Харин Ю.С., Матвеев Г.В.
НИИ прикладных проблем математики и информатики
Белорусский государственный университет
Минск, Беларусь

1. Введение

2. Система подготовки специалистов по защите информации

3. Нормативная база подготовки специалистов по КБ

4. Квалификационная характеристика и требования к уровню подготовки специалиста

5. Типовой учебный план

6. Специализации

7. Аспирантура

8. Повышение квалификации по информационной безопасности

9. Заключение

Читать полностью: Совершенствование подготовки специалистов по компьютерной безопасности в Республике Беларусь (.pdf)

Актуальность выработки методик и ознакомления с технологиями расследования инцидентов в системах электронных платежей

Денисов Денис Валерьевич. Национальный банк Республики Беларусь, Главное управление единого расчетного и информационного пространства. Эксперт по информационной безопасности, защите информации в банковской сфере, противодействию мошенничеству в области электронных платежей.

Как в Беларуси происходит развитие регулирования указанного сегмента?

Пожалуй, отправной точкой нового витка развития направления обеспечения банковской безопасности можно считать разбойное нападение 10.12.2009 на обменный пункт ЗАО ”Абсолютбанк“ в Минске. Убита 21-летняя кассир. После этого инцидента 24.12.2009 в Национальном банке Республики Беларусь с участием представителей органов государственного управления и руководителей банков состоялось совещание, на котором были приняты достаточно серьезные решения. По результатам совещания был составлен план мероприятий. В дальнейшем в целях комплексного подхода к борьбе с преступностью Указом Президента от 23.09.2010 № 485 утверждена Государственная программа по борьбе с преступностью и коррупцией на 2010 – 2012 годы, в которой уже были учтены и мероприятия по результатам совещания в Национальном банке. Во исполнение решений п. 2.3 Плана мероприятий совещания в Национальном банке Республики Беларусь и п. 3.1.1.4 Государственной программы распоряжением Председателя Правления Национального банка Республики Беларусь от 31.12.2010 года № 1056 была создана межведомственная рабочая группа по противодействию мошенничеству в области электронных платежей, в состав которой вошли представители Национального банка Республики Беларусь, крупнейших банков Республики Беларусь, Министерства внутренних дел Республики Беларусь, Следственного комитета Республики Беларусь, ОАО ”Банковский процессинговый центр“, ООО ”VISA Украина“, ООО ”Мастеркард“ (г. Москва). Результатом работы группы стал Свод рекомендаций, включивший в себя:

• - рекомендации по организации взаимодействия между банками, процессинговыми центрами и органами Министерства внутренних дел в случае выявления мошенничества с банковскими платежными карточками;
• - рекомендации по обеспечению безопасного функционирования программно-технической инфраструктуры банков, ОАО ”Банковский процессинговый центр“, ООО ”Веб Пэй“ и аналогичных организаций, участвующих в обработке интернет-транзакций с использованием банковских платежных карточек;
• - рекомендации для оценки надежности интернет-магазинов, подключаемых белорусскими банками-эквайерами;
• - рекомендации по противодействию мошенничеству при совершении расчетов в сети Интернет по банковским платежным карточкам;
• - рекомендации банкам по оформлению документов, позволяющих подтверждать ущерб, причиненный резидентам иностранных государств в результате мошенничества в области интернет-эквайеринга на территории Республики Беларусь.

В дальнейшем по распоряжению Первого заместителя Председателя Правления Национального банка Республики Беларусь Лузгина Н.В. от 13.11.2012 № 484 были продолжены мероприятия по функционированию Рабочей группы по противодействию мошенничеству в области электронных платежей с целью дальнейшего анализа состояния и потребностей в данном направлении, также была дана оценка эффективности применения разработанного в 2011 году свода рекомендаций по противодействию мошенничеству в области электронных платежей и определены новые векторы работы группы.

По информации банков, некоторые из них внедрили механизмы микроплатежей. При совершении оплаты с использованием иностранной банковской платежной карточки платежный сервер осуществляет online авторизацию с использованием данной карты на случайную сумму от 0,5 до 2 USD. Держатель карты должен узнать сумму микроплатежа в банке-эмитенте платежной карты и ввести сумму микроплатежа для подтверждения совершения основной оплаты в течение одного часа. Если сумма микроплатежа совпадет с введенной держателем карты суммой, валидация карты считается успешной и платежный сервер осуществляет online авторизацию на основную сумму оплаты и формирует операцию отмены по микроплатежу. В случае, если держатель карты неправильно ввел сумму микроплатежа три раза или не ввел ее в течении часа, платежный сервер формирует операцию отмены по микроплатежу и не осуществляет online авторизацию на основную сумму оплаты. Также банки используют технологии Verified by VISA и MasterCard SecureCode, используют трехфакторную аутентификацию платежей интернет-банкинга 3D Secure, совершенствуются методы фрод-мониторинга, устанавливаются блокировки на суммы снятия денежных средств, дополнительные методы подтверждения платежей в географически опасных станах мира (Таиланд, США и другие), иногда полностью запрещаются операции в некоторых странах, все больше карт выпускаются с микрочипами. ОАО ”Банковский процессинговый центр“ ежеквартально проверяет контент интернет-магазинов с эквайерингом белорусских банков согласно Своду рекомендаций. VISA и MasterCard предлагают все больше услуг по безопасному использованию банковских платежных карт – возможности геоблокировки, уведомления держателей карт об опасных транзакциях, когда параметры транзакции соответствуют определенным ограничениям по географии, сумме транзакции, по типу организаций торговли и сервиса, и наконец даже скоринговые интеллектуальные системы фрод-мониторинга.

В рамках деятельности рабочей группы был создан закрытый информационный ресурс, на котором специалисты по карточной безопасности банков и специалисты органов внутренних дел обмениваются контактной информацией и оперативно оповещают других участников о точках подтвержденной компрометации карт. Так, например, участники оперативно могут узнать в каких устройствах и в какой промежуток времени производилось считывание карт скиммерами.

Национальным банком Республики Беларусь разработаны типовые памятки держателям карт. Указанные памятки имеются во всех отделениях банков, а также на официальных сайтах банков. С целью реализации государственной программы по повышению финансовой грамотности населения реализуется целый комплекс мероприятий с привлечением банков и средств массовой информации. Все больше банков перед операциями с банкоматами выдают оповещение клиентам с тем, чтобы они убедились в отсутствии скиммеров в банкомате и так далее.

Так, по сведениям Министерства внутренних дел Республики Беларусь, анализ оперативной обстановки на территории республики в 2012 году отражает тот факт, что количество преступлений в сфере незаконного оборота платежных карт снижается. Так, если за 9 месяцев 2011 года зарегистрировано 1528 преступлений, то за аналогичный период текущего – 1271, снижение составляет 16,8 %.

Если рассматривать структуру зарегистрированных преступлений, то подавляющее большинство совершено с использованием подлинных банковских платежных карт, но наибольшую общественную опасность представляют хищения, совершаемые с использованием поддельных карт либо их реквизитов, а также с использованием специальных средств, предназначенных для несанкционированного копирования информации с магнитных полос банковских платежных карт.

Для объективной оценки состояния преступности следует иметь в виду, что в этой части официальная статистика не отражает реальное количество хищений, совершенных с использованием поддельных карт. Как правило, такие преступления совершаются в составе организованных групп, которые к моменту выявления и принятия решения о возбуждении уголовного дела уже совершили десятки и сотни эпизодов хищений, осуществили приготовление к совершению новых преступлений. При возбуждении уголовного дела в таких случаях, принимая во внимание наличие единого умысла на совершение ряда преступлений, следователь возбуждает одно уголовное дело. То есть на практике зачастую в одном уголовном деле расследуются сотни эпизодов хищений, объединенных единым умыслом, совершенных одними и теми же лицами из банкоматов, принадлежащих различным банкам, с использованием сотен банковских платежных карт, эмитированных различными банками.

Всего в 2012 году обезврежено 5 преступных групп (общей численностью 12 человек, в том числе 2 международные), специализировавшихся на совершении преступлений в сфере незаконного оборота платежных карт на территории страны.

Среди особенностей оперативной обстановки за истекший период можно считать уменьшение числа выявленных преступлений, совершаемых с использованием поддельных банковских платежных карт («белого пластика»).

27 марта 2013 года ООО ”АэркомБел“ организовало семинар ”Расследование инцидентов информационной безопасности в системах электронных платежей“, ставший знаковым в данном направлении для Республики Беларусь, так как на этом мероприятии эксперты из Российской Федерации и Республики Беларусь впервые подняли пласт такой проблематики для белорусских банков и иных организаций.

01.04.2013 г. Постановлением Совета Министров Республики Беларусь и Национального банка Республики Беларусь от № 246/4 утвержден План совместных действий государственных органов и участников финансового рынка по развитию в Республике Беларусь системы безналичных расчетов по розничным платежам с использованием современных электронных платежных инструментов и средств платежа на 2013 – 2015 годы, который предполагает увеличение показателей доли безналичного денежного оборота в розничном товарообороте организаций розничной торговли и доли безналичного денежного оборота в объеме платных услуг населению к 1 января 2016 года до 50%.

11.04.2013 г. по предложению Национального банка Республики Беларусь в Ассоциации белорусских банков состоялось совместное заседание членов Комитета платежной системы и Комитета по информационным технологиям при Ассоциации. В заседании принял участие Заместитель Председателя Правления Национального банка Республики Беларусь С.В.Дубков. По итогам заседания принято решение об объединении указанных комитетов путем создания единого Комитета по безналичным расчетам, в рамках деятельности которого будут рассматриваться как ранее закрепленные вопросы, так и вопросы развития системы безналичных расчетов. Работа данного Комитета разделена на три подкомитета:

• - Платежные карты, электронные деньги и иные инструментарии.
• - Безналичные расчеты юридических лиц.
• - Информационные технологии.

15.04.2013 г. Распоряжением Председателя Правления Национального банка № 140 деятельность рабочей группы по противодействию мошенничеству в области электронных платежей была завершена и передана в Подкомитет «Платежные карты, электронные деньги и  иные инструментарии» Комитета по безналичным расчетам, тем самым, повысив значимость данного направления.

Весной 2013 года отмечался всплеск инцидентов мошенничества в системе электронных платежей. Большой общественный резонанс произвели случаи мошенничества с использованием скимминга.

25.04.2013 г. проведено межведомственное совещание при заместителе Генерального прокурора с участием представителей Верховного Суда, Следственного комитета, МВД, Департамента финансовых расследований КГК, Национального банка, Ассоциации белорусских банков, а также крупнейших банков по вопросу принятия процессуальных решений о возбуждении уголовных дел по фактам хищения денежных средств банков с территории иностранного государства. Принято решение о том, что заявления будут концентрироваться в РУВД по месту регистрации центрального офиса банка, так как в Минске легче нарастить соответствующую компетенцию сотрудников МВД, сам факт заявления будет достаточным для возбуждения уголовного дела вне зависимости от того, где произошло мошенничество.

18 июня 2013 г. на заседании комитета по безналичным расчетам в Ассоциации белорусских банков было принято решение о создании документа, который введет в Республике Беларусь принцип нулевой ответственности для владельцев банковских карт, который предполагает безусловный возврат банком клиенту украденных с карточки средств (по аналогии со статьей 9 Федерального закона Российской Федерации от 27.06.2011 № 161-ФЗ ”О национальной платежной системе“). С инициативой создания этого документа выступил начальник Управления по расследованию преступлений против информационной безопасности Следственного комитета Республики Беларусь А.Е. Сушко.

Банки с введением такой ответственности будут нести прямые финансовые потери, в то время как на сегодняшний день несут потери держатели карт. Банки будут стимулированы проводить расследование таких инцидентов. В свою очередь, принятие такого рода нормативного акта создаст условия для фактов мошенничества со стороны держателей карт, что потребует разработки методик работы с такого рода правонарушениями.

На данный момент банки прорабатывают ряд вопросов, возникающих при реализации принципа нулевой ответственности. К примеру, по какой статье проводить возврат денежных средств. Решение о формате документа и сроках вступления его в силу пока не принято.

Так, в рамках работы над данным документом 10.10.2013 г. на очередном заседании комитета по безналичным расчетам в Ассоциации белорусских банков рассматривался вопрос об обращении в Совет Министров с предложением о внесении изменений и дополнений в Налоговый кодекс в части налогообложения клиентов банков при осуществлении банками возврата сумм физическим лицам, пострадавшим от мошенничества при проведении операций с использованием карточек на основе анализа действий банков при выявлении мошенничества и их решений о возмещении ущерба пострадавшим лицам.

Какие еще есть перспективы работы в данном направлении и актуальные темы?

Необходимо продолжать работу над повышением компетенции служб безопасности банков и отрабатывать принципы реагирования на случаи мошенничества. Особенно актуально это станет с введением принципа нулевой ответственности. В Российской Федерации принят федеральный закон от 27.06.2011 № 161-ФЗ ”О национальной платежной системе“. Согласно статьи 9 этого закона, вступающего в силу с 2014 года, устанавливается порядок возможности отмены транзакций с признаками мошенничества. К слову, там держателю карты банк будет обязан вернуть денежные средства на карту в течение 24 часов в случае хищения, когда нет явной вины держателя. А уже затем сам банк собирает материалы и передает в правоохранительные органы для возмещения ущерба, нанесенного уже банку, а не держателю карты.

Анализируя инциденты можно констатировать, что в большинстве случаев банки создали необходимые организационные и технические условия обеспечения внутренней защиты банка и устройств, но процесс этот не статичен, и банкам необходимо на постоянной основе совершенствовать методы и технологии внутренней защиты банков.

Кроме регламентации внутренних процедур должны быть предусмотрены также технические средства информационной безопасности, которые могут предотвращать такие случаи с помощью разграничения доступа, мониторинга совершенных пользователем операций, расследования инцидентов и пр.

Также следует учитывать опыт Российской Федерации, где, к примеру, разработаны Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиентов.

Для стабильной работы банковской системы и доверия населения к ней необходимо обеспечивать защиту денежных средств и информации клиентов (держателей карт).

Национальная выставка-форум «Центр безопасности: Информационная безопасность. Телекоммуникации» станет площадкой для повышения компетенции всех участников, задействованных в обеспечении безопасности, противодействии мошенничеству, а также расследовании инцидентов в системах электронных платежей. Позволит наладить контакты с коллегами, обменяться опытом, а также изучить рынок продуктов и услуг, способствующих повышению безопасности, снижению риска мошенничества, а также дающих инструментарий при расследовании инцидентов.

Бывают случаи, когда банки недостаточно эффективно взаимодействуют с правоохранительными органами, либо не используют Свод рекомендаций. Внутренние расследования банков иногда проводятся формально. Немаловажным фактором является принятие решений банками о неразглашении инцидентов, так как это может негативно сказаться на репутации банка. Такие эпизоды, когда злоумышленники остаются безнаказанными, подстегивает криминальные круги использовать свои схемы и в дальнейшем. Нам необходимо совместными усилиями добиваться искоренения преступности в нашем сегменте, для чего каждый представитель службы безопасности банков должен понимать, как в дальнейшем собранная информация об инциденте будет использована при расследовании государственными органами. Банк должен понимать, каковы успехи в расследовании преступлений государственными органами, эффективность взаимодействия банков, Министерства внутренних дел Республики Беларусь, как органа, собирающего материалы преступления, Следственного комитета Республики Беларусь, как органа уголовного преследования, и органов прокуратуры на финише при принятии судебных решений.

В свете увеличения показателей доли безналичного денежного оборота в розничном товарообороте организаций розничной торговли и доли безналичного денежного оборота в объеме платных услуг населению к 1 января 2016 года до 50% насколько актуально обеспечить соответствие стандарту PCI DSS?

Банки заинтересованы обеспечить соответствие стандарту PCI DSS. Международные платежные системы со значительным ростом количества операций в стране могут более жестко отнестись к соответствию белорусских участников платежных систем стандарту PCI DSS.

Справочно (редактор):

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12-ти детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Основной акцент стандарт PCI DSS делает на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга. Важную роль стандарт отводит разработке и поддержке базы нормативных документов системы менеджмента информационной безопасности.

Требования стандарта PCI DSS распространяются на банки, организации торговли и сервиса (ОТС), поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платежных карт. Этим организациям следует озаботиться такими вопросами, как выделение платежной инфраструктуры в отдельный сегмент, защита хранящихся и обрабатываемых карточных данных, создание эффективной системы менеджмента информационной безопасности и другими аспектами приведения в соответствие требованиям стандарта своей информационной инфраструктуры.

Международные платежные системы обязывают организации, на которые распространяются требования стандарта, проходить регулярную проверку соответствия этим требованиям. Правила проверки соответствия различаются в зависимости от вида организации и ежегодного количества обрабатываемых в ее инфраструктуре карточных транзакций. Внешний аудит на соответствие требованиям стандарта может выполнять компания, обладающая статусом Qualified Security Assessor (PCI QSA), подготовленные такой компанией отчеты о соответствии принимаются международными платежными системами.

Различают уровни сертификации для ОТС и других участников. Существуют следующие методы проверки соответствия требованиям стандарта PCI DSS:

• внешний QSA-аудит, выполняемой PCI QSA-компанией на объекте проверяемой организации;
• заполнение листа самооценки (SAQ);
• автоматизированное ASV-сканирование уязвимостей периметра сети.

Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня сертификации объекта. Сертификация по высшим уровням должна проводиться аудиторской компанией, обладающей статусом QSA. Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги для прохождения сертификации по любому уровню

www.pcisecuritystandards.org является официальным сайтом Совета по стандартам безопасности индустрии платежных карт. Совет формирует редакции стандарта PCI DSS, проводит ежегодную сертификацию работников организаций и самих организаций на соответствие требованиям статуса организации PCI QSA. Сертифицированные Советом организации имеют право проводить работы по аудиту на соответствие PCI DSS с выдачей соответствующих сертификатов на соответствие PCI DSS.

В Республике Беларусь нет ни одной организации, имеющей статус PCI QSA, однако в регионе CEMEA имеют право оказывать услуги иностранные организации (61 организация). Из организаций на рынке CEMEA есть 23 организации, имеющие в штате русскоязычных экспертов (из них 12 организаций PCI QSA, находятся на территории России или Украины).

Спасибо за развернутые ответы! До встречи 2-3 декабря 2013 года на 1-й Национальной выставке-форуме «Центр безопасности: Информационная безопасность. Телекоммуникации»!

Микулич Николай Дмитриевич. Начальник отдела управления защиты информации Оперативно-аналитического центра при Президенте Республики Беларусь. Образование высшее, прикладная математика, в 1976 году окончил Высшую краснознаменную школу КГБ при СМ СССР имени Ф.Э. Дзержинского. Опыт работы по криптографической тематике с 1976 года по настоящее время.

1. Нормативно-правовое регулирование (НПА) криптографической защиты информации

Сегодня эффективное государственное управление невозможно без создания соответствующей технологической основы, обеспечивающей информационное взаимодействие всех ветвей власти. Важнейшую роль здесь играют вопросы защиты информации. Развитие компьютерных сетей и телекоммуникаций значительно расширяет возможности применения информационных технологий и делает возможным и необходимым создание систем юридически значимого электронного документооборота (ЭД), осуществляемого с использованием информационных систем. Вместе с тем это требует современных подходов в решении задач по защите информации и указывает на особую роль и место средств криптографической защиты информации в системах защиты информации информационных систем.

Открытая криптография в Республике Беларусь

Для современной криптографии характерно использование открытых криптографических алгоритмов, предполагающих использование вычислительных средств. Как наука она основывается на совокупности фундаментальных понятий и фактов математики, физики, теории информации и сложности вычислений. Несмотря на традиционную ее сложность, многие теоретические достижения криптографии сейчас широко используются. Применение криптографических методов защиты информации стало неотъемлемой частью жизни современного общества — их используют в электронной коммерции, электронном документообороте, телекоммуникации и других. Они обеспечивают решение основных задач защиты информации: конфиденциальность, целостность, подлинность, аутентификация при хранении и передаче информации по каналам связи.

В Республике Беларусь открытая криптография начала использоваться с 1991 года сначала в банковской сфере, а затем и в других сферах.

В период становления государственности в Республике Беларусь руководство страны приняло меры по организации защиты информации во всех сферах деятельности государства в целях обеспечения национальной безопасности. Была поставлена задача развивать национальные криптографические алгоритмы и требования по криптографической защите информации. Начали проводиться научно-исследовательские и опытно-конструкторские работы в данной области. Благодаря наличию в республике высокого научно-технического потенциала к 2000 году была создана нормативно-правовая база, обеспечивающая создание и развитие отечественных средств криптографической защиты информации (СКЗИ), заложены основы использования электронной цифровой подписи (ЭЦП) и организации юридически значимого электронного документооборота в корпоративных информационных системах субъектов хозяйствования. К этому времени были разработаны и приняты отечественные базовые криптографические алгоритмы, обеспечивающие целостность, подлинность и конфиденциальность информации.

Текущее состояние

В настоящее время в Республике Беларусь вопросы криптографической защиты информации, не содержащей сведений, отнесенных к государственным секретам, регулируются:

Законом Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;

Законом Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном документе и электронной цифровой подписи»;

Указом Президента Республики Беларусь от 1 сентября 2010 г. №450 «О лицензировании отдельных видов деятельности»;

Указом Президента Республики Беларусь от 8 ноября 2011 г. №515 «О некоторых вопросах развития информационного общества в Республике Беларусь»;

Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации».

В соответствии со своими полномочиями Оперативно-аналитическим центром при Президенте Республики Беларусь (далее — ОАЦ) разработаны следующие нормативные правовые акты:

приказом ОАЦ от 16 октября 2012 г. № 79 «О некоторых вопросах функционирования Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь» (ГосСУОК) утверждены:

Концепция развития ГосСУОК;

Положение о ГосСУОК;

Положение о Межведомственном консультативном совете по развитию ГосСУОК;

Положение о корневом удостоверяющем центре ГосСУОК.

Приказом начальника ОАЦ от 30.08.2013 №62 утверждено Положение о порядке организации криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации.

Положение определяет порядок применения СКЗИ в системах защиты информации государственных информационных систем, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено. В приложении приведен перечень технических нормативных правовых актов и документов, в которых определены требования к СКЗИ, на соответствие которым осуществляется сертификация, государственная экспертиза СКЗИ.

Пути развития национальной базы НПА/ТНПА по КЗИ, расстановка приоритетов:

Мы внимательно следим за развитием открытой криптографии в мире и ведем разработки как национальных криптографических алгоритмов так и адаптацию международных стандартов в области криптографической защиты информации. Это прежде всего стандарты, определяющие требования к форматам зашифрованных и подписанных ЭЦП сообщений, а также требования к компонентам инфраструктуры открытых ключей.

Заметим, что мы не слепо адаптируем международные криптографические стандарты. Нам известно, что ряд из них обладает определенными слабостями. Например, протокол TLS в отдельных случаях не обеспечивает защиту от атак типа «противник посередине», «чтение назад» и др. Поэтому в разработанный проект стандарта СТБ/ПР_1/34.101.65 «Информационные технологии и безопасность. Протокол защиты транспортного уровня (TLS)» включены дополнительные криптонаборы TLS, основанные на отечественных криптографических алгоритмах. Применяемые алгоритмы оформляются в TLS в виде криптонаборов и методов аутентификации сторон. Данный стандарт определяет как собственно TLS, так и использование в TLS отечественных криптографических алгоритмов. Кроме того, в 2013 году завершены работы по следующим криптографическим стандартам:

- СТБ 34.101.44. «Информационные технологии и безопасность. Алгоритмы разделения секрета». В проект стандарта внесены существенные изменения и дополнения. В настоящее время ни в одной стране мира пока не принят аналогичный стандарт.

- СТБ 34.101.66-2013 «Информационные технологии и безопасность. Протоколы аутентификации и выработки общего ключа на основе эллиптических кривых».

- СТБ/ПР_1/34.101.67 «Информационные технологии и безопасность. Инфраструктура атрибутных сертификатов».

- Расширен предварительный стандарт СТБ П 34.101.45-2011 «Информационные технологии и безопасность. Алгоритмы электронной цифровой подписи на основе эллиптических кривых» и на его основе и разработан стандарт СТБ  34.101.45-2013. Стандарт устанавливает алгоритмы выработки и проверки ЭЦП, генерации и проверки параметров эллиптической кривой, генерации и проверки личных и открытых ключей подписи, а также вспомогательные алгоритмы транспорта ключа и генерации псевдослучайных чисел. В нем описываются алгоритмы электронной цифровой подписи, в которых используются вычисления в группе точек эллиптической кривой над конечным простым полем. Стандарт призван заменить СТБ 1176.2-99. Переход от алгоритмов СТБ 1176.2-99 к алгоритмам стандарта позволит уменьшить время выработки и проверки ЭЦП, сократить длины параметров и ключей. Стандарт обладает большей криптографической стойкостью. Он также как и СТБ 1176.2-99 базируется на схеме ЭЦП Шнора.

Таким образом, созданная по направлению КЗИ нормативно-правовая база отвечает современным потребностям развития СКЗИ и позволяет решать стоящие перед страной задачи на основе отечественных СКЗИ.

Задачи сегодняшнего дня

Ближайшие из них это:

- построение ГосСУОК;

- внедрение ЭЦП в систему межведомственного электронного документооборота Республики Беларусь;

- вопросы цифрового доверия;

- функционирование доверенной третьей стороны для межгосударственного электронного взаимодействия;

- создание системы идентификации для физических и юридических лиц;

- создание доступных в ценовом и техническом аспекте механизмов и средств, обеспечивающих идентификацию и аутентификацию пользователей, конфиденциальность и целостность сообщений в системах и сетях общего пользования и др.

2. Влияние принятых документов на деятельность предприятий в сфере защиты информации?

1. Принятые ТНПА определили требования к форматам зашифрованных и подписанных сообщений, а также требования к компонентам инфраструктуры открытых ключей, что делает возможным решать вопросы совместимости средств криптографической защиты информации различных производителей и признания сертификатов, издаваемых различными удостоверяющими центрами.

2. Грамотное использование надежных криптографических механизмов позволяет создавать современные наукоемкие продукты в области IT технологий.

А это в свою очередь позволяет расширить сферу использования электронного документооборота, обеспечить возможность ведения электронной торговли, предоставления электронных услуг организациям и гражданам.

Борботько Тимофей Валентинович. Доктор технических наук, профессор кафедры защиты информации Учреждения образования «Белорусский государственный университет информатики и радиоэлектроники» (БГУИР). Образование высшее, телекоммуникационные системы, в 2000 году закончил Высший государственный колледж связи. В 2009 году закончил докторантуру БГУИР по специальности «Методы и системы защиты информации, информационная безопасность». Опыт работы в области защиты информации с 2004 года по настоящее время.

Опыт подготовки специалистов по защите информации в БГУИР
В БГУИР накоплен некоторый опыт подготовки специалистов различного уровня в сфере информационной безопасности.

С 2001 г. в БГУИР открыто несколько учебных инженерных специальностей:
1. 1-38 02 03 «Техническое обеспечение безопасности» – подготовка инженеров-электромехаников умеющих выполнять анализ потенциальных каналов утечки информации, наличие которых обусловлено применением технических средств шпионажа и утечкой информации посредством сетей телекоммуникаций, а так же выбор наиболее оптимальных способов их защиты;
2. 1-98 01 02 «Защита информации в телекоммуникациях» – подготовка специалистов по двум квалификациям (специалист по защите информации, инженер по телекоммуникациям) обладающих теоретическими знаниями и практическими навыками исследования, разработки и сопровождения средств защиты и обработки информации в телекоммуникационных системах;
3. 1-39 01 04 «Радиоэлектронная защита информации» – подготовка инженеров по радиоэлектронике со специальными знаниями в области построения защищенных радиоэлектронных программно-аппаратных систем и устройств радионаблюдения, радиоэлектронной борьбы и криптологии, а также инженерно-технических средств;
4. 1-39 03 01 «Электронные системы безопасности» – подготовка инженеров-проектировщиков, способных проводить комплексное проектирование электронных систем безопасности включающее определение угроз и рисков для защищаемого объекта, разрабатывать принципы обеспечения защиты и общую структурную схему системы безопасности, определение наиболее эффективных каналов передачи сигналов, выбор промышленно выпускаемых электронных и других технических устройств, совместно решающих задачу по обеспечению безопасности объекта.

С 2001 года введен единый для всех инженерных специальностей курс «Основы защиты информации и управление интеллектуальной собственностью», который содержит основные сведения по правовому, организационно-техническому и криптографическому обеспечению информационной безопасности информационных систем кредитно-финансовых и других специальных организаций.

Вторая ступень высшего образования – магистратура. С 2007 года в БГУИР обучается ежегодно не менее 35 магистрантов дневной и заочной форм обучения по специальности 1 98 80 01 «Методы и системы защиты, информационная безопасность». С 2010 года начата подготовка магистрантов дневной формы обучения на английском языке. Ежегодный набор на обучение составляет 8 15 человек из числа лиц иностранных граждан. Темы магистерских работ посвящены разработке технических и программно-аппаратных средств защиты информации.

В БГУИР ведется подготовка в аспирантуре по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность», функционирует Совет по защите диссертаций по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность». Проводится ежегодная Белорусско-Российская научно-техническая конференция «Технические средства защиты информации» (г. Браслав), отдельные доклады в виде статей публикуются в журнале «Доклады БГУИР».

На базе Института информационных технологий и кафедры защиты информации БГУИР проводятся ежегодные курсы повышения квалификации по темам: «Защита информации в телекоммуникационных и автоматизированных системах», «Применение методов и средств криптографической защиты информации, в том числе электронной цифровой подписи», «Основы безопасности сетей» и др.

Вопросы повышения квалификации специалистов сегмента информационной безопасности в Республике Беларусь будут обсуждаться на выставке-форуме «Центр безопасности: Информационная безопасность. Телекоммуникации_2013»

http://is.aercom.by

Барановский Олег Константинович. И.о. заместителя директора по науке Государственного предприятия «НИИ ТЗИ».

Образование высшее, радиофизик, в 1998 закончил Белорусский государственный университет. Имеет академическую степень магистра естественных наук, кандидат физико-математических наук. Опыт работы в области защиты информации – с 1998 года по настоящее время.

Нормативное правовое регулирование информационной безопасности

Установление единых требований защиты информации, подлежащей охране в соответствии с законодательством, а также внедрение установившихся практик обеспечения информационной безопасности в форме государственных нормативных правовых актов позволяет сэкономить издержки и повысить состояние защищенности личности, общества и государства.

Современное развитие информационных технологий опережает технологии обеспечения их безопасности. Именно в настоящее время уполномоченными государственными органами готовятся и последовательно вводятся в действие ряд нормативных правовых актов.

Особое внимание следует обратить на две ключевые даты – 18 октября 2013 г. и 1 января 2014 г.

Первая дата: 18 октября 2013 года вступил в действие Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации». Указ определяет типы объектов, на которых осуществляется техническая и криптографическая защита информации.

Во исполнение требований данного Указа введен в действие ряд положений приказами Оперативно-аналитического центра при Президенте Республики Беларусь от 26 августа 2013 г. № 60 и от 30 августа 2013 г. № 62:

- Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

- Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;

- Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

- Положение о порядке проведения государственной экспертизы средств технической и криптографической защиты информации.

Одновременно постановлением Совета Министров Республики Беларусь от 15 августа 2013 г. № 718 признается утратившим силу постановление Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации».

Вторая дата: 1 января 2014 года вступает в действие технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY), утвержденный постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375 (далее – ТР). ТР устанавливает обязательные требования информационной безопасности и процедуры подтверждения их соответствия для средств защиты информации.

Согласно ТР устанавливается две формы подтверждения соответствия: в форме сертификации и декларирования соответствия.

При этом подтверждению соответствия требованиям информационной безопасности ТР путем сертификации подлежат средства защиты информации, которые будут использоваться для:

- технической защиты государственных секретов;

- создания систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

- создания систем безопасности критически важных объектов информатизации;

- обеспечения целостности и подлинности электронных документов в государственных информационных системах.

Соответствие средств защиты информации ТР обеспечивается выполнением требований

информационной безопасности ТР непосредственно либо выполнением требований взаимосвязанных государственных стандартов.

В этой связи до момента вступления в действие ТР должен быть утвержден перечень взаимосвязанных государственных стандартов. Производители и поставщики средств защиты информации после опубликования перечня взаимосвязанных стандартов должны будут привести продукцию в соответствие с ТР перед подачей заявки на сертификацию.

Как уже отмечалось выше, технологии защиты информации и информационной безопасности идут следом за информационными технологиями. Все чаще мы должны обеспечить защищенность продуктов и систем зарубежного производства, о которых нам известны только их потребительские характеристики.

Для управления информационной безопасностью объектов внедряются международные практики, например, все шире используются стандарты серии 27к. Для осуществления процедур подтверждения соответствия продуктов и функционирующих (эксплуатируемых) систем также выбраны международные стандарты серии ISO/IEC 15407 и ISO/IEC 19791, которые в настоящее время гармонизируются  с национальной технической нормативной правовой базой.

Упомянутый выше ТР устанавливает базовые требования информационной безопасности к средствам защиты информации. Потребительские функции средств защиты информации определяются в зависимости от назначения и условий эксплуатации объекта защиты. Как правило, показатели и нормы защищенности информации закрепляются на национальном уровне. В связи с этим требования к функциям защиты средств защиты информации устанавливаются в национальных стандартах.

Технический комитет. Необходимость создания новых специализированных технических комитетов по защите информации

В настоящее время в Республике Беларусь функционирует национальный технический комитет по стандартизации ТК BY 22 «Информационные технологии». В его компетенцию входит также безопасность информационных технологий. Однако существенная часть государственных стандартов, регламентирующих вопросы защиты информации, разрабатывается без согласования с комитетом. Также существует линейка стандартов, не входящих в серию 34.101. Данные документы регламентируют требования к технической защите информации, содержащей государственные секреты.

Назрела необходимость создания национального технического комитета, регулирующего вопросы технической защиты информации и информационной безопасности информационных технологий. Учитывая, что объектами защиты являются объекты информатизации, обрабатывающие информацию, распространение и (или) предоставление которой ограничено, а также отнесенные к критически важным, в состав комитета безусловно должны войти уполномоченные государственные органы, а также компетентные организации, имеющие специальные разрешения (лицензии). В технической нормативной правовой базе сегодня много пробелов, которые необходимо выявлять и разрабатывать меры по их устранению.

Государственные программы

В настоящее время в республике реализуется 3 программы, в рамках которых в основном сосредоточены усилия по выполнению научно-исследовательских и опытно-конструкторских работ, направленных на разработку средств защиты информации, нормативно-методических документов в сфере защиты информации, средств обеспечения информационной безопасности:

- Государственная научно-техническая программа «Развитие методов и средств системы комплексной защиты информации» (шифр «Защита информации-2»), 2011-2015 годы, утвержденная приказом Государственного комитета по науке и технологиям Республики Беларусь от 20 мая 2011 г. № 163;

- Подпрограмма «Безопасность информационно-коммуникационных технологий и цифровое доверие» Национальной программы ускоренного развития услуг в сфере информационно-коммуникационных технологий на 2011-2015 годы, утвержденная постановлением Совета Министров Республики Беларусь от 28 марта 2011 г. № 384;

- Программа Союзного государства «Совершенствование системы защиты общих информационных ресурсов Беларуси и России на основе высоких технологий» на 2011 – 2015 годы, утвержденная постановлением Совета Министров Союзного государства от 20 апреля 2012 г. № 6.

Одновременно вопросы защиты информации и информационной безопасности решаются в рамках выполнения отдельных проектов по созданию защищенных систем по другим программам.

Актуальность создания новой саморегулируемой организации по безопасности – Белорусской ассоциации безопасности

Мир бизнеса наполнен событиями слияний, создания альянсов и союзов, основной целью которых является извлечение дополнительной прибыли. Достижение данной цели в отрасли информационной безопасности может быть обеспечено путем создания объединений, направленных на разработку наукоемких средств защиты информации, которые производить в одиночку весьма затратно. В этом случае вместо выполнения отдельных проектов в рамках, например, государственных научно-технических программ, появляются возможности создавать комплексные решения по защите информации с функционалом, соответствующим таким объектам

с уровнем значимости, как критически важные объекты информатизации. При этом разработчик будет сохранять за собой все права на результаты.

Однако в настоящее время для республики более важным является создание общественного объединения, деятельность которого направлена на решение актуальных вопросов по обеспечению национальных интересов в сфере информационной безопасности.

Стоит обратить внимание на опыт соседей – Межрегиональную общественную организацию «Ассоциация защиты информации» (АЗИ), образованную в 2002 году по инициативе ФАПСИ и Гостехкомиссии России. Деятельность АЗИ направлена на создание благоприятных условий для реализации потребностей граждан, бизнеса и органов государственной власти в продуктах и технологиях защиты информации. Более подробно с уставом можно ознакомиться на сайте АЗИ.

Под началом Белорусской ассоциации безопасности должны работать и различные комитеты, в том числе национальный технический комитет по стандартизации в области защиты информации и информационной безопасности.

Обеспечение саморегулируемости ассоциации путем вовлечения компетентных экспертов (в том числе из государственных органов) в совокупности с финансовой поддержкой зарекомендовавших себя в сфере защиты информации организаций и предприятий позволит создать недостающую на современном этапе эффективную и полезную организационную структуру управления в государстве и обществе.

http://is.aercom.by

Компания hoster.by — ведущая компания по предоставлению облачных решений и услуг хостинга. О проблематике и состоянии сегмента Cloud услуг в Беларуси мы говорили с Алексеем Русаковым, начальником отдела облачных решений hoster.by.

Русаков Алексей Анатольевич. Начальник отдела облачных решений hoster.by.

Нормативная база регулирующая построение, переход, выбор облачных сервисов в Республике Беларусь

На сегодняшний день потребности в создании дополнительной нормативной базы нет. Уже существующих документов (Закон «Об электросвязи», Указ Президента № 60) вполне достаточно. Возможно, не хватает документов, регулирующих ответственность провайдера за информацию клиента (напр. в РФ, Федеральный закон №152).

Основная проблематика построения облачных сервисов в Республике Беларусь

По сути конкретных препятствий нет. В части оказания услуг ЦОД в Беларуси уже функционируют 4 дата-центра: РУП «Белтелеком» (2 ЦОД), «Деловая сеть», «Датахата».

У негосударственных компаний существует проблема с каналами связи, т.к. нет возможности быстрого получения канала связи от РУП «Белтелеком». Если смотреть глубже, то в Беларуси нет коммерческих ЦОД с высокой степенью подтвержденной надежности, например уровня Tier 2, Tier 3 (уровни с повышенным резервированием электроснабжения, каналов связи, оборудования), что не позволяет уменьшить стоимость издержек для провайдеров.

Трансграничная передача. Использование ЦОД на территории других стран

Что касается зарубежных каналов связи, Белтелеком предоставляет их по запросу в своем датацентре без ограничений.

Использование ЦОД на территории других стран официально запрещено Указом № 60 (запрещает размещение информации государственных и негосударственных предприятий в других странах). Но многие коммерческие компании размещают информацию в зарубежных ЦОД, происходит это по примерной схеме: идет регистрация на физическое лицо  (размещают сервера на Amazon, Rackspace и прочих зарубежных сервисах) Информация размещается в формате резервного копирования, размещаются сервера баз данных и пр. Из положительных моментов такого размещения – надежность и относительно низкая стоимость. Из потенциальных проблем – отсутствие рычага влияния на провайдера в случае инцидентов и возможности требования компенсации издержек, а также  юридические риски и т.д.  В Беларуси же есть официальные пути урегулирования споров с провайдером.

Основные вопросы использования облака

В части сети. В Беларуси нет проблемы ни с сетью, ни с производительностью оборудования. Есть вопрос бюджетов на организацию высокопроизводительной сети или покупку необходимых мощностей.

Что касается зависимости систем (мейнфреймы, существующие устаревшие системы и сервисы и пр.) – этот вопрос актуален для стран, где системы создавались десятилетиями, например в Америке. Для Беларуси это актуально в меньшей степени, т.к. информационные системы относительно молодые.

Вопросы аутентификации и авторизации также не актуальны и решаются программными средствами.

Работа с большими базами – вопрос бюджета заказчика. Уже давно есть системы хранения, которые позволяют работать с любыми объемами данных. Проблема, чаще всего, в том, чтобы обеспечить быструю работу с этими данными. Здесь приходят на помощь различные гибридные системы хранения.

Типы «облаков» (частные, публичные, общественные, гибридные) и категории потребителей для каждого типа

Частное облако – это ваша инфраструктура. Публичное облако – инфраструктурное решение, доступное для всех. Гибридное облако – это одновременное использование частного и публичного облака. Т.е. у вас есть собственный дата-центр, но какой-то сервис вам нужно вынести в публичное облако на аутсорсинг,  связав его с текущей инфраструктурой.

Потребители: публичное облако не подойдет организациям, где есть жесткие требования к секретности данных, все остальные компании могут использовать гибридные или публичные облака  в зависимости от потребностей.

Основные риски для компаний, которые выбирают облака

Например, уровни доступа к информации клиента зависят от того, на каких условиях клиент работает с провайдером. Клиент может сам обезопасить свою информацию, запросить шифрование данных, создать  отдельные права на доступ к отдельным файлам.

Изолирование данных клиентов (напр. на hoster.by) реализуется с помощью программных средств гипервизора, который разделяет ресурсы для разных клиентов. Клиенты не видят друг друга.

Безопасность и сохранность данных – первый вопрос, который звучит при упоминании облака. Касательно сохранности – есть масса встроенных и внешних средств резервирования информации, но клиенты чаще всего считают, что передав информацию в облако, это уже не их вопрос. Это не так.

Что же касается безопасности данных, системы хранения провайдеров чаще всего полностью изолированы от сети Интернет. И получить доступ к ней на прямую практически невозможно. Утечка же данных по вине сотрудников провайдера – невозможна в принципе.

Какой классификации придерживаетесь в своей работе? Какого уровня информацию Вы готовы предложить разместить в облаке?

Мы не придерживаемся какой-либо классификации. Любая информация воспринимается как критически важная, и должна быть сохранена. Согласно существующим исследованиям, лишь 25% компаний могут восстановиться после утери критически важных данных. Так как информация является ключевым звеном для каждого бизнеса.

«Облака без приложений не актуальны»

Проблема в том, что не все специалисты понимают, что такое облако. По сути, это все та же виртуализация, те же VPS, которые все используют на протяжении последних 20 лет. Ничего существенного не поменялось, поменялось лишь название, технологии получили развитие. В этой связи терминология «Облачные сервисы» – это «маркетинговое зло». «Облако» — по версии IDC  в 2011 году, это пользовательские и корпоративные продукты, услуги и решения, предоставляемые в реальном времени через интернет.

Мы можем рассматривать облако как инфраструктуру – IaаS (инфраструктура как услуга, or Infrastructure-as-a-Service), можем рассмотреть облако как платформу для разработчиков PaaS (Platform as a Service, платформа как услуга), можем как SaaS (программное обеспечение как услуга Software-as-a-Service). Здесь всего лишь игра терминологий.

Модель SaaS становится актуальной для Беларуси.

Поддержка клиентов, ответственность провайдера в случае инцидента

Если ознакомиться с типовой формой SLA, то становится понятным, что базовая ответственность провайдера далека от ожиданий клиента. Да, возможны компенсации, но принципиально вопрос не решен.

Если клиент отдает контроль и управление сервером провайдеру, то провайдер, разумеется, следит за всем: мониторинг доступность, состояние баз данных и жестких дисков на серверах. Если же клиент берет контроль и управление сервером под свою ответственность, тогда зона ответственности провайдера заканчивается на технической доступности сервера.

Экономическая эффективность перехода в «облака»?

Частное облако позволяет сильно снизить издержки на оборудование и обслуживание. Переход в гибридное облако позволяет избавиться от лишних задач, которые вы не хотите или не можете обслуживать самостоятельно. Переход в публичное облако позволяет избавиться от задач обслуживания инфраструктуры практически полностью.

По нашим расчетам облако окупится за 5 лет, сервер — за 7 лет (при том, что сервер морально устареет через 2-3 года, а потом и вовсе может выйти из строя, а это простой и временные и финансовые затраты). Соответственно в «облаке» у вас такой проблемы не будет.

Готов ли белорусский рынок к облачным сервисам (с экономической и кадровой точек зрения)?

С экономической точки зрения белорусский рынок находится в самом зачаточном состоянии понимания необходимости использования облаков.

С кадровой точки зрения проблем никаких нет. Уровень подготовки ИТ-специалистов высок.

Кто основной пользователь облачных услуг в Беларуси?

Малый и средний бизнес. Крупный бизнес чаще всего владеет собственным дата-центром. Либо использует гибридные решения на аутсорсинге. Что касается государственных компаний, то у них давно назрела необходимость использования облачных сервисов. В этом ключе создание НЦОДа позволит сэкономить средства в масштабах государства. Несмотря на то, что на построение инфраструктуры необходимы внушительные средства, однозначно это вклад на перспективу.

Страхование рисков провайдера.

В Беларуси услуга страхования рисков провайдера не предоставляется. Мы изучали вопрос, общались со страховыми компаниям. Ни одна белорусская страховая  компания не готова оказывать услуги по страхованию рисков провайдеров. 

С. Михновская

специалист компании «АэркомБел»

Проблематика облаков в Беларуси будет обсуждена на выставке-форуме «Центр безопасности: Информационная безопасность. Телекоммуникации_2013», которая пройдет  2-3 декабря 2013 в НВЦ «БелЭкспо», Минск.

Источник: is.aercom.by