ФАПСИ и ОБЕСПЕЧЕНИЕ РЕГИОНАЛЬНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Статья обновлена в 2023 году.

ФАПСИ и ОБЕСПЕЧЕНИЕ РЕГИОНАЛЬНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ФАПСИ и ОБЕСПЕЧЕНИЕ РЕГИОНАЛЬНОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Широкое распространение и относительная дешевизна средств вычислительной техники и сведений о методах добычи информации привели к тому, что угроза в отношении конфиденциальной информации со стороны отдельных злоумышленников и организованных преступных группировок к настоящему времени уже может быть сравнима с угрозой информации составляющей государственную тайну, со стороны иностранных технических разведок.

Стремительное развитие и внедрение информационных технологий оказывают возрастающее влияние на все стороны жизни государства и общества. Социальная, политическая, экономическая и военная сферы находятся в прямой зависимости от работы вычислительных и информационных сетей, систем связи, управления и разведки, составляющих техническую базу информационного пространства России.

Вместе с тем, по мере развития этой базы повышается и уязвимость информационного пространства. Главной причиной этого является широкое использование для обработки информации средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, копировать и разрушать обрабатываемую информацию, а также легкость доступа в современные открытые информационно-телекоммуникационные системы.

В этой связи в последнее время во всем мире, и в частности в России, растет число преступлений, связанных с применением компьютерной техники. Так, по данным МВД РФ, если в 1997 году было совершено 309 таких преступлений, то в 1998 - свыше 500.

Информационное пространство России включает в себя федеральный и региональный компоненты. Причем эти компоненты взаимосвязаны самым тесным образом и построены зачастую с использованием сходных технических средств. Отсюда с очевидностью следует, что задача обеспечения информационной безопасности этих компонентов может быть эффективно решена в рамках единой государственной политики как на федеральном, так и на региональном уровнях. Важнейшей составляющей этой политики, по нашему мнению, должно являться широкое использование методов криптографии.

Общепризнанным является тот факт, что применение криптографических методов и средств защиты информации при современном уровне развития криптографии и электронных технологий уже в настоящее время стало экономически более предпочтительным по сравнению с другими техническими и организационными мерами защиты. В ряде случаев применение криптографических методов является единственно возможным путем защиты перспективных информационно-телекоммуникационных технологий.

В соответствии с действующим законодательством защита информации с помощью криптографических методов отнесена к компетенции ФАПСИ, и нами предпринимаются постоянные усилия в этом направлении. В настоящее время Федеральным агентством и предприятиями-лицензиатами ФАПСИ создан спектр средств криптографической защиты информации, позволяющий обеспечивать защиту многих современных технологий обработки информации, составляющей государственную тайну. Их внедрение, прежде всего, на предприятиях, работающих на оборонный комплекс, позволяет решать задачи, связанные с этим аспектом информационной безопасности регионов. С этой целью созданы надежные средства криптографической защиты информации, работающие в диапазонах скоростей от десятков бит до десятков и сотен мегабит в секунду и обеспечивающие возможность защиты информации, обрабатываемой под управлением различных операционных систем и передаваемой по всевозможным каналам связи в соответствии с различными протоколами.

Вместе с тем, проблема защиты информации, составляющей государственную тайну, является хотя и важной, но только одной из проблем обеспечения информационной безопасности регионов. Другим важным аспектом информационной безопасности регионов является защита конфиденциальной информации.

Широкое использование современных информационных технологий для обработки конфиденциальной информации создает серьезный источник угроз региональной информационной безопасности. Так, для преступных сообществ большой интерес представляет информация правоохранительных органов и финансовых структур, пресса может попытаться прочитать электронную корреспонденцию известного лица, компания - перехватить почту конкурентов и т. д. Все это остро ставит задачу по криптографической защите технологий, используемых для обработки конфиденциальной информации.

Специфической особенностью здесь является то, что во многих случаях невозможно обеспечить выполнение строгих режимных и организационных мер. Вместе с тем, широкое распространение и относительная дешевизна средств вычислительной техники и сведений о методах добычи информации, в частности о методах дешифрования, привели к тому, что угроза в отношении конфиденциальной информации со стороны отдельных злоумышленников и организованных преступных группировок к настоящему времени уже может быть сравнима с угрозой информации, составляющей государственную тайну, со стороны иностранных технических разведок.

В связи с этим, задача по защите конфиденциальной информации не менее важна, чем защита информации, составляющей государственную тайну, и требует высокой квалификации и значительного опыта. К сожалению, это часто недооценивается, что приводит к напрасным тратам, а порой и к печальным последствиям. Так, широко разрекламированное средство криптографической защиты «Кобра» специалистами ФАПСИ дешифруется в течение 20 минут на бытовом персональном компьютере класса Pentium, который каждый желающий может приобрести в любом салоне по продаже электронно-вычислительной техники. В прошлом году во время проверки сотрудниками ФАПСИ кабинета одного из губернаторов было найдено устройство, приобретенное на открытом рынке, которое якобы предназначалось для защиты информации, а на самом деле выносило информацию из кабинета на несколько сотен метров. Таких примеров можно было бы привести немало. К сожалению, коробка со слабой программой шифрования выглядит так же, как и коробка с сильной. Два шифратора электронной почты могут иметь одинаковый пользовательский интерфейс, но один обеспечивает безопасность, а использование другого приводит к утечке информации. Более того, использование средств криптографической защиты с одним программно-аппаратным средством обработки информации надежно защищает эту информацию, а с другим приводит к ее утечке. Опытный криптограф сможет определить разницу между этим системами, но обычный пользователь никогда. Как быть в этой ситуации? Обычно мы доверяем охрану своей безопасности и спокойствия государственным органам, особенно там, где нам не хватает знаний для независимой оценки, например, в авиации, медицине, фармакологии. Также обстоит дело и в криптографии. Именно поэтому введено лицензирование деятельности предприятий по защите информации со стороны ФАПСИ и сертификация разработанных продуктов. К настоящему времени ФАПСИ лицензировано 153 организации, из них 86 региональных организаций, которым дано право на разработку, производство и эксплуатацию средств криптографической защиты.

Этими организациями совместно с ФАПСИ развернуты работы по защите конфиденциальной информации в региональных подразделениях целого ряда органов государственного управления. Разворачивается защищенная почтовая система, предназначенная для защиты обмена конфиденциальной информацией между центральным аппаратом Министерства по налогам и сборам и всеми регионами России. В заключительной стадии находятся работы по первому этапу создания территориально разнесенной системы, объединяющей автоматизированные системы центральных и территориальных управлений органов федерального казначейства Минфина. Ведутся работы по созданию защищенных информационных систем: ИСИНПОЛ для Федеральной службы налоговой полиции и «Занавесь» для МВД России. Ряд аналогичных проектов запланирован в рамках 2-го этапа создания Информационно-телекоммуникационной системы специального назначения России (ИТКС). При этом предусматривается обеспечение информационной безопасности региональных информационных систем и интеграция их в ИТКС на основе использования разработанных ФАПСИ типовых решений и сертифицированных средств защиты.

С целью проведения единой научно-технической политики в области построения ИТКС, в том числе и разработки типовых унифицированных решений по обеспечению информационной безопасности в ней, в настоящее время практически во все регионы страны разослан экспресс-вариант системного проекта новой редакции Программы ИТКС. В системном проекте и, соответственно, в новой редакции Программы ИТКС предполагается отразить и учесть замечания и предложения регионов, и в частности, связанные с обеспечением информационной безопасности региональных информационно-телекоммуникационных структур, с учетом их взаимодействия с межрегиональными и центральными системами и центрами различного предназначения.

Одним из важных аспектов обеспечения организации информационного взаимодействия регионов на всех уровнях (внутрирегиональный, межрегиональный, связь регионов с центром и т. п.) является проблема подключения к сети Internet в так называемом информационно-безопасном исполнении. С этой целью проводятся работы по созданию российского сегмента сети Internet - RSNET.

К настоящему времени создан и функционирует опытный район сети RSNET, состоящий из центрального узла, двух межрегиональных узлов в Санкт-Петербурге и Нижнем Новгороде и трех региональных узлов Москве, Краснодаре и Кирове.

Таким образом, создана телекоммуникационная основа по построению сети RSNET. Всего в рамках создания российского сегмента RSNET сети Internet планируется создать Центральный узел, II межрегиональных узлов и 40 региональных узлов доступа.

В соответствии с утвержденной Концепцией создания сети RSNET планируется также проведение соответствующих работ по обеспечению в ней информационной безопасности на основе внедрения перспективных средств защиты отечественной разработки, в первую очередь межсетевых экранов.

Еще одним аспектом информационной безопасности регионов является обеспечение защиты электронных документов от подделки. Внесение злоумышленником изменений в программное обеспечение платежных систем, позволяющих переводить на его счет даже небольшие суммы с каждой транзакции, позволяет осуществлять хищение крупных денежных средств.

Такие случаи хорошо известны в мировой практике. Появились они и у нас. Так, в Главном управлении Банка России по Тульской области в 1995 году был выявлен случай внедрения системным программистом программной закладки, позволяющей осуществлять незаконные операции. С помощью этой закладки были переведены деньги в коммерческий банк для обналичивания. В целом, по данным МВД, за 1998 год в российской кредитнофинансовой системе выявлено 73 мошенничества с применением компьютерной техники; по 50-ти возбужденным уголовным делам окончено производство и они переданы в суд, привлечено к ответственности 96 человек. Сумма ущерба, причиненного преступниками, составила 34,3 млрд рублей.

ФАПСИ разработаны и успешно внедряются электронно-цифровая подпись и ряд других средств криптографической защиты, позволяющих избежать возможной подделки электронных документов и тем самым оградить банки от финансовых потерь. И там, где серьезно относятся к вопросам информационной безопасности и рекомендациям Федерального агентства, обеспечивается надежная защита электронных транзакций. Так, например, обстоят дела в Центральном банке России, работающем в тесном контакте с ФАПСИ и проводящим последовательную политику по внедрению в региональные платежные системы средств защиты информации, сертифицированных Агентством. К сожалению, имеется немало противоположных примеров, когда финансовые структуры ориентируются на импортные или несертифицированные отечественные технологии защиты информации, результатом чего являются серьезные финансовые потери.

Приведу один пример. Использование в платежной системе «Золотая корона», развернутой в Сибирском регионе, интеллектуальных карт зарубежного производства, оснащенных несертифицированными средствами информационной защиты, привело к тому, что злоумышленник смог выявить слабости механизмов алгоритмической защиты, разработать сценарий атаки с учетом реальных характеристик банкоматов и платежных терминалов системы, изготовить дубликаты реальных пластиковых карт и успешно реализовать информационную атаку, нанеся значительный финансовый ущерб платежной системе.

Этого бы не случилось, если бы в платежной системе использовалась разработанная ФАПСИ совместно с рядом российских организаций и предприятий интеллектуальная карта с операционной системой и ядром безопасности, основанном на отечественных криптографических алгоритмах.

Важным аспектом информационной безопасности регионов является возможность получения региональными органами власти достоверной информации о реальных объемах продаж продукции (в частности, продаж алкогольных напитков) для обеспечения контроля за налоговыми поступлениями. Разработанные ФАПСИ в порядке конверсии средства такого контроля, по нашему мнению, помогут в значительной мере решить указанную важную региональную проблему. Речь идет о контрольнокассовой машине с защищенной криптографическими методами фискальной памятью и криптографически защищенной системе контроля за производством и реализацией алкогольной продукции. Эти разработки фактически готовы к широкому внедрению. Так, контрольно-кассовая машина внесена в государственный реестр контрольно-кассовых машин, а упомянутая система контроля за алкогольной продукцией развернута в Ленинградской и Читинской областях, республике Карелии, Таймырском и Ханты-Мансийском автономных округах. Дело теперь за инициативой соответствующих служб других регионов.

Таким образом, ФАПСИ имеет технологические и интеллектуальные ресурсы, которые могут помочь решить целый ряд проблем обеспечения региональной информационной безопасности. Для этого необходимо обеспечить плотное взаимодействие Федерального агентства с руководством регионов. Решить эту проблему могут региональные управления и Центры правительственной связи ФАПСИ, которые имеются во всех регионах и в настоящее время решают большой комплекс вопросов по обеспечению функционирования правительственной связи, функционирования и развития региональных информационно-аналитических центров и центров правовой информатизации. Эти же подразделения уже в настоящее время решают ряд задач, связанных с обеспечением информационной безопасности в регионах. Однако это направление их деятельности с учетом потребностей регионов в настоящее время нуждается в расширении.

Надеемся, что усиление взаимодействия руководства регионов и ФАПСИ уже в ближайшее время приведет к укреплению реальной информационной безопасности регионов России.