Головні результати діяльності та перспективи подальшого розвитку системи ТЗІ

Діхтяренко М. Д.
20.05.2005 | 13:58
Суттю положень Концепції технічного захисту інформації в Україні є забезпечення таких властивостей інформації як конфіденційність, цілісність та доступність. Пріоритетність забезпечення цих властивостей залежить від типу, приналежності та важливості інформації, а ступінь невідповідності зазначеним вимогам визначає шкоду, нанесену власнику інформації.

Вимога доступності інформації передбачає гарантії безперешкодного, своєчасного та на належному рівні доступу до інформації користувачам та учасникам інформаційного обміну. Вимога цілісності інформації передбачає гарантії обігу інформації тільки за тими адресами та тільки в такому вигляді і з таким змістом, які вибирають учасники інформаційного обміну.

Вимога кофіденційності інформації передбачає гарантії збереження усіх передбачених законодавством України таємниць, включаючи особисті дані та дані про особу, підприємницьку та інші таємниці. Слід зважити, що в цьому випадку мова йде в тому числі і про інформацію, яка у фрагментарному вигляді не містить таємних відомостей, але в сукупному вигляді, накопичена на території та за часом, може бути віднесена до інформації з обмеженим доступом.

Доречно зауважити, що якщо конфіденційність відноситься до інформації з обмеженим доступом і є поняттям, що лежало в фундаменті колишньої системи протидії іноземним технічним розвідкам, то поняття цілісності та доступності інформації є принципово новими і їх поява тісно пов’язана з соціально-економічними перетвореннями, що мають місце в Україні.

Об’єктивна необхідність розглядати проблему технічного захисту інформації під таким кутом зору має зовнішньо-політичний, внутрішньо-політичний та науково-технічний аспекти. Стосовно зовнішньо-політичного аспекту.

Процеси вирішення найважливіших міжнародних проблем, реалізація міжнародних угод вимагають вирішення питань технічного захисту інформації таким чином, як це прйнято у розвинутих країнах світу.

Входження України у міжнародне співтовариство вимагає виконання вимог ряду міжнародних документів в галузі забезпечення прав людини, зокрема документів стосовно захисту персональних даних при обробці інформації в автоматизованих системах.

Внутрішньо-політичний аспект полягає в тому, що в Конституції України та в Концепції національної безпеки України інтереси особистості передують по відношенню до інтересів суспільства та держави, а відтак – технічний захист інформації має забезпечувати насамперед права громадян України.

Окрім згаданого, в результаті відомих перетворень в суспільстві виник цілий прошарок власників інформації, яка не містить відомостей, що відносяться до державної таємниці, проте має віповідну цінність та потребує захисту. Власники цієї інформації повинні мати гарантії з боку держави на забезпечення своїх прав у галузі інформаційних відносин, та, при необхідності, доступ до відповідних нормативних документів.

Науково-технічний аспект полягає в тому, що процес інформатизації, який має місце в Україні, призвів до реконструкції та обновлення ліній телекомунікацій та супроводжується широким впровадженням сучасних засобів зв’язку – здебільшого засобів цифрового зв’язку та засобів обчислювальної техніки. В зв’язку з відсутністю на українському ринку зазначених засобів вітчизняного виробництва, що задовольняли б у повній мірі набору базових функцій у відповідності до вимог міжнародних стандартів, в Україні впроваджуються засоби виробництва іноземних фірм.

Зазначені явища призвели до інтенсивного поширення в країні найсучаснішого обладнання, що, забезпечуючи необхідний рівень реалізації інформаційних технологій та поширення інформації на необмежених територіях, водночас потребує сучасних підходів до технічного захисту інформації, в яких важливу роль починають грати проблеми забезпечення її цілісності та доступності.

За зазначених умов сьогодні в Україні виникла ціла низка проблем, для розв’язання яких необхідне формування відповідної державної політики в галузі технічного захисту інформації.

Одним із напрямків цієї політики є необхідність створення та гармонізації з міжнародною національної правової бази в галузі технічного захисту інформації. В цьому відношенні важливим є створення низки законів, що визначали б статус конфіденційної інформації та інформації про особу, умови її поширення, заходи щодо гарантування доступу до такої інформації та ступінь відповідальності за її розголошення. Не менш важливим є створення відповідних нормативних документів для забезпечення сприятливих умов створення та розповсюдження засобів технічного захисту інформації з достатнім рівнем ефективності для вирішення не тільки проблем ТЗІ внутрішньодержавного характеру, але також і проблем, пов’язаних з ТЗІ при обміні інформацією на міждержавному рівні. Важливим також є вирішення проблеми різкого підвищення уразливості інформації в обчислювальних мережах, мережах зв’язку та автоматизованих системах. З однієї сторони це пов’язано з спроможностями сучасного обладнання здійснювати дистанційний доступ до інформаційних та технічних ресурсів без обмежень технічного, часового та територіального характеру, з іншої – з труднощами вивчення обладнання зв’язку та обчислювальної техніки іноземного походження, що здебільшого впроваджується в Україні. Останнє не дозволяє своєчасно та в достатній мірі вживати заходи щодо технічного захисту інформації.

В галузі впровадження технологій передачі даних потребує вирішення проблема забезпечення контролю з боку держави за надходженням інформації із-за кордону. За відсутності такого контролю національний інформаційний простір наповнюватиметься непотрібною чи навіть шкідливою інформацією, що може порушити функціонування інформаційних систем та призвести до неефективного використання програмних та апаратурних ресурсів.

Враховуючи міжнародний досвід, регулювання вхідних та вихідних інформаційних потоків через кордон може забезпечуватись шляхом створення штучних шлюзів на їх шляху. Вирішення цих та інших проблем проводилось у межах щорічних науково-технічних програм, що впродовж останніх кількох років виконувались Держкомсекретів.

За результатами цієї діяльності, а також в ініціативному порядку створено та створюється досить великий обсяг засобів захисту мовної інформації та програмних і технічних засобів захисту інформації в обчислювальних мережах, мережах зв’язку та автоматизованих системах.

За станом на сьогоднішній день закінчується створення засад нормативного забезпечення системи ТЗІ. По-перше, це сукупність нормативних документів, що становитимуть основу вітчизняної нормативної бази щодо захисту інформації у комп’ютерних системах, цифрових автоматичних телефонних станціях, захисту мовної інформації, захисту інформації від витоку хімічними каналами та з оптико-волоконних ліній зв’язку , а також сертифікації засобів забезпечення технічного захисту інформації.

У рамках зазначеної сукупності документів створюються критерії оцінки захищеності комп’ютерних систем та систем зв’язку, а також норми захищеності мовної інформації. Слід зазначити, що створювані критерії близькі за своєю суттю до загально-європейських, що спрощує вирішення проблеми гармонізації нормативної бази з міжнародною. Особливістю норм захисту мовної інформації є те що вони мають загальні засади для основних каналів витоку інформації: акустичного, акустоелектричного, та віброакустичного, що спрощує вирішення багатьох проблем у галузі захисту мовної інформації.

Окрім критеріїв та норм створюється пакет документів, що визначають методи оцінки ефективності захисту мовної інформації та інформації в автоматизованих системах і системах зв’язку, а також дають рекомендації щодо реалізації конкретних заходів. Для нормативної підтримки функціонування системи технічного захисту інформації в цей час Держкомсекретів створює пакет документів щодо регламентування діяльності елементів її інфраструктури, створення, впровадження, та експлуатації засобів захисту та захищеної техніки, а також розгортання вітчизняної системи сертифікації у цій галузі, що надзвичайно важливо для розвитку системи ТЗІ.

Актуальність створення документів названого напрямку підтверджується вже тим, що при реалізації міжнародних угод при необхідності впровадження засобів захисту інформації обов’язковою умовою є наявність документального підтвердження їх ефективності, узгодженого до того ж з відповідними документами інших країн-учасниць угод.

Однак, зважаючи на надзвичайну складність створення і розгортання органів, акредитованих УКРСЕПРО, та випробувальних лабораторій, для вирішення нагальних проблем сьогодення у цій сфері створений та функціонує тимчасовий порядок забезпечення наповнення вітчизняного ринку засобами технічного захисту інформації достатньої якості. Згідно з цим порядком розробник засобів захисту інформації узгоджує з Держкомсекретів вимоги технічного завдання з точки зору їх відповідності вимогам нормативних документів та сучасному рівню ефективності аналогічних засобів інформації, що вже створені та впроваджені у практику.

Після створення зразків продукції по узгоджених технічних завданнях створюється комісія, яка оцінює досягнуту ефективність захисту інформації і при наявності позитивного результату підтверджує можливість узгодження керівництвом Держкомсекретів технічних умов.

Узгоджені технічні умови на засоби технічного захисту інформації та захищені засоби є необхідною умовою для їх розповсюдження та впровадження, як таких, що мають достатній рівень ефективності для захисту інформації з обмеженим доступом.

Подальші завдання в галузі ТЗІ сформульовані у розробленому проекті науково-технічної програми “Розвиток системи технічного захисту інформації в Україні” на 1999-2003 роки. Основнi завдання програми визначенi на основi аналiзу фактичного стану охорони державної таємниці та технічного захисту інформації в Україні, положень діючих міжнародних та нацiональних нормативних документiв розвинених країн, iнформації про вiтчизняний та мiжнародний досвiд розробки та реалізації програм у цій галузі та передбачають:

- розвиток нормативно-правової бази реалізації державної політики у галузі технічного захисту інформації, визначення послідовності і порядку розробки законодавчих та нормативно-правових актів, механізмів їх практичного застосування;
- вибір перспективних напрямів розвитку вітчизняного фонду нормативних документів Системи, проведення заходів щодо створення такого фонду;
- визначення номенклатури засобів обчислювальної техніки та базового програмного забезпечення, засобів зв’язку і оргтехніки, призначених для обробки інформації з обмеженим доступом в автоматизованих системах та системах зв’язку органів державної влади, а також підприємств, установ та організацій, що здійснюють діяльність, пов’язану з державною таємницею;
- створення та вдосконалення існуючих вітчизняних методів і засобів забезпечення технічного захисту інформації під час створення, експлуатації та утилізації зразків озброєнь, військової та спеціальної техніки та екологічно небезпечних об’єктів та технологій, під час проектування, будівництва та реконструкції військово-промислових та інших спеціальних об’єктів;
- налагодження згідно з визначеною номенклатурою виробництва захищених засобів обчислювальної техніки, базового програмного забезпечення, засобів зв’язку та оргтехніки, вітчизняних засобів забезпечення технічного захисту інформації;
- створення та розвиток системи сертифікації на відповідність вимогам технічного захисту інформації вітчизняних та закордонних засобів забезпечення технічного захисту інформації з обмеженим доступом, нормативне та матеріально-технічне забезпечення цієї системи;
- налагодження співробітництва з зарубіжними країнами в питаннях, пов’язаних з стандартизацією та сертифікацією у галузі технічного захисту інформації;
- створення та розвиток системи атестації та експертного оцінювання об’єктів, у яких циркулює інформація, що потребує технічного захисту, на відповідність вимогам технічного захисту інформації з урахуванням встановленого ступеня захищеності, нормативне та матеріально-технічне забезпечення цієї системи;
- удосконалення системи надання послуг у галузі технічного захисту інформації;
- удосконалення організаційної структури Системи, механізмів її функціонування, створення науково-дослідних та науково-виробничих організацій у галузі технічного захисту інформації, системи інформаційно-аналітичної підтримки планування та координації діяльності усіх елементів організаційної структури;
- визначення реальних потреб Системи у фахівцях, розвиток та удосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців у галузі технічного захисту інформації.

За результатами виконання повністю профінансованих робіт розроблені проекти нормативних документів, які становитимуть основу вітчизняної нормативної бази щодо захисту інформації у комп’ютерних системах, цифрових автоматичних телефонних станціях, захисту мовної інформації, захисту інформації від витоку хімічними каналами та з волоконно-оптичних ліній зв’язку, а також сертифікації засобів забезпечення технічного захисту інформації, в тому числі:
“Класифікація комп’ютерних систем та стандартні функціональні профілі (рівні) захищеності інформації від НСД”;
“Положення про організацію розробки, виготовлення, впровадження, сертифікацію, атестацію та експлуатацію засобів технічного захисту інформації від НСД і захищених продуктів”;
“Порядок організації та проведення розробки та виготовлення засобів ТЗІ від НСД та захищених продуктів”;
“Положення про експертизу у галузі комп’ютерних засобів захисту інформації від НСД в автоматизованих системах”;
“Загальна методика атестації АС на відповідність нормативним вимогам із захисту інформації”;
“Система класифікації та оцінки параметрів середовищ функціонування АС”;
“Вимоги до взаємної відповідності параметрів середовищ функціонування АС”;
“Вимоги до складу та змісту документації, що супроводжує АС в процесі атестації АС на відповідність нормативним вимогам із захисту інформації”;
“Термінологія в галузі захисту інформації в комп’ютерних системах від НСД”;
“Загальні положення по захисту інформації в комп’ютерних системах від НСД”;
“Критерії оцінки захищеності інформації комп’ютерних системах від НСД”;
“ТЗІ в програмно-керованих АТС загального користування. Основні положення”;
“ТЗІ в програмно-керованих АТС загального користування. Порядок виконання робіт”;
“ТЗІ в програмно-керованих АТС загального користування. Методика оцінки захищеності інформації (базова)”;
“ТЗІ в програмно-керованих АТС загального користування. Специфікації довірчих оцінок коректності реалізації захисту”;
“Норми та методики контролю захисту мовної інформації”;
“Програма та методика атестації апаратних засобів технічного захисту мовної інформації”;
“Інформаційно-аналітична модель мінімальних рівнів доступності інформації в хімічних каналах”;
“Вимоги до прокладки та монтажу оптичного кабелю з метою забезпечення захисту інформації”;
“Класифікатор засобів копіювально-розмножувальної техніки (КРТ)”;
“Рекомендації з використання засобів КРТ при обробці ІзОД. Основні положення”;
“Рекомендації з забезпечення захисту засобів КРТ від витоку інформації технічними каналами. Основні положення”;
“Методика випробувань захищеності засобів КРТ. Загальні вимоги“;
“Методика вимірювання напруг інформативних сигналів в мережі електроживлення змінного струму засобів КРТ”;
“Методика вимірювання інформативних сигналів в побічних електромагнітних випроміненнях та наводках з засобів КРТ”;
“Радіовиявлювачі детекторні. Основні положення. Методи та засоби вимірювання параметрів“;
“Радіовиявлювачі вимірювальні. Основні параметри. Методи та засоби вимірювання параметрів“;
“Методика випробувань засобів виявлення та визначення місця знаходження атакуючої апаратури, яка підключена до провідної лінії зв’язку, контактним методом”;
“Методика випробувань засобів зменшення ефективності дії атакуючої апаратури шляхом підключення в лінію зв’язку нелінійних елементів та (або) загороджуючих фільтрів”;
“Методика випробувань засобів зменшення ефективності пристроїв запису інформації на фізичні носії”.

Підводячи підсумок наведеному вище можна сказати, що вже найближчим часом в Україні буде створена мінімально-достатня база нормативного забезпечення системи ТЗІ та закладено підгрунтя для наповнення ринку засобами захисту інформації та захищеними засобами достатньої ефективності.

ТЗІ