MorePC - Главная страница


О сайте

Регистрация

Обратная связь

Реклама на сайте

Публикации на сайте

Карикатуры
  Категории СВТ     Тесты и методики испытаний     Новости СВТ     Проблемы информатизации     Форум     Опросы     Словарь     Поиск  

     Проблемы информатизации : Дискуссии  

Предлагаем Вашему вниманию статьи по информационной безопасности.

01.12.2004. О техническом регулировании в компьютерной инфосфере.

версия для печати

Ю.В. БОРОДАКИЙ, А.Ю. ДОБРОДЕЕВ, Б.П. ПАЛЬЧУН

ФГУП «Концерн «Системпром» (Москва)

Журнал "Управление защитой информации" Том 8 № 3, 2004г.

В настоящее время жизнеспособность человеческой цивилизации полностью зависит от состояния её техносферы, основу которой составляют высокотехнологичные производства и системы. Это обстоятельство является источником одной из основных коллизий современности - с одной стороны высокие технологии обеспечивают жизнедеятельность человечества и его прогрессивное развитие, с другой стороны являются источником техногенных катастроф, угрожающих не только безопасности человечества, но и самому его существованию.

Для уменьшения такого негативного воздействия техносферы на жизнедеятельность современного общества многие развитые страны разрабатывают и проводят в жизнь комплекс соответствующих научных, законодательных, экономических, правоохранительных и иных мер.

В России одной из таких мер в законодательной области явилось принятие и введение в действие с 1-го июля этого года Федерального закона «О техническом регулировании» (№ 184-ФЗ от 27 декабря 2002 года).

Основные проблемы с обеспечением безопасности техносферы возникают при эксплуатации, так называемых критических систем, к которым относятся энергетические системы (особенно атомные), транспортные системы, системы связи, военно-технические системы, финансовые системы, медицинская и биологическая промышленность, экологически опасные производства, системы управления государством, в особенности силовыми структурами, и ряд других.

В этой связи надо отметить, что практически все критические системы, несмотря на явные различия, имеют в наше время одну общую для всех (по крайней мере, для всех развитых стран) особенность - все они имеют системы управления с использованием компьютерной обработки информации. То есть, безопасность, а, точнее, «опасность» самих критических систем непосредственным образом зависит от цифровых электронных вычислительных машин со всем их содержимым и в первую очередь от совокупности общих и специальных программных средств создания, обработки и хранения компьютерных данных, и собственно компьютеризированных данных на любых типах носителей информации, от всего того, что сейчас принято называть «компьютерной инфосферой».

Именно состояние компьютерной инфосферы критических систем определяет все позитивные и негативные составляющие функционирования этих систем. В то же время в настоящее время существует большое количество факторов угроз безопасности самой компьютерной инфосферы, которые подробно расписаны в Доктрине информационной безопасности Российской Федерации, в соответствующих руководящих документах ФСБ России, Гостехкомиссии России и 8-го Управления Генерального штаба. В соответствии с ГОСТ Р 51275-99 их насчитывается порядка восьми десятков.

Для критических систем в области атомной энергетики, авиации, космонавтики, ракетостроения, управления различными видами связи и других традиционных критических систем такие примеры, в общем-то, общеизвестны и понятны не только специалистам, но и широкой публике. Но подобные компьютерные угрозы в наше время возникают даже в таких областях, как медицина и коммунальное хозяйство.

Таким образом, реально существует ещё одна глобальная коллизия современности - с одной стороны, без компьютеризации (без компьютерной инфосферы и её развития) не возможен прогресс человечества в сфере высоких технологий, с другой - компьютерная инфосфера представляет собой неиссякаемый источник угроз техносфере цивилизации и, в принципе, самой цивилизации тоже.

Это обстоятельство обосновывает актуальность и необходимость разработки, принятия и применения соответствующего общего технического регламента единого для всех критических систем любого типа и предназначения. Специфика конкретных систем может и должна быть уточнена в последующем соответствующими специальными техническими регламентами. Обратный порядок не допустим. Тогда в технических регламентах на любые критические системы будут использованы положения этих «компьютерных» технических регламентов либо они будут иметь для этих систем прямое действие.

В связи с вышеизложенным ФГУП «Концерн «Системпром» разработан и опубликован в «Вестнике технического регулирования», №1(2), январь, 2004 года, проект Общего технического регламента «Обеспечение безопасности государства, общества и личности при использовании систем (продукции) с компьютерной обработкой информации», цель которого является создание законодательной (правовой) основы для обеспечения защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, охраны окружающей среды, жизни или здоровья животных и растений, а также предупреждения действий, вводящих в заблуждение приобретателей при использовании систем (продукции) с компьютерной обработкой информации.

Разработанный проект Общего технического регламента:

  • - во-первых, уже сам по себе создаёт нормативно-правовую базу по обеспечению безопасности от возможных компьютерогенных угроз;
  • - во-вторых, является недостающим «связующим звеном» между Федеральным законом «О техническом регулировании» и «профильными» специальными техническими регламентами.

По решению Председателя Государственной Думы Российской Федерации (№13-4/14 от 25 августа 2003 г.) проект Общего технического регламента был рассмотрен 25 сентября 2003 года на заседании Экспертного совета по проблемам законодательного обеспечения национальной безопасности при Председателе Государственной Думы, работе которого приняли участие руководители Минобороны, Минсвязи, РАСУ, Госстандарта,

В целом, по нашему мнению, принятие и реализация предлагаемого Общего технического регламента позволит обеспечить на должном уровне безопасность Гостехкоммисии России, депутаты и представители профильных Комитетов Государственной Думы.

По результатам работы Экспертного совета принято положительное решение (№13-1/20 от 3 октября 2003г.), которое представлено Президенту Российской Федерации, Председателю Правительства Российской Федерации, Председателю Комитета Государственной Думы по экономическому развитию и предпринимательству, Председателю Комитета Государственной Думы по безопасности, Председателю Комитета Государственной Думы по промышленности, строительству и наукоёмким технологиям (№1.1-0866 от 6 октября 2003 г.). Руководство аппарата Совета Безопасности Российской Федерации, рассмотрев по поручению Президента Российской Федерации представленные материалы, поддержало предложение «Концерна «Системпром» (исх. №А21-2931 от 26 ноября 2003 года).государства, общества и личности при использовании систем с компьютерной обработкой информации. Безусловно, выполнение необходимых мероприятий, проводимых в соответствии с требованиями этого регламента, приведут к соответствующим временным, организационным, техническим и финансовым затратам. Чтобы их уменьшить и повысить эффективность всех этих мероприятий по обеспечению безопасности, целесообразно принять взаимосвязанную систему специальных технических регламентов. В связи с этим, ФГУП «Концерн «Системпром» планирует разработку следующих специальных технических регламентов:

  • 1. «Автоматизированные системы управления критическими системами».
  • 2. «Безопасность информации в компьютерной инфосфере».
  • 3. «Требования к безопасному программному обеспечению электронных вычислительных машин».
  • 4. «Архитектура программного обеспечения автоматизированных систем в защищённом исполнении».
  • 5. «Системы защиты информации от несанкционированного доступа».
  • 6. «Средства защиты баз данных от несанкционированного доступа».
  • 7. «Требования к криптографическим методам защиты информации».
  • 8. «Безопасные ИПИ (CALS) - технологии»
  • 9. «Требования к специсследованиям и спецпорверкам информационных систем».

Естественно, все эти и другие предлагаемые проекты специальных технических регламентов по данной проблематике должны быть взаимоувязаны с цель ликвидации параллелизма и повышения эффективности их действия. При этом предлагается использовать основные принципы создания системы специальных технических регламентов (ССТР) в области обеспечения информационной безопасности: полнота, непротиворечивость, ламинарность, комплементарность, метрологичность, конролируемость,

Кроме того, предлагается следующая схема определения необходимой и достаточной конфигурации ССТР:

  • Составление исчерпывающего перечня объектов информатизации критического применения.
  • Фиксация применительно к каждому объекту из данного перечня факторов (в соответствии с Приложением), которые могут содержать угрозы безопасности компьютерной инфосфере критических систем (продукции)
  • Кластеризация объектов информатизации критического применения по их толерантности и по факторам угроз.
  • Интеграция кластеризованных объектов информатизации критического применения с целью минимизации количества технических регламентов, входящих в ССТР.
  • Публичное обсуждение проекта ССТР.

Статью "01.12.2004. О техническом регулировании в компьютерной инфосфере." Вы можете обсудить на форуме.



вверх
  Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. info@morepc.ru  
разработка, поддержка сайта -Global Arts