Организационно-технические меры борьбы с компьютерной преступностью. Проблемы сертификации и лицензирования

______________________________________________________

А.П. Баранов, А.А. Фатьянов



Рассмотрены основные проблемы организационно-технического обеспечения борьбы с компьютерной преступностью; основной акцент сделан на проблемах сертификации средств защиты информации и лицензирования деятельности отечественных предприятий в области защиты информации.

В современном мире информация становится стратегическим национальным ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства повлекли помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации. Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной инфраструктуры, пропорционально растет потенциальная уязвимость экономики по отношению к информационным воздействиям. В частности, не единичны случаи, когда отдельные государственные и негосударственные организации, предприятия и граждане, получив каким-либо путем информацию, продают ее за бесценок, нанося ущерб государству и даже своему бизнесу.

Задача предупреждения компьютерной преступности является комплексной и требует значительных затрат на защиту электронной информации, к этому российская экономика в настоящее время не готова. Однако процессы информатизации в России идут полным ходом и не всегда с учетом необходимости защиты информации.

По данным специалистов США, снятие элементов защиты информации с компьютерных систем приведет к разорению 20 % средних компаний в течение нескольких часов, 48 % — потерпят крах через несколько дней, а остальные разорятся в этом промежутке, 33 % банков "лопнет" через несколько часов, 50 % — через несколько дней. Средний ущерб от одного компьютерного преступления в США составляет 450 тыс. дол., ежегодные потери некоторых американских фирм достигают 5 млрд. дол., суммарный ежегодный ущерб от компьютерных преступлений в странах Западной Европы — порядка 30 млрд. дол.


Проблемы компьютерного терроризма

В рамках рассмотрения проблемы борьбы с компьютерной преступностью весьма актуальна и сравнительно нова тема информационного терроризма. Данная проблема, по нашему мнению, находится в промежутке между весьма и весьма актуальной в настоящее время проблемой защиты от "информационного оружия" и собственно компьютерной преступностью, т. е. активно разрабатываемые в настоящее время рядом государств методы и средства ведения "информационной войны" могут быть использованы отдельными лицами или группами лиц в целях террора. В Соединенных Штатах такие факты уже имели место. Например, в конце 1994 г. экстремистская организация взломщиков компьютерных сетей ILF сумела проникнуть в магистральную компьютерную линию Нью-Йорка и пыталась разрушить электронные файлы в главном ее терминале.

Компьютерная диверсия была вовремя обнаружена, однако для ликвидации ее последствий магистраль пришлось отключить на несколько часов;

По данным американской прессы, проводимые в США исследования в области борьбы с информационным терроризмом пока сводятся в основном к анализу его возможных направлений, что в дальнейшем должно позволить найти адекватные методы противодействия. Эксперты полагают, что целями террористов могут стать, в первую очередь, диспетчерские системы контроля за воздушным движением в аэропортах, линии радиосвязи с военными и гражданскими морскими судами, АСУ железнодорожных магистралей и электростанций, банковские и биржевые компьютерные сети. В качестве некоторых примеров средств и методов нападения можно привести так называемые "логические бомбы", которые представляют собой специально разработанные компьютерные программы, способные вызвать хаос в информационных структурах. Одной из эффективных форм терроризма являются "семантические атаки", в результате которых компьютеры начинают выдавать искаженную информацию, вводя в заблуждение получателей электронной почты.

Проникновение в компьютерные сети государственных и коммерческих учреждений может позволить террористам получать компрометирующие сведения об их сотрудниках с целью шантажа и вербовки в качестве пособников. Вторгаясь в компьютерные сети, информационные террористы способны вводить в них разрушающие банки данных вирусы, которые срабатывают спустя определенное время, что значительно усложняет их обнаружение. Террористы, в частности, могут применять и такое экзотическое оружие, как "импульсно-трансформаторные бомбы". Подобное устройство, помещенное вблизи объекта нападения, в определенный момент посылает мощные электронные потоки, приводящие в негодность компьютерные системы, парализуя таким образом работу военных штабов, правительственных или коммерческих учреждений.

Федеральное агентство правительственной связи и информации при Президенте Российской. Федерации (ФАПСИ) уже занимается разработкой мер противодействия отдельным видам компьютерного терроризма в рамках подготовки проекта программы по криптографической защите автоматизированных систем управления техногенно-критическими технологиями (АСУ КТ). Предложения по данному вопросу были разосланы в заинтересованные министерства и ведомства, большинство из которых полностью поддержало инициативу ФАПСИ. В настоящее время программа находится в стадии дальнейшей доработки.


Создание единого информационно-телекоммуникационного пространства

Мы исходим из того, что в создавшемся в стране сложном экономическом положении, в построении систем защиты телекоммуникационных систем должна проводиться единая и взвешенная экономическая политика. Иначе говоря, у России нет такого количества средств, чтобы позволить себе неоправданную роскошь создавать разнотипные телекоммуникационные системы и обеспечивать при этом должный уровень их защищенности.

Например, по данным конгресса США практика функционирования сети "Интернет" показывает, что только в 1995 г. хакеры свыше 160 тыс. раз прорывались через эту сеть в компьютеры Министерства обороны, не считая остальных важных пользователей. Масштабы возникающей опасности оцениваются как непосредственная угроза национальной безопасности страны.

В этой связи Президентом Российской Федерации и Правительством перед ФАПСИ, другими министерствами и ведомствами поставлена задача в кратчай шие сроки создать информационно-телекоммуникационную систему специального и общего назначения (ИТКС).

Принципы построения данной системы позволят обеспечить взаимодействие между разными ее уровнями через специальные шлюзы, создающие удобный интерфейс при одновременном исключении возможности "сквозного" проникновения к наиболее важным подсистемам, в которых циркулирует информация, составляющая государственную тайну или управляющая критическими технологиями.

Неотъемлемой составной частью ИТКС является общероссийская телекоммуникационная система "Деловая сеть России", предназначенная в том числе для обслуживания субъектов предпринимательской деятельности, создания условий функционирования электронной системы финансовых расчетов, формирования инфраструктуры фондового рынка России, обеспечивающей защиту прав собственников ценных бумаг. Как видно из круга задач, создаваемая система призвана также гарантировано защитить права личности, общества и государства в вопросах обеспечения конфиденциальности информации при пользовании информационно-телекоммуникационной системой. С учетом этого "Деловая сеть" должна стать одним из эффективных инструментов и механизмов защиты комплекса имущественных отношений граждан и государства от преступных посягательств.

Данная сеть также будет взаимодействовать с открытыми международными и внутрироссийскими сетями, в том числе с "Интернет", однако также через систему шлюзов, исключающих возможность несанкционированного проникновения и распространения вирусных программ.

Исходя из объективной необходимости скорейшего внедрения качественных средств защиты в открытые информационно-телекоммуникационные системы, проведения в этом вопросе единой научно-технической политики предусматриваются три уровня безопасности ("А", "В" и "С"), подтверждаемых выдаваемыми ФАПСИ документами.

Особенность данного подхода заключается в том, что все ранее созданные документы по этим вопросам были ориентированы на государственную тайну либо на служебные сведения органов государственной власти. Мы же ориентируем "Деловую сеть" на защиту финансовой и коммерческой информации.

Абонентам, для которых необходимы высокие ("А" и "В") уровни защищенности информации, предлагается эволюционный порядок разработки и внедрения СКЗИ от низшего уровня "С" до "В" или "А" по сквозным договорам с организациями-разработчиками и оформлением временных разрешений на эксплуатацию по завершению работ по каждому из нижних уровней до полной реализации всего комплекса защитных средств требуемого уровня и их сертификации. Абонентам с уровнем защищенности "С" будут Предлагаться при оформлении договора варианты самостоятельного или с привлечением специализированной организации встраивания программных продуктов, рекомендованных ФАПСИ, С оформлением соответствующих лицензий. Предлагаемый порядок позволит проводить единую научно-техническую политику при внедрении средств защиты и сократит сроки создания защищенных подсетей в "Деловой сети".

Основными идеями и принципами, на которых строится организационная часть системы безопасности "Деловой сети", являются:

базирование основ системы безопасности на фундаментальных исследованиях и объективных закономерностях обеспечения безопасности аналогичных сетей и объектов, в которых циркулирует информация, составляющая государственную тайну,

рассмотрение мер по обеспечению безопасности "Деловой сети" как составной части мер обеспечения безопасности Федерального агентства, т. е. реализуется высокий уровень организационных, технических и оперативных мероприятий;

непременным условием успешного решения задач обеспечения безопасности "Деловой сети" является организация тесного и эффективного взаимодействия с правоохранительными органами.


Проблемы сертификация и лицензирования

Применение высококачественных сертифицированных либо рекомендованных ФАПСИ криптографических алгоритмов, однако, не означает само по себе высокого уровня защиты информации. Важнейшее значение имеют способы реализации алгоритмов и выполнение требований организационного характера. Эти вопросы могут быть решены только имеющими лицензию компетентными организациями, которые обладают соответствующим опытом работы, информацией и научным потенциалом.

До недавнего времени теория и практика создания средств защиты информации являлась строго закрытой отраслью. Потребителями продукции этой отрасли были исключительно государственные структуры. Вместе с тем, изменение политических и экономических условий, возникновение новых форм собственности, а также формирование нового спроса на средства защиты информации потребовало выработать новую политику в области защиты информации.

В течение 1993—1995 гг. ряд коммерческих фирм и государственных промышленных предприятий выступили на рынке и, в частности, в банках с предложениями средств защиты собственной разработки. ФАПСИ рассматривало эти предложения, и в большинстве случаев в результате анализа находились слабости криптографических алгоритмов или их реализации (фирмы "Блиц", "ЛАНкрипто", "Кобра Лайн", "Цикламена" и др.). Причина наличия слабостей, на наш взгляд, состоит в том, что квалифицированная разработка средств защиты информации может быть проведена только на основе разнопланового опыта работ в данной области коллективом специалистов многих направлений и при наличии значительных материальных средств. Из-за недостаточной согласованности систем сертификации средств защиты информации некоторые не удовлетворяющие, по нашему мнению, требованиям по защите продукты получают сертификаты соответствия в целом и применяются вне зависимости от фактических условий их сертификации.

С целью устранения этих недостатков между Гостехкомиссией России и ФАПСИ достигнуто соглашение о необходимости совместной сертификации средств защиты информации по требованиям безопасности (кроме средств собственно криптографической защиты, которые будут сертифицироваться исключительно ФАПСИ).

Мы призываем к более глубокой координации в данных вопросах между ФАПСИ и Гостехкомиссией, хорошее начало которой положено совместным утверждением в 1994 г. "Положения о государственном лицензировании деятельности в области защиты информации", выходом в свет Постановления Правительства Российской Федерации № 333 от 15.04.1995 г. и рядом других документов.

Еще одним существенным аспектом является, по мнению ФАПСИ, целесообразность вкладывания денег в производство уже сертифицированных средств защиты информации. Пока же на рынке средств защиты и особенно в банковской сфере распространяется несертифицированная импортная программная продукция или ее аналоги, выпускаемые отечественными предпринимателями. Такое распространение может только способствовать росту числа отечественных хакеров и ставит наши государственно значимые сети в зависимость от иностранных фирм или других государств.

В заключение хотелось бы заметить, что проблемы защиты информационных ресурсов должны касаться не только отдельных органов исполнительной власти и какой-то части экономических структур — по большому счету это дело всей системы государственного управления и всех участников экономического процесса, потому что речь идет об информационной безопасности Российской Федерации, что в конечном итоге является одним из краеугольных камней построения процветающего общества, органично входящего в современную мировую цивилизацию.


Статья поступила в редакцию
в июле 1996 г.
Федеральное агентство правительственной
связи и информации при
Президенте Российской Федерации


© Информационное общество, 1996, вып. 4, с. 36-38.