Проблемы обеспечения безопасности информационных ресурсов

Проблемы обеспечения безопасности информационных ресурсов

Последние годы характеризуются повышенным вниманием и правительств развитых стран мира, и правительств мегаполисов к более оперативному и эффективному взаимодействию с гражданами и организациями на основе широкомасштабного применения информационно-коммуникационных технологий (ИКТ). Идет активный процесс создания электронных правительств и систем взаимодействия органов власти с гражданами и хозяйствующими субъектами. Однако развитие информационной инфраструктуры требует повышенного внимания к противодействию внешним и внутренним угрозам информационной безопасности, о чем неоднократно писал наш журнал. Сегодня наш гость – член-корреспондент Российской инженерной академии, заслуженный машиностроитель России Андрей Алексеевич Новиков, генеральный директор одной из ведущих российских компаний в области информационной безопасности – ЗАО «РНТ».

– 17 июня 2004 г. в здании Правительства Москвы на Новом Арбате прошла летняя сессия Всероссийской конференции «Инфофорум 6». Была представлена Концепция информационной безопасности города Москвы, в разработке которой Ваша компания, как нам известно, принимала непосредственное участие. Не могли бы Вы рассказать, чем вызвана необходимость подготовки такого документа, какие положения легли в его основу?

– Особый статус города Москвы, наличие мощной информационно-ресурсной базы, пересечение многочисленных информационных потоков, имеющих не только городское, общероссийское, но и международное значение, политическая и экономическая значимость города как столицы России обуславливают особую актуальность для Москвы решения задач обеспечения информационной безопасности. Поэтому не случайно столичное Правительство уделяет большое внимание этой проблеме в рамках самой масштабной городской целевой программы – «Электронная Москва». Более того, обеспечение решения вопросов информационной безопасности создаваемых и внедряемых в городе ИКТ рассматривается как одна из основных задач этой программы.

Органы власти, осуществляющие правомочия собственника информационных ресурсов города Москвы, акцентируют внимание на необходимости защиты:

1. Информации, не относящейся к какому-либо виду тайн, но имеющей определенную рыночную стоимость и обладающей в этой связи повышенными требованиями к ее защите.

Эта информация в процессе своего жизненного цикла подвергается значительным информационным рискам (из-за недостаточной надежности информационных систем, их неустойчивости к деструктивным воздействиям злоумышленников и вредоносных программ, недобросовестной политики конкурентов). Важно отметить, что зачастую эта информация представляет значительную коммерческую ценность и в результате хищений из баз и банков данных собственников выставляется на продажу или используется криминальными структурами в противоправной деятельности.

2. Информации ограниченного доступа, относящейся к разряду служебной или коммерческой тайны хозяйствующих субъектов.

Эта информация подвержена не меньшим информационным рискам и также нуждается в защите, в том числе в обеспечении аутентификации с ее законным владельцем и придании юридической значимости.

В этой связи заслуживает внимания предъявляемое к информационным ресурсам города Москвы требование соответствия базовому уровню информационной безопасности, представляющему собой разумно достаточный уровень безопасности, обеспечивающий (исходя из критерия эффективность/стоимость) приемлемый для владельцев информации уровень финансовых рисков ее потери, нарушения целостности, доступности, а в ряде случаев – и конфиденциальности.

Опыт нашей компании в выработке требований и решений по обеспечению информационной безопасности свидетельствует о принципиальной возможности реализации на первый взгляд противоречивых требований – открытости и защищенности информационных ресурсов.

Предотвращение и ликвидация угроз информационной безопасности Москвы основываются на создании системы защиты и реализации единой политики информационной безопасности города. Для решения этих проблем предполагает ся использование комплексного подхода, объединяющего нормативные правила, процедурные и технологические решения.

– Какие, на ваш взгляд, проблемы обеспечения безопасности информационных ресурсов наиболее актуальны в настоящее время и что может предложить Ваша компания для защиты от этих опасностей?

В двух словах невозможно ответить на этот вопрос из-за многообразия существующих проблем, поэтому я остановлюсь только на одной из них, которая сегодня широко обсуждается практически во всем мире и реально касается всех, кто активно пользуется современными ИКТ. Речь идет о проблеме обеспечения информационной безопасности компьютерных сетей. Насколько она сложна и обширна, свидетельствует тот факт, что борьба с компьютерными вирусами – это лишь один из ее аспектов.

Компания «РНТ» последние годы очень активно работает в этой области – и как разработчик средств противодействия информационным вторжениям, и как системный интегратор, продвигающий подготовленные комплексные решения, среди которых безопасные узлы доступа в сети общего пользования (интернет), информационные порталы в безопасном исполнении, безопасные ERP системы и т. д.

Мы предлагаем своим заказчикам широкий спектр решений, направленных на комплексную защиту информационно-телекоммуникационных систем. Это:

система обнаружения вторжений;
система анализа защищенности;
система управления политикой безопасности;
система контроля целостности;
защита почтового документооборота;
межсетевые экраны;
защита от несанкционированного доступа;
антивирусная защита;
средства криптографической защиты;
PKI–решения;
VPN–решения;
защита от утечки по техническим каналам;
обеспечение безопасности цифровых АТС и защита оконечного оборудования.

РНТ имеет собственную производственную и технологическую базу для серийного производства сертифицированных ПЭВМ (ОБРУЧ) в защищенном исполнении для объектов информатизации 1, 2 и 3 категорий, а также сертифицированное производство ряда средств защиты информации.

Остановимся на одном из наших решений – защищенном узле доступа для комплексной защиты ресурсов информационной системы, подключаемой к интернету, как от внешних, так и от внутренних атак.

Информационная безопасность узла доступа, помимо сегментации по требованиям безопасности и межсетевого экранирования, обеспечивается за счет встраивания в него подсистем:

«Урядник» – для выявления несанкционированных действий пользователей информационной системы,
«Форпост» – для обнаружения факта вторжения в инфосистему и блокирования сетевых атак,
«Стилет» – для выявления и устранения уязвимостей программно-аппаратного обеспечения инфосистемы с выдачей ее администратору перечня рекомендаций.

В настоящее время готовится к выпуску вторая версия интегрированного программного комплекса обнаружения вторжений «Форпост», который позволит выполнять функции блокирования атак, анализа защищенности и межсетевого экранирования.

Помимо этого, наша компания осуществляет проектирование, производство, техническое обслуживание различных защищенных технических средств, а также комплексную защиту информации от утечки по техническим каналам, включая и речевую информацию в помещениях. В перечень наших услуг входит и обеспечение информационной безопасности корпоративных телекоммуникационных сетей.

Другая важная задача, которой занимается ЗАО «РНТ», – защита локально-вычислительных сетей и автоматизированных рабочих мест при работе с интернетом.

Кроме этого, мы проводим аудит объектов информатизации с целью определения их защищенности и анализа соблюдения принятой политики безопасности. Сегодня это хорошо востребованная услуга.

– В мае 2004 года вышел Указ Президента РФ № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». Он отменяет действие Указа N1189 от 6 октября 1998 г., сохраняя при этом ограничения на подключение к интернету. В пункт1 нового Указа включено положение о порядке размещения открытых и общедоступных государственных информационных ресурсов в интернете. В частности, сказано, что «владельцам открытых и общедоступных государственных информационных ресурсов осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации». Готова ли Ваша компания обеспечить корректную реализацию этого документа в своих проектных решениях?

– Безусловно да, поскольку последние 2–3 года мы приоритетно работали именно в этом направлении и имеем опыт создания комплексных систем защиты информации, соответствующих духу и букве упомянутого Указа.

– Как давно существует Ваша компания и как устойчиво она чувствует себя на рынке?

Акционерное общество «РНТ» создано в 1993 году и объединило в своем составе высоко квалифицированных специалистов в области безопасности и защиты информации. В настоящее время компания «РНТ» – один из ведущих системных интеграторов в области современных технологий безопасности. За десять лет мы завоевали устойчивый авторитет на рынке информационной безопасности, о чем свидетельствуют многочисленные положительные отзывы наших заказчиков.

Высокое качество предлагаемых нашей компанией решений и технологий подтверждает наличие более 30 лицензий на деятельность в области информационной безопасности и защиты информации.

Компания «РНТ» является членом Российского союза промышленников и предпринимателей, Ассоциации защиты информации, Ассоциации документальной электросвязи, Российской инженерной академии, участником Евро-Азиатской ассоциации производителей товаров и услуг в области безопасности.

– Кто является заказчиком Ваших изделий и услуг?

– Среди клиентов компании – государственные структуры и ведомства, коммерческие организации, телекоммуникационные компании, предприятия ТЭК и др.

Наиболее значимыми проектами 2003 года являются проекты по информационной безопасности, выполняемые в рамках ГЦП «Электронная Москва», для АСФК Министерства финансов России, электронного портала ГАС «Выборы».

– Каковы Ваши дальнейшие планы?

– Обширные. Наряду с реализацией конкретных проектов мы планируем расширить свое участие в разработке нормативных документов в области защиты информации: проектов руководящих документов, профилей защиты АС, типовых регламентов.

Указанные документы необходимы для легитимного высокоэффективного сочетания функциональных качеств ИТ-услуг и их безопасности.

Мы убеждены – результаты нашей работы найдут свое отражение в рамках программ «Электронная Москва» и «Электронная Россия», в ряде крупных корпоративных проектов, выполняемых РНТ.