной информации отсутствует деление, определяемое статьей 5 указанного Закона.
В этой связи представленный проект закона дополняет Федеральный закон № 149-ФЗ в части информационных систем и информационно-телекоммуникационных сетей, не подпадающих под определения статьи 2 указанного Закона, т.е. использующих «технологическую» информацию, и не противоречит указанному Закону.
Проект закона реализует принцип обеспечения безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащихся в них информации, изложенный в статье 3 Федерального закона № 149-ФЗ.
Проект закона развивает положение пункта 4 статьи 16 Федерального закона № 149-ФЗ в части описания порядка обеспечения «в случаях, установленных законодательством Российской Федерации … недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование».
Как показали результаты проверок, проведенных ФСТЭК России, система взаимоотношений между участниками взаимоотношений в сфере обеспечении информационной безопасности объектов информационной и телекоммуникационной инфраструктуры не регулируется законодательно, складываются стихийно, на основе рыночных механизмов, что создает условия для неконтролируемого воздействия на них и, в том числе, для злоупотреблений.
На объектах информационной и телекоммуникационной инфраструктуры, в том числе обеспечивающих деятельность силовых и финансовых структур, широко применяется программное обеспечение иностранного производства или заказываемое у случайных поставщиков.
В ряде информационных систем по решению их владельцев выполнение функций обработки информации, составляющей тайну личной жизни российских граждан, гарантированной Конституцией Российской Федерации, осуществляется за пределами России, в основном в США. В этих системах обрабатывается также информация о персональных данных граждан, которая становится доступной для зарубежных спецслужб и может использоваться для контроля за деятельностью и перемещениями руководства Российской Федерации, должностных лицах силовых структур, военнослужащих.
Программное обеспечение для обработки информации, в том числе составляющей государственную и служебную тайну, в большинстве случаев приобретается у случайных поставщиков и, соответственно, проверку на наличие недекларированных возможностей не проходит, поэтому его применение создает условия для неконтролируемого воздействия на объекты информационной и телекоммуникационной инфраструктуры, где оно установлено.
Как показали результаты технических мероприятий, проведенных в ходе проверок, информация, циркулирующая в этих системах, может быть доступна интересантам, и, в первую очередь, террористическим организациям.
В предложенном проекте федерального закона устанавливаются особенности осуществления:
определения угроз информационной безопасности критически важных объектов информационно-телекоммуникационной инфраструктуры;
оценки уязвимости объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации от актов незаконного вмешательства и деструктивных информационных воздействий;
категорирования критически важных объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации в зависимости от негативных последствий, возникающих вследствие прекращения или нарушения их функционирования;
разработки требований и реализации мер по обеспечению информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.
Следует отметить, что реализации норм предлагаемого проекта федерального закона не потребует создания нового федерального органа исполнительной власти в связи с тем, что такой орган определен Указом Президента Российской Федерации от 16 августа 2004 г., которым утверждено «Положение о Федеральной службе по техническому и экспортному контролю (ФСТЭК России). Согласно данному Положению, ВСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности в ключевых системах информационной инфраструктуры.
Предлагаемое проектом федерального закона создание единой государственной системы контроля состояния безопасности информационно-телекоммуникационных систем предусматривает проведение только организационных мероприятий, направленных на управление контролем состояния информационной безопасности, проводимой ведомственными органами контроля, а именно:
- создание единой нормативной базы по проведению контроля состояния информационной безопасности для всех органов и организаций критически важных объектов информационной и телекоммуникационной инфраструктуры;
- учет результатов контроля в единой базе данных федерального органа, уполномоченного в области обеспечения безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.
В этой связи можно сделать вывод, что на реализацию данного закона дополнительных расходов, покрываемых за счет средств федерального бюджета, не потребуется
Принятие Федерального закона "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры" обеспечит реализацию государственной политики в области информационной безопасности Российской Федерации и позволит упорядочить отношений между государственными органами и субъектами информационной и телекоммуникационной инфраструктуры в указанной области.
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=340741-4&02
Вернуться в Последние новости отрасли
Сообщений: 4
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3
- Телекомфорум • Активные темы •
- • Мобильный вид • Удалить cookies конференции • Текущее время: Сб 21 июн, 2025 17:40
Перейти на сайт
© 2003 - 2014 Electrosvyaz
Мнения участников форума могут не совпадать с мнением администрации форума. Администрация форума не несет ответственности за размещенные сообщения пользователей.
Все права защищены. Свободное некоммерческое использование материалов сайта и форума в интернете, полное или частичное, допускается при условии указания авторства electrosvyaz.com и активной ссылки на первоисточник, обязательной для каждого взятого текста и/или файла.
Powered by phpBB © 2003 - 2013 phpBB Group.