2-я Практическая конференция по информационной безопасности «КиберИнфофорум»: Безопасность в реализации проектов информатизации государства, предприятий, общества Кибербезопасность и вопросы импортозамещения Закрытое акционерное общество «РНТ», В.Ю. Статьев Москва, 08 июня 2015 г. Какой результат КИБЕРБЕЗОПАСНОСТЬ & ИМПОРТОЗАМЕЩЕНИЕ КИБЕРЗАМЕЩЕНИЕ ИМПОРТОБЕЗОПАСНОСТЬ ТРЕБУЕМЫЙ УРОВЕНЬ ДОВЕРИЯ 2 Внешние условия процессов риски по обеспечению информационной независимости и безопасности РФ (попадание под санкции SDN (Specially Designated Nationals) и SSI (Sectoral Sanctions Identifications List) Минфина США и COUNCIL DECISION 2014/508/CFSP стран Евросоюза производителей программного обеспечения из США и Европы) ведомственные рекомендации «по обеспечению информационной безопасности организаций» (например, распоряжение № Р-556 ЦБ РФ о «защите от утраты прав (лицензий) на использование» программ) появление нормативной базы, ограничивающей допуск ПО иностранных государств на российский рынок (ФЗ «Об информации, информационных технологиях и о защите информации», проекты ограничений допуска программных средств иностранных государств (Постановление, №44-ФЗ, №223-ФЗ)) реализация планов по импортозамещению (приказ Минсвязи «Об утверждении плана импортозамещения программного обеспечения) обеспечение кибербезопасности РФ (ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009, «Концепция стратегии кибербезопасности» Совет Федерации РФ, Отраслевые центры кибербезопасности, ГосСОПКА) 3 ГОСТ ИСО/МЭК 27032:2012 В соответствии с ИСО/МЭК 27032:2012 Руководящие указания по кибербезопасности (ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for cybersecurity) семантически понятие кибербезопасность ассоциируется с понятиями информационная безопасность, безопасность приложений, сетевая безопасность, безопасность Интернет, безопасность критической информационной инфраструктуры 4 ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009 ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели». Кибербезопасность – это действия необходимые для предотвращения неавторизованного использования, отказа в обслуживании, преобразования, рассекречивания, потери прибыли, или повреждения критических систем или информационных объектов. В область применения стандарта попадают системы, нарушение безопасности которых может поставить под угрозу здоровье или безопасность населения или работников, привести к потере доверия со стороны общественности, нарушению регламентных норм, утечке или потери достоверности служебной или конфиденциальной информации, загрязнению окружающей среды и/или экономическому ущербу, или отразится на каком-либо субъекте или локальной/национальной безопасности 5 «Концепция стратегии кибербезопасности» СОВЕТ ФЕДЕРАЦИИ РФ Комиссия по информационной политике «Концепция стратегии кибербезопасности» (проект) 1) Информационное пространство – сфера деятельности, связанная с формированием, созданием, преобразованием, передачей, использованием, хранением информации, оказывающая воздействие, в том числе на индивидуальное и общественное сознание, информационную инфраструктуру и собственно информацию; 2) Информационная безопасность – состояние защищенности личности, организации и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве; 3) Киберпространство – сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства); 4) Кибербезопасность – совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями 6 Приказ ФСТЭК №31 Установлены три класса защищенности АСУ, определяющие уровни защищенности АСУ 7 ГосСОПКА Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (Концепция утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274) Субъекты системы – федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры РФ, федеральный орган исполнительной власти, уполномоченный в области создания и обеспечения функционирования системы, владельцы информационных ресурсов РФ, операторы связи, а также иные организации, осуществляющие лицензируемую деятельность в области защиты информации Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак – технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая сети и средства связи, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ 8 Кибербезопасность Киберпространство – пространство управлений на основе информационных технологий, где присутствуют традиционные понятия из кибернетики: объект управления, субъект управления, управляющие воздействия, состояние объекта управления, обратная связь, внешние воздействия. В этом смысле это виртуальная среда. Кибербезопасность – состояние безопасного управления в привязки к объекту управления и субъекту управления. 1. Требуемое решение не принято к моменту, когда это необходимо 2. Принято неверное решение и/или оно навязано в требуемом для субъекта воздействия виде 3. Требуемое решение принято вовремя, но стало известно тем, от кого оно должно быть скрыто 4. Принятое решение не доведено вовремя до субъекта, который должен участвовать в его реализации. 5. Принятое решение искажено для субъекта, который должен участвовать в его реализации. 9 Понятие «российская программа» Закон «Об информации, информационных технологиях и о защите информации» (проект) Статья 12 «Особенности государственного регулирования в сфере использования российских программ для электронных вычислительных машин или баз данных» 4. В реестр российского программного обеспечения вносятся сведения о программах для электронных вычислительных машин или базах данных, которые соответствуют следующим условиям: 1) исключительное право на программы для электронных вычислительных машин или базы данных на территории всего мира и на весь срок действия исключительного права принадлежит одному или нескольким из следующих лиц (правообладателей): а) Российской Федерации, субъекту Российской Федерации или муниципальному образованию; б) российской некоммерческой организации, высший орган управления которой формируется прямо или косвенно Российской Федерацией, …... и которая не признается контролируемой иностранным лицом российской организацией; в) российской коммерческой организации, в которой суммарная доля прямого или косвенного участия .….. составляет более 50 процентов; г) гражданину Российской Федерации; 2) программы для электронных вычислительных машин или баз данных доступны в свободной продаже (экземпляры программ для электронных вычислительных машин или баз данных, а также права использования программам для электронных вычислительных машин или баз данных имеются в свободной реализации); 3) общая сумма выплат по лицензионным и иным договорам, ...... в пользу иностранных лиц, .….. составляет менее тридцати процентов от выручки правообладателя …… за календарный год; 4) сведения о правообладателе программ для электронных вычислительных машин или баз данных внесены в реестр аккредитованных организаций, осуществляющих деятельность в области информационных технологий ..…. ; 5) сведения о программах для электронных вычислительных машин или базах данных не составляют государственную тайну, и программы для электронных вычислительных машин или базы данных не содержат сведений, составляющих государственную тайну. 10 План по импортозамещению 11 Замещение существующих решений Существующее решение Существующее решение+ Существующее решение Импортозамещение Существующее решение Брендозамещение Импортозамещение 12 Основные условия замещения предлагаемые подходы должны быть ориентированы на широкий функциональный спектр проектируемых систем предлагаемые подходы не должны существенно ограничивать функционал существующей автоматизации служебных процессов организации предлагаемые подходы должны сохранять вложенные в систему инвестиции и обеспечивать естественную интеграцию и совместную работу новых и наследуемых функциональных элементов темп замещения для различных функциональных элементов системы может быть различным некоторые прикладные программные средства, автоматизирующие служебные процессы, могут на определенном временном интервале содержать не доверенные компоненты, так как осуществить их замещение оперативно невозможно необходимо обеспечивать информационной безопасности выполнение требований по 13 Функциональные уровни архитектуры Комплексная аналитика Функциональная аналитика Функциональные подсистемы Информационные подсистемы общего назначения Базовая инфраструктура б е з о п а с н о с т ь АНАЛИТИКА: Аналитика по направлениям деятельности Комплексная аналитика ФУНКЦИОНАЛЬНЫЕ ПОДСИСТЕМЫ: ERP SCADA BI PLM/PDM CAD/CAM OLAP СПО з а м е щ е н и е ИНФОРМАЦИОННЫЕ ПОДСИСТЕМЫ ОБЩЕГО НАЗНАЧЕНИЯ Электронный документооборот Нормативно-справочная информация Управление данными Информационная интеграция БАЗОВАЯ ИНФРАСТРУКТУРА Информационная безопасность Управление функционированием Операционная среда (ОС, МВМ, БОС) Физическая среда (сеть, сервера, СХД, АРМ) 14 Направление движения Импортозамещение в рамках представленных функциональных уровней системы должно осуществляться снизу вверх. Только в этом случае можно создать равнопрочное с точки зрения доверия техническое решение. Доверие к элементам выше лежащих уровней возможно только при условии наличия доверенных элементов нижних уровней Компоненты «информационная безопасность» и «управление функционированием», начинаясь с уровня базовой инфраструктуры, постепенно должны распространяться на все выше лежащие уровни даже при наличии на них не доверенных элементов. Импортозамещение Модель доверия Кибербезопасность 15 Необходимость доверенной инфраструктуры происходит интенсивное включение в состав информационно-вычислительных компонентов системы мобильных устройств как наиболее динамично развивающихся элементов современных информационных технологий усложнение процедуры доказательства доверенности программного обеспечения приводит к необходимости разрабатывать системы с предположением, что любая программа потенциально содержит «дыры» или «закладки», и операционная среда его выполнения должна защитить другие приложения от неправильно работающей или заражённой программы необходимость перехода к моделям угроз и нарушителя информационной безопасности систем, которые предполагают наличие внутреннего нарушителя, включая определенные группы администраторов системы необходимость использования наследуемого программного которое, как показывает практика, в большинстве случаев: - слабо документировано - функционирует только в определенной операционной среде - разработчики его уже отсутствуют - организовать нормальное его сопровождение невозможно - необходимо его рассматривать только как «черный ящик» обеспечения, 16 Доверенная базовая инфраструктура Создание доверенной базовой инфраструктуры направлено на реализацию разграничения информационных потоков различных категорий конфиденциальности и обеспечения возможности погружения в эту инфраструктуру функциональных приложений различного уровня доверия В состав доверенной инфраструктуры должны входить средства, которые инвариантны к разработке прикладного и специального программного обеспечения 17 Модель «доверенности» Понятие «российская программа» не является синонимом доверенности доверенные разработчики доверенная среда разработки доверенные средства разработки доверенное тестирование и исследование доверенная эксплуатация доверенная интеграция с безопасностью Доверенное решение – весь жизненный цикл доверенный Доверенное решение – сертифицированное решение 18 Чему можно доверять Вопросы: Замещающее отечественное ПО - доверенное ? ПО свободно распространяемое - доверенное ? ПО с открытыми кодами - доверенное ? Наследуемое ПО - доверенное ? 19 Направления деятельности РНТ доверенные аппаратные средства доверенные операционные системы доверенные средства виртуализации доверенные СУБД доверенные средства тестирования и исследования доверенная интеграционная платформа «Форпост» доверенная интеграционная платформа «Простор» доверенная интеграционная платформа «ISPLab» доверенные средства безопасности 20 Интеграционная платформа «Форпост» Интеграционная платформа «Форпост» предназначена для реализации: системы управления функционированием и эксплуатацией территориально-распределенных систем; информационного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ ГосСОПКА; возможность построения систем «мини-Сопка» для отраслевых организаций в идеологии Концепции и обеспечение их взаимодействия с ГосСОПКА; системы обнаружения компьютерных атак (СОА ФСБ) или вторжений (СОВ ФСТЭК). 21 Спасибо за внимание ЗАО «РНТ» 129515 Москва 2-я Останкинская ул., дом 6 Тел.: +7(495)777-75-77 Факс: +7(495)777-75-76 http://www.rnt.ru rnt@rnt.ru