Процедура разрешения конфликтов

Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения.

Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:

должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу;

хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.

Такой режим может быть обеспечен системой из нескольких открытых ключей.

Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.

Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся:

· принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности;

· выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности;

· обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности.

Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.

Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.

Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным.

Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов.

Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным.

Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК(ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений.

Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось.

Интернет заостряет любую проблему обеспечения безопасности в сетевой среде до предела, и если раньше можно было игнорировать развитие информационных технологий, мировой опыт и международное законодательство в области защиты информации и коммуникаций, то сейчас этого себе позволить уже нельзя. Интернет ведет жесткий отбор, у него своя система лицензирования и сертификации, где неудачник отсекается без объяснений, независимо от того, есть у него какой-либо документ либо нет.

С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает:

· приведение национальных и отраслевых стандартов в соответствие с международными;

· участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях);

· возможность признания в России международных сертификатов.

Что касается восприятия сертификатов пользователями, то сегодня на российского пользователя завораживающе действует само слово "сертификат", причем часто даже не обращается внимание на соответствие чему он выдан. Например, межсетевые экраны зачастую сертифицируются не на обеспечение защиты корпоративной сети при передаче информации по открытым каналам связи, а в качестве, например, однопользовательской системы для доступа ко всем ресурсам сети, после чего пользователю не без успеха внушается мысль, что ему предлагается сертифицированное средство.

Можно ли в настоящее время использовать несертифицированные средства защиты? Запрета на это нет, но только тогда, когда, как это прямо оговорено в законе, они используются для обработки информации ограниченного доступа или для подключения к сетям внутрикорпоративного информационного обмена. Однако использование несертифицированных средств, в соответствии с законодательством, не позволяет решать спорные вопросы в судебном порядке и грозит убытками. Ситуацию не спасает даже запись в договоре с фирмой, поставившей несертифицированное оборудование, о ее материальной ответственности в случае конфликта при проведении платежных операций, поскольку при использовании такого оборудования юридически невозможно доказать наличие факта выполнения операции, явившейся предметом конфликта.

Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства.

Существуют серьезные проблемы обеспечения информационной безопасности банков, которые до сих пор не нашли своего решения. Например, как обеспечить защищенный обмен информацией с представительством банка за рубежом? Здесь имеет место юридическая коллизия, в соответствии с которой, с одной стороны, вывозить отечественные средства защиты за рубеж можно только по специальному разрешению, а с другой, – можно использовать средства защиты зарубежного производства, только прошедшие российскую сертификацию, а таковые отсутствуют.

Другой вопрос: нужно ли банку самому разрабатывать защищенную автоматизированную систему. Для того, чтобы банк мог разрабатывать защищенную АБС, он должен получить лицензию, если будут использоваться криптографические средства. При этом банк не получит лицензию, если в его уставе прямо не записано, что он может заниматься разработкой защищенных систем, поскольку подобная деятельность относится к сфере оказания услуг.

ЦБ РФ располагает достаточно объемным методическим документом по организации информационной защиты кредитно-финансовых учреждений, разработанным первоначально в виде концепции фирмой "Ланит" и согласованным с ГТК. Он описывает все необходимые шаги защиты банковской информации от угроз и пути их реализации.

Защищенная автоматизированная система с элементами криптозащиты, основанными на продукте "Верба", была реализована и прошла аттестацию. В соответствии с законодательством, системы подлежат аттестации, а их элементы – сертификации в Клиринговом центре МФД. Разработкой концепции системы занималась фирма "Амулет", не имеющая лицензии и не являющаяся специалистом в подобных вопросах. После экспертизы концепции системы в ГТК находившийся на стадии реализации проект пришлось коренным образом перерабатывать при помощи специализированных фирм, и МФД понес крупные дополнительные расходы.

Даже специализированные организации практически никогда в одиночку не работают над созданием защищенных информационных систем, поэтому банку заниматься разработкой защищенной АБС нет смысла, так как сложность подобных работ очень высока. Во Франции ряд банков на паях создали фирму, которая взяла на себя решение задачи создания защищенной АБС и разработала такую систему.

Если возникает потребность в подобной системе, можно пойти либо по такому же пути, либо, что более эффективно, создать организацию, которая смогла бы четко сформулировать требования по модификации существующих АБС для их реализации одной из фирм, имеющих лицензию на разработку систем информационной безопасности.

Для решения проблем информационной безопасности необходима тесная координация деятельности всех субъектов, которых касаются вопросы безопасности: пользователей, производителей средств безопасности и государственных органов создающих нормативные документы и осуществляющих надзорные функции.

В соответствии с установленным законодательством, функции контроля и регулирования разработки, эксплуатации, сертификации программных и технических средств защиты информации от несанкционированного доступа, а также лицензирования предприятий на право деятельности в области защиты информации возложены на Федеральную службу по техническому и экспортному контролю (ФСТЭК).

ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов.

1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.

2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»– описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации.

3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда.

4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа.

5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы.

6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран.

На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации.