Актуальные вопросы, проблематика сегмента информационной безопасности Республики Беларусь.

nii tzi logoБарановский Олег Константинович. И.о. заместителя директора по науке Государственного предприятия «НИИ ТЗИ».

Образование высшее, радиофизик, в 1998 закончил Белорусский государственный университет. Имеет академическую степень магистра естественных наук, кандидат физико-математических наук. Опыт работы в области защиты информации – с 1998 года по настоящее время.

Нормативное правовое регулирование информационной безопасности

Установление единых требований защиты информации, подлежащей охране в соответствии с законодательством, а также внедрение установившихся практик обеспечения информационной безопасности в форме государственных нормативных правовых актов позволяет сэкономить издержки и повысить состояние защищенности личности, общества и государства.

Современное развитие информационных технологий опережает технологии обеспечения их безопасности. Именно в настоящее время уполномоченными государственными органами готовятся и последовательно вводятся в действие ряд нормативных правовых актов.

Особое внимание следует обратить на две ключевые даты – 18 октября 2013 г. и 1 января 2014 г.

Первая дата: 18 октября 2013 года вступил в действие Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации». Указ определяет типы объектов, на которых осуществляется техническая и криптографическая защита информации.

Во исполнение требований данного Указа введен в действие ряд положений приказами Оперативно-аналитического центра при Президенте Республики Беларусь от 26 августа 2013 г. № 60 и от 30 августа 2013 г. № 62:

- Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

- Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;

- Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

- Положение о порядке проведения государственной экспертизы средств технической и криптографической защиты информации.

Одновременно постановлением Совета Министров Республики Беларусь от 15 августа 2013 г. № 718 признается утратившим силу постановление Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации».

Вторая дата: 1 января 2014 года вступает в действие технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY), утвержденный постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375 (далее – ТР). ТР устанавливает обязательные требования информационной безопасности и процедуры подтверждения их соответствия для средств защиты информации.

Согласно ТР устанавливается две формы подтверждения соответствия: в форме сертификации и декларирования соответствия.

При этом подтверждению соответствия требованиям информационной безопасности ТР путем сертификации подлежат средства защиты информации, которые будут использоваться для:

- технической защиты государственных секретов;

- создания систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

- создания систем безопасности критически важных объектов информатизации;

- обеспечения целостности и подлинности электронных документов в государственных информационных системах.

Соответствие средств защиты информации ТР обеспечивается выполнением требований

информационной безопасности ТР непосредственно либо выполнением требований взаимосвязанных государственных стандартов.

В этой связи до момента вступления в действие ТР должен быть утвержден перечень взаимосвязанных государственных стандартов. Производители и поставщики средств защиты информации после опубликования перечня взаимосвязанных стандартов должны будут привести продукцию в соответствие с ТР перед подачей заявки на сертификацию.

Как уже отмечалось выше, технологии защиты информации и информационной безопасности идут следом за информационными технологиями. Все чаще мы должны обеспечить защищенность продуктов и систем зарубежного производства, о которых нам известны только их потребительские характеристики.

Для управления информационной безопасностью объектов внедряются международные практики, например, все шире используются стандарты серии 27к. Для осуществления процедур подтверждения соответствия продуктов и функционирующих (эксплуатируемых) систем также выбраны международные стандарты серии ISO/IEC 15407 и ISO/IEC 19791, которые в настоящее время гармонизируются  с национальной технической нормативной правовой базой.

Упомянутый выше ТР устанавливает базовые требования информационной безопасности к средствам защиты информации. Потребительские функции средств защиты информации определяются в зависимости от назначения и условий эксплуатации объекта защиты. Как правило, показатели и нормы защищенности информации закрепляются на национальном уровне. В связи с этим требования к функциям защиты средств защиты информации устанавливаются в национальных стандартах.

Технический комитет. Необходимость создания новых специализированных технических комитетов по защите информации

В настоящее время в Республике Беларусь функционирует национальный технический комитет по стандартизации ТК BY 22 «Информационные технологии». В его компетенцию входит также безопасность информационных технологий. Однако существенная часть государственных стандартов, регламентирующих вопросы защиты информации, разрабатывается без согласования с комитетом. Также существует линейка стандартов, не входящих в серию 34.101. Данные документы регламентируют требования к технической защите информации, содержащей государственные секреты.

Назрела необходимость создания национального технического комитета, регулирующего вопросы технической защиты информации и информационной безопасности информационных технологий. Учитывая, что объектами защиты являются объекты информатизации, обрабатывающие информацию, распространение и (или) предоставление которой ограничено, а также отнесенные к критически важным, в состав комитета безусловно должны войти уполномоченные государственные органы, а также компетентные организации, имеющие специальные разрешения (лицензии). В технической нормативной правовой базе сегодня много пробелов, которые необходимо выявлять и разрабатывать меры по их устранению.

Государственные программы

В настоящее время в республике реализуется 3 программы, в рамках которых в основном сосредоточены усилия по выполнению научно-исследовательских и опытно-конструкторских работ, направленных на разработку средств защиты информации, нормативно-методических документов в сфере защиты информации, средств обеспечения информационной безопасности:

- Государственная научно-техническая программа «Развитие методов и средств системы комплексной защиты информации» (шифр «Защита информации-2»), 2011-2015 годы, утвержденная приказом Государственного комитета по науке и технологиям Республики Беларусь от 20 мая 2011 г. № 163;

- Подпрограмма «Безопасность информационно-коммуникационных технологий и цифровое доверие» Национальной программы ускоренного развития услуг в сфере информационно-коммуникационных технологий на 2011-2015 годы, утвержденная постановлением Совета Министров Республики Беларусь от 28 марта 2011 г. № 384;

- Программа Союзного государства «Совершенствование системы защиты общих информационных ресурсов Беларуси и России на основе высоких технологий» на 2011 – 2015 годы, утвержденная постановлением Совета Министров Союзного государства от 20 апреля 2012 г. № 6.

Одновременно вопросы защиты информации и информационной безопасности решаются в рамках выполнения отдельных проектов по созданию защищенных систем по другим программам.

Актуальность создания новой саморегулируемой организации по безопасности – Белорусской ассоциации безопасности

Мир бизнеса наполнен событиями слияний, создания альянсов и союзов, основной целью которых является извлечение дополнительной прибыли. Достижение данной цели в отрасли информационной безопасности может быть обеспечено путем создания объединений, направленных на разработку наукоемких средств защиты информации, которые производить в одиночку весьма затратно. В этом случае вместо выполнения отдельных проектов в рамках, например, государственных научно-технических программ, появляются возможности создавать комплексные решения по защите информации с функционалом, соответствующим таким объектам

с уровнем значимости, как критически важные объекты информатизации. При этом разработчик будет сохранять за собой все права на результаты.

Однако в настоящее время для республики более важным является создание общественного объединения, деятельность которого направлена на решение актуальных вопросов по обеспечению национальных интересов в сфере информационной безопасности.

Стоит обратить внимание на опыт соседей – Межрегиональную общественную организацию «Ассоциация защиты информации» (АЗИ), образованную в 2002 году по инициативе ФАПСИ и Гостехкомиссии России. Деятельность АЗИ направлена на создание благоприятных условий для реализации потребностей граждан, бизнеса и органов государственной власти в продуктах и технологиях защиты информации. Более подробно с уставом можно ознакомиться на сайте АЗИ.

Под началом Белорусской ассоциации безопасности должны работать и различные комитеты, в том числе национальный технический комитет по стандартизации в области защиты информации и информационной безопасности.

Обеспечение саморегулируемости ассоциации путем вовлечения компетентных экспертов (в том числе из государственных органов) в совокупности с финансовой поддержкой зарекомендовавших себя в сфере защиты информации организаций и предприятий позволит создать недостающую на современном этапе эффективную и полезную организационную структуру управления в государстве и обществе.

http://is.aercom.by