Особенности защиты информации в специализированных организациях военно-стратегического назначения

Соболь Сергей Юрьевич
20.05.2005 | 14:06
Соболь Сергей Юрьевич



Одной из важнейших проблем национальной безопасности страны является обеспечение информационной безопасности и защиты информации в специализированных организациях военно-стратегического назначения.

К специализированным организациям военно-стратегического назначения Министерства обороны относятся работающие на оборонный заказ предприятия военно-научного сопровождения разработки государственных программ обороноспособности страны, систем вооружения, стратегических ударных средств, космических комплексов и средств ракетно-космической обороны, систем боевого управления стратегическими ядерными силами и другие специализированные научные организации, имеющие особый режим безопасного функционирования и охраны государственной тайны.

Следует отметить, что в условиях рыночной экономики деятельность этих ранее полностью засекреченных и зачастую градообразующих организаций несколько изменилась. В настоящее время предприятия и организации, на которые законодательством РФ возложены функции оперативно-стратегического и военно-экономического обоснования разработки и сопровождения научно-технической продукции оборонного назначения, являются юридическими лицами в форме государственных унитарных (федеральных казенных) предприятий (ГУП) на праве хозяйственного ведения либо оперативного управления. Эти предприятия созданы на базе ликвидированных федеральных государственных предприятий Министерства обороны и являются их правопреемниками. (Это касается ранее выделенных федеральных средств, отношений землепользования, природопользования, использования недр, предоставления квот и лицензий и др.).

Правовой основой реорганизации особо защищаемых объектов национальной безопасности страны послужило следующее. Конституцией Российской Федерации 1993 года управление федеральной собственностью отнесено к компетенции Правительства РФ. В соответствии с этим Правительство Российской Федерации приняло Постановление от 10 февраля 1994 г. N 96 "О делегировании полномочий Правительства Российской Федерации по управлению и распоряжению объектами федеральной собственности". (Российская газета. - N34. - 19.02.94.) Согласно этому постановлению решение о создании или ликвидации государственных федеральных предприятий принимается Правительством Российской Федерации на основании совместного представления федеральных органов исполнительной власти - Министерства имущественных отношений Российской Федерации, Министерства экономического развития и торговли и отраслевого федерального органа исполнительной власти.

Правовое положение унитарного предприятия, основанного на праве оперативного управления (федерального казенного предприятия) весьма специфично и несколько "уже" права хозяйственного ведения. Федеральное казенное предприятие создается на базе федерального имущества по особому решению Правительства Российской Федерации (ст.115 ГК РФ). При этом федеральные казенные предприятия (в отличие от аналогичных специализированных военно-стратегических организаций бывшего СССР) также обладают определенной хозяйственной самостоятельностью. Она ограничивается предметом и целями деятельности, установленными Правительством Российской Федерации и предусмотренными в уставе предприятия. В этих пределах государственное унитарное предприятие самостоятельно решает вопросы своей хозяйственной деятельности. И хотя самостоятельность казенных предприятий значительно меньше, чем самостоятельность государственных унитарных предприятий, действующих на праве хозяйственного ведения, они наделены правом самостоятельно реализовывать производимую ими продукцию (работы, услуги), использовать прибыль, получать кредиты, вести иную хозяйственную деятельность. (См. об этом: Косякова Н. И. Государственное предприятие в рыночной экономике. М., 2001.)

Таким образом, правовое положение специализированных организаций военно-стратегического назначения, образованных в форме государственных унитарных предприятий, позволяет им в рамках устава с согласия уполномоченного органа (Министерства обороны) осуществлять предпринимательскую деятельность, создавать "дочерние фирмы" , распоряжаться своим имуществом и т.д. Подобная "открытость" хозяйственной деятельности, широкая кооперация с партнерами (в том числе и зарубежными) оказывает существенное влияние на безопасность функционирования научных объектов военно-стратегического назначения, требует установления на них особого информационного режима национальной безопасности. Ситуация обостряется тем, что вследствие реформирования Вооруженных Сил Российской Федерации и конверсии резко сократился государственный оборонный заказ и производство на предприятиях оборонного значения, мизерные цифры составляет заработная плата военнослужащих и лиц наемного состава, происходит потеря квалифицированных кадров уникальных научно-производственных предприятий. Пропаганда культа насилия, порнографии, деятельности деструктивных сект, массовое увлечение экстрасенсорикой, "белой" и "черной" магией воздействуют на сознание военнослужащих не в меньшей степени, как и на остальных членов общества. В данной ситуации зачастую интересы личности начинают преобладать над служебным долгом и ответственностью за защиту своего Отечества.

Возможность сдачи площадей в аренду приводит к увеличению нахождения на территориях научно-военизированных организаций юридических и физических лиц рыночной экономики, не имеющих непосредственного отношения к деятельности специализированных структур.

Все это в совокупности формирует такой фон политического и социально-экономического положения организаций военно-стратегического назначения, на котором вполне естественными кажутся противоречия между обеспечением выполнения функций, ради которых были образованы специализированные объекты, необходимостью защиты государственных секретов в этих особо важных для государства организациях и расширением свободного обмена информацией.

К сожалению, процесс осознания руководством остроты существующих проблем информационной безопасности на предприятиях военно-стратегического назначения значительно отстает от темпов возрастания информационных угроз. По-прежнему приходится сталкиваться с отсутствием согласованных подходов и ясного понимания целей, задач и направлений работ в формировании системы защиты информации на всех уровнях и во всех ветвях управления военизированными организациями. Имеет место дублирование функций, внутриведомственная разобщенность, остаточный принцип финансирования вопросов, связанных с защитой информации, отсутствие достаточного числа подготовленных специалистов, ненадлежащий контроль исполнения, другие негативные явления. Как показал анализ, в некоторых организациях не выполняются требования федеральных законов и постановлений Правительства РФ. Руководители этих органов просто о них не знают.

Практически никто из собственников государственных информационных ресурсов (в том числе на объектах военно-стратегического назначения) не ответит в полном объеме на вопрос, какими информационными ресурсами они располагают, какова ценность этих ресурсов, как они защищены?

Мало кто знает о случаях атак на информационные системы, их взлома, хищения информации, о причиненном вреде и последствиях от этого. Нет полной информации и в контролирующих ведомствах, так как об этом, как правило, никто никому не докладывает.

Сегодня мы вынуждены констатировать, что именно нечеткость управления государственными унитарными предприятиями по всей вертикали является самым слабым звеном в системе защиты информации. (Необходимость пересмотра принципов и приоритетов в области управления и распоряжения ГУПами предусмотрена Концепцией управления государственным имуществом и приватизации в Российской Федерации от 9 сентября 1999 г.)

Чтобы решить вопрос защиты государственных информационных ресурсов от несанкционированного доступа, нужна координация усилий вплоть до нижнего уровня объектов защиты, чего в настоящее время нет.

Особое внимание следует уделять работе с личным составом военно-стратегических объектов. Организационные мероприятия при работе с сотрудниками "закрытых" объектов должны включать в себя тщательную проверку в особом режиме принимаемого на работу, беседы при приеме на работу с заключением соглашения о неразглашении конфиденциальной информации, ознакомление с правилами и процедурами работы с конфиденциальной информацией, обучение правилам и процедурам работы с секретной и совершенно секретной информацией.

С точки зрения информационной безопасности необходимо использовать два основных принципа управления кадрами: разделение обязанностей и минимизация привилегий.

Принцип разделения обязанностей состоит в таком распределении ролей и ответственности, чтобы один человек не смог нарушить критически важный для организации процесс.

Принцип минимизации привилегий служит развитием предыдущего и предписывает выделять работникам только те права доступа к информации, которые необходимы для выполнения служебных обязанностей.

При этом следует обязательно ознакомить сотрудника с должностной инструкцией или другим документом, определяющим его права, обязанности и ответственность как сотрудника военно-стратегической организации, в том числе и с точки зрения информационной безопасности. В пределах полномочий он должен быть посвящен в основы общей политики безопасности, принятой на предприятии. На режимных объектах также целесообразно формальное протоколирование всех действий, связанных с предоставлением работнику тех или иных полномочий доступа к информации и, что особенно важно, с передачей этих полномочий другим лицам (на время отпуска, командировки, болезни и др.).

Особое внимание нужно обращать на то, чтобы тем или иным способом доступ к конфиденциальной информации не могли получить сотрудники внешних организаций, проводящих, например, обновление версий программного обеспечения, установку новых систем, профилактическое обслуживание, ремонт и т.п. Время проведения таких работ должно тем или иным образом протоколироваться.

Наряду с рассмотренными выше соображениями, в основе реализации комплексного подхода к обеспечению информационной безопасности должны лежать еще два принципа.

Первый принцип состоит в том, что (как это не покажется парадоксальным) абсолютно надежную, "непробиваемую" защиту создать практически невозможно. (См. об этом: Информационная безопасность государственных организаций и коммерческих фирм. Под общ. ред. Л.Д. Реймана. М., 2002. - С. 100.) В лучшем случае можно лишь добиться адекватности системы потенциально возможным угрозам. Поэтому одним из важнейших требований к системе должно являться разумное соотношение затрат на защиту информации и возможных финансовых потерь от нарушения информационной безопасности. (Бессмысленно строить сверхнадежную систему безопасности, затраты на которую существенно превысят ценность хранимой в ней информации).

С другой стороны, важно и то, какие затраты должен понести злоумышленник, чтобы "вскрыть" систему, и как они соотносятся с ценностью и актуальностью хранимой в ней информации.

Как мы уже говорили, не существует абсолютно надежных систем, но правильно построенные системы должны требовать от злоумышленника таких затрат времени или денег на "вскрытие" , чтобы эта операция оказывалась бессмысленной с практической точки зрения.

Второй принцип предполагает, что система должна быть гибкой и легко адаптироваться к изменяющимся внешним условиям. Здесь уместна аналогия с так называемыми проблемами "снаряда и брони" или "замка и отмычки". Поскольку угрозы информационной безопасности постоянно становятся все изощреннее, в системе должен быть заложен определенный запас прочности как в части программно-технических средств, так и в части организационных мер безопасности.

Функционально процесс разработки системы безопасности в специализированной военно-стратегической организации можно представить последовательностью этапов: информационного обследования, разработки организационно-распорядительных документов, приобретения, установки и настройки программно-технических средств защиты, ввода системы в эксплуатацию.

При этом при построении системы информационной безопасности военно-стратегического предприятия можно пойти по двум основным направлениям. Первый из них - построение системы, ориентированной на защиту от наиболее характерных и распространенных угроз информационной безопасности, выявленных в зарубежной и отечественной практике. Второй - построение системы безопасности на основе результатов анализа уязвимости информационной системы конкретного предприятия с учетом особенностей циркулирующей в ней информации, используемых аппаратно-программных средств, сложившейся системы документооборота и др. Рассмотрим основные особенности этих путей подробнее.

Выбор требований к системе информационной безопасности на основе анализа характерных угроз требует сравнительно небольших затрат (что важно для организаций с ограниченным бюджетом), но, поскольку этот метод может привести к избыточной защите или, наоборот, к реализации защиты, не учитывающей важных особенностей обработки информации в конкретной организации, полагаем необходимым отказаться от применения данного метода защиты информации на специализированных предприятиях с особым режимом секретности.

Наиболее сложный, но более эффективный способ обеспечения информационной безопасности специализированных организаций военно-стратегического назначения заключается в том, что наиболее вероятные угрозы выбираются на основе анализа существующей информационной системы предприятия, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Такой подход в потенциале позволяет сузить спектр реальных вероятных угроз и, тем самым, обеспечить более эффективную отдачу от средств, вложенных в создание системы.

Хотя реализация этого метода требует определенных затрат времени, привлечения квалифицированных специалистов и дополнительных финансовых затрат, его применение представляется наиболее целесообразным для защиты особо охраняемых объектов.

В рамках метода анализа уязвимости информационной системы можно выделить три основных варианта выполнения работ - тестирование на преодоление защиты, аудит и собственно комплексное обследование информационной системы.

Тестирование на преодоление защиты заключается в попытке стороннего консультанта обойти принятую в организации систему безопасности. При этом консультант выступает в роли внутреннего или внешнего злоумышленника. Основными целями предпринимаемой попытки преодоления защиты являются доказательство возможности взлома системы и выявление реакции на атаку персонала организации. Недостаток этого варианта - отсутствие в результате его осуществления целостной картины состояния информационной безопасности предприятия, ибо проведение определенной отдельной атаки не позволяет выявить весь набор уязвимых и слабых мест системы и не дает никаких рекомендаций по комплексному повышению уровня защищенности.

Под аудитом подразумевается оценка текущего состояния компьютерной системы на соответствие некоему стандарту или предъявляемым требованиям. В ходе аудита эксперты по формальным критериям стандарта оценивают, в какой мере данный компонент или процесс удовлетворяет приведенным в стандарте требованиям, одновременно формируя список уязвимых мест автоматизированной системы. Отчет об аудите содержит оценку соответствия системы данному стандарту, но не содержит рекомендаций и предложений по устранению выявленных уязвимых мест и повышению уровня защищенности.

Обследование информационной системы - наиболее сложный и полезный вид работ по созданию качественной системы информационной безопасности. В рамках этой работы проводится комплексная оценка информационной системы с учетом ее особенностей. Такая оценка включает анализ информационных потоков, аппаратного и программного обеспечения, сетевой инфраструктуры, методов управления и администрирования ее компонентов.

В общем случае в ходе комплексного анализа выполняются:

  • анализ существующей организационной структуры обеспечения информационной безопасности;
  • анализ существующей нормативно-правовой базы информационной безопасности системы, в том числе оценка принятой политики безопасности, организационно-распорядительных документов, положений и инструкций по обеспечению защиты информации, а также анализ их соответствия существующим законодательным и нормативным актам;
  • анализ средств программно-технической защиты информации, а также порядка их применения;
  • выявление угроз безопасности (как внутренних, так и внешних) и существующих уязвимых мест в компонентах системы, а также оценка рисков. В результате составляется список наиболее опасных угроз безопасности, перечень и описание уязвимых мест компонентов, включая описание их источников (модель нарушителя) и механизмов их реализации;
  • разработка рекомендаций по модернизации существующей системы защиты информации предприятия.

    Таким образом, обследование информационной системы военно-стратегического объекта позволит не только оценить степень уязвимости, но и определить пути устранения наиболее вероятных угроз для минимизации возможных потерь.

    Практика показывает, что для эффективной реализации комплексной системы информационной безопасности предприятия необходимо решить ряд организационных задач, важнейшими из которых являются:
  • создание специального подразделения, осуществляющего административную и техническую поддержку системы (разработку правил эксплуатации и определение полномочий пользователей, настройку программно-технических средств, контроль безопасности и реакцию на поступающие сигналы о нарушениях установленных правил и др.);
  • разработка технологии обеспечения информационной безопасности, предусматривающей порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;
  • внедрение данной технологии путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов.

    Остановимся немного подробнее на специальном подразделении в структуре военно-стратегической организации, ответственном за информационную безопасность (в том числе, за обеспечение сохранности государственной и военной тайны, комплексное противодействие иностранным техническим разведкам и т.д.). По сути, это подразделение представляет собой службу информационной безопасности. Как правило, руководитель службы информационной безопасности является либо заместителем руководителя организации по безопасности, либо непосредственно подчиняется ему. Служба информационной безопасности должна быть вертикально интегрирована во все структурные подразделения предприятия. Соответственно начальник каждого структурного подразделения (управления, отдела) предприятия должен лично отвечать за состояние планирования и организации защиты информации во вверенном ему подразделении.

    С организационной точки зрения, важно вполне определенное распределение обязанностей между службой информационной безопасности и службой информационных технологий. Первая непосредственно должна отвечать за безопасность, а вторая - за конфигурирование сетей, работоспособность технических и программных средств. Это необходимо для того, чтобы эти службы имели возможность эффективно взаимодействовать, а также для того, чтобы не возникало конфликтов, когда одна сторона будет вмешиваться в сферу деятельности другой. Например, служба информационной безопасности определяет полномочия пользователей, которые не может изменить служба информационных технологий, но не вмешивается в процесс функционирования системы до возникновения критической ситуации. В последнем случае по требованию службы информационной безопасности служба информационных технологий блокирует работу определенной станции или сервера сети.

    Аналогично, в отдельных подразделениях организации с функциональной точки зрения необходимо выделить "администратора безопасности" и "администратора сети" , обязанности которых распределяются сходным образом. Как правило, эти обязанности должны возлагаться на заместителей начальников соответствующих подразделений.

    Организационные вопросы внедрения комплексной системы защиты информации в организациях военно-стратегического назначения должны обеспечиваться соответствующим правовым регулированием. Одной из важных задач этого уровня должно являться создание механизма, позволяющего актуализировать процесс разработки нормативной правовой базы предприятия в соответствии с принятием и изменениями действующего законодательства. При этом процесс разработки нормативного уровня защиты должен происходить одновременно (либо с небольшим отрывом) с прогрессом информационных технологий и средств защиты. На нормативно-техническом уровне разрабатываются стандарты, руководящие и методические материалы, другие документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.

    Представляется, что политика безопасности режимного государственного предприятия может определяться принятием следующих документов: концепции обеспечения информационной безопасности организации; плана защиты информации; положения о категорировании информационных ресурсов; порядка обращения с информацией, подлежащей защите; плана обеспечения непрерывной работы и восстановления информационной безопасности; положения об отделе технической защиты информации; инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств (организации парольной защиты, антивирусной защиты) и др.К примеру, "Порядок обращения с информацией, подлежащей защите" должен содержать:
  • определение основных видов защищаемых (конфиденциальных) сведений (информационных ресурсов);
  • общие вопросы организации учета, хранения и уничтожения документов и магнитных носителей конфиденциальной информации;
  • порядок передачи (предоставления) конфиденциальных сведений третьим лицам;
  • определение ответственности за нарушение установленных правил обращения с защищаемой информацией;
  • форму типового соглашения (обязательства) сотрудника организации о соблюдении требований обращения с защищаемой информацией.

    "Инструкция по организации антивирусной защиты" должна устанавливать: требования к закупке, установке антивирусного программного обеспечения; порядок использования средств антивирусной защиты, регламенты проведения проверок и действия персонала при обнаружении вирусов; распределение ответственности за организацию и проведение антивирусного контроля.

    "Инструкция по организации парольной защиты" должна регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, контроль действий пользователей и обслуживающего персонала при работе с паролями и т.п.

    Как показал анализ, очень часто на режимном предприятии возникают проблемы, когда актуализация пакета организационно-распорядительных документов "не поспевает" за развитием информационной системы предприятия. Например, изменилась организационная структура предприятия, в систему добавлены новые функциональные возможности, новые про граммы, новые рабочие станции, серверы и т.п. Происходит два варианта негативного развития событий.

    В первом варианте сотрудники службы информационной безопасности по тем или иным причинам не проводят актуализацию действующих документов. По мере развития информационной системы предприятия документы все более устаревают и не отражают текущего состояния дел.

    Во втором варианте документы все-таки подвергаются переработке, но не с целью приведения их в соответствие деталям информационной системы, а с целью их упрощения и обобщения. В этом случае из документов убирается конкретика, и поэтому устаревать они будут значительно медленнее, но содержат они, так сказать, "декларации" и "благие пожелания". Оба варианта ведут к тому, что при таком подходе к созданию информационной системы пакет документов вместо решения практических задач будет просто мешать нормальной работе.

    Поэтому основной задачей руководства специализированных военно-стратегических объектов должно стать определение такой политики информационной безопасности вверенной им организации, при которой разработка соответствующей нормативной правовой базы построения системы информационной безопасности предприятия будет обеспечивать качественную защиту информационных ресурсов от несанкционированного доступа, своевременную актуализацию принимаемых документов, разграничение функциональных обязанностей и ответственности, максимально четкое понимание всеми сотрудниками предъявляемых к ним требований по защите информации. При этом каждый из сотрудников военно-стратегического объекта должен нести ответственность за нарушение информационной безопасности только в пределах сферы своих полномочий, которая должна быть четко определена документально.

    При правильной постановке дела администрация военно-специализированных организаций должна принимать целый ряд мер по популяризации политики безопасности среди сотрудников. В этом плане, как минимум, всем сотрудникам должна быть ясна проводимая политика безопасности предприятия, доступен текст Концепции информационной безопасности, каждый должен иметь возможность пройти соответствующее обучение, принять участие в соответствующих семинарах, деловых играх и пр.

    Источник: http://it2b.ru