http://93.174.130.82/digest/showdnews.aspx?id=bf8b64ee-f4f7-4ff9-8e0c-3012db525a18&print=1© 2024 Российская академия наук
В рамках Форума «Технологии безопасности» в Москве в первом квартале 2023 года был проведен широкий спектр научных конференций. Представители академических институтов и промышленных корпораций и их деловых партнеров обсудили особенности разработки систем для информационной безопасности (ИБ). Особое внимание участников и гостей форума вызвала конференция «Актуальные вопросы защиты информации», на которой рассматривалась проблематика разработки систем и средств технической защиты информации, инструментария по безопасной разработке программного обеспечения (ПО), выявления и анализа информационных систем (ИС) и средств анализа и контроля защищенности среды, проведения сертификационных испытаний средств защиты информации (СЗИ) и совершенствования требований по безопасности, предъявляемым к СЗИ.
Конференцию открыл доклад заместителя директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) России В.С.Лютикова по основным направлениям развития системы защиты информации. Как отметил Виталий Сергеевич, согласно проекту Указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации», устанавливаются организационные подходы к защите информации ограниченного доступа, а также защите общедоступной информации, определяются организационные основы государственной системы защиты информации (ГСЗИ) и основные направления деятельности ГСЗИ на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях. Организационную основу ГСЗИ составляют ФСТЭК России, ФСБ России, выполняющие работы по защите информации организации, разработчики СЗИ, органы по сертификации и испытательные лаборатории, научные и образовательные организации, осуществляющие комплексную подготовку кадров в сфере ИБ.
Согласно Приказу ФСТЭК России от 19.09.2023 № 172 (зарегистрированного Минюстом России 19.10.2022 № 70614), в Положение о системе сертификации вносится ряд изменений. Например, сокращаются сроки рассмотрения документов по сертификации СЗИ и сроков проведения отдельных работ: разработка и утверждение ПиМ в срок не более 30 календарных дней, из которых на разработку ПиМ ИЛ отводится до 20 календарных дней, рассмотрение ПиМ ОС – до 10 календарных дней. Устранение выявленных в материалах сертификации недостатков ОС и ИЛ заявителем допускается в срок не более 30 календарных дней. Рассмотрение материалов сертификации недостатков ФСТЭК России и ОС допускается в срок не более 15 календарных дней. Также предполагается проведение дополнительных испытаний разработчиком СЗИ. В частности, заявитель, являющийся разработчиком СЗИ и имеющий сертификат соответствия процедур безопасной разработки, в случае внесения изменений, в т.ч., связанных с функциями безопасности информации, проводит испытания самостоятельно или с привлечением испытательной лаборатории. Также запланировано уточнение формы заявки на сертификацию СЗИ.
В рамках работ по совершенствованию безопасной разработки ПО разработан проект нормативно-правового документа (НПД) «Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации», в соответствии с которым предполагается внедрение отечественными разработчиками процедур безопасной разработки, совершенствование качества разработки ПО и обеспечение качественной поддержки безопасности ПО. Аналогичная ситуация – с совершенствованием процедур аккредитации. Проект НПД «Порядок аттестации экспертов органов по сертификации и испытательных лабораторий» предназначен для повышения уровня знаний и практических навыков у экспертов органов по сертификации и испытательных лабораторий, совершенствование процедур аккредитации органов по сертификации и испытательных лабораторий, создание условий для профессиональной деятельности и трудоустройства экспертов и специалистов. Задача данного НПД – внести изменения в Порядок аккредитации в части установления требований об аттестации экспертов и специалистов, а также порядка их аттестации, разработать комплексные тесты и системы практических заданий для проведения аттестации.
В утвержденные Приказом ФСТЭК России от 02.06.2020 № 76 (зарегистрированного Минюстом России 11.09.2020 № 59772) НПД «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» другим НПД, Приказом ФСТЭК России от 18.04.2022 № 68, зарегистрированным Минюстом России 20.07.2022 № 69318) вносится набор изменений. Например, с 01.01.2024 (п.п. 12.2 и 12.4) запланировано применение отечественных аппаратных платформ СЗИ (с 5 уровня доверия) и СВТ, являющихся средой функционирования (СФ) СЗИ (с 3 уровня доверия). Также с 01.01.2026 (п.12.3) запланировано применение отечественных процессоров, микросхем, элементов памяти, сетевых карт, графических адаптеров СЗИ (с 4 уровнем доверия), а с 01.01.2030 (п.12.5) – применение отечественных процессоров, микросхем, элементов памяти, сетевых карт, графических адаптеров СВТ, являющихся СФ СЗИ (с 2 уровнем доверия).
Важным новшеством, связанным с развитием в России и за рубежом стеганографических технологий, является формирование Требований безопасности информации к средствам контейнеризации, утвержденных Приказом ФСТЭК России от 04.07.2022 № 118 (зарегистрированного Минюстом России 29.09.2022, регистрационный номер № 70275). В соответствии с текстом НПД, предусмотрены функциональные возможности средств контейнеризации, в т.ч., по формированию среды выполнения контейнеров и обеспечения выполнения их процессов, запуска контейнера и управления данным контейнером, создания образов контейнеров, распространения образов контейнеров и централизованного управления контейнерами с организацией взаимодействия между ними. Предусмотрено расширение функционала по управлению доступ к данным, идентификации аутентификации пользователей, изоляции контейнеров, выявления уязвимостей в образах контейнеров (например, по набору ключевых сигнатур), проверки корректности конфигурации контейнеров, контроля целостности контейнеров и их образов, централизованного управления образами контейнеров и контейнерами. В ходе итеративной процедуры были разработаны требования, которые неоднократно обсуждались с экспертами, оценивался уровень регулирующего воздействия, и после регистрации в Минюсте России НПД вступил в силу.
Аналогично совершенствованию законодательства по стеганографическому ПО, разработаны Требования по безопасности к средствам виртуализации, утвержденные Приказом ФСТЭК России от 27.10.2022 № 187 (зарегистрирован Минюстом России 22.12.2022, регистрационный № 71774), формирующие законодательную базу по созданию образов виртуальных машин, формированию среды выполнения виртуальных машин и централизованному управлению виртуальными машинами с организацией взаимодействия между ними. В соответствии с НПД, предусмотрен дополнительный функционал в сфере безопасности, включающий доверенную загрузку виртуальных машин средством виртуализации, контроль целостности в средстве виртуализации, регистрацию событий безопасности в средстве виртуализации, управление доступом в средстве виртуализации, резервное копирование виртуальных машин, централизованное управление образами виртуальных машин и виртуальными машинами в средстве виртуализации с идентификацией и аутентификацией пользователей.
Отдельного рассмотрения заслуживают Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети (ММЭУС). Напомним, ММЭУС – это программно-аппаратные средства, реализующие контроль за данными, поступающими в ИС и (или) выходящими из ИС с обеспечением защиты ИС от угроз безопасности информации, связанных с подключением к сетям связи общего пользования. Среди функций безопасности ММЭУС следует отметить фильтрацию сетевого трафика, обнаружение и блокирование компьютерных атак, обнаружение и блокирование вредоносного ПО, управление доступом, идентификацию и аутентификацию пользователей, тестирование и контроль целостности, централизованное управление, доверенную загрузку межсетевого экрана, производительность межсетевого экрана, аппаратную платформу межсетевого экрана, обеспечение бесперебойного функционирования и восстановления. НПД прошел стадии жизненного цикла по согласованию с экспертами и оценке регулирующего воздействия, но в Минюсте пока не зарегистрирован и, соответственно, в силу не вступил.
Аналогично, пока только разработаны Требования по безопасности информации у СУБД, прошедшие обсуждение с экспертами. До стадии жизненного цикла по оценке регулирующего воздействия данный НПД еще не дошел. Напомним, СУБД – это программные средства, обеспечивающие управление доступом субъектов доступа к объектам доступа баз данных, предназначенных для хранения информации, подлежащей защите в информационной (автоматизированной) системе. Требованиями регламентируется управление доступом, идентификация и аутентификация пользователей, контроль целостности, регистрация событий безопасности, резервное копирование и восстановление, обеспечение доступности, очистка памяти и ограничение программной среды.
При участии ПАО «СБЕР», «ИНТЕР РАО», Департамента информационных технологий города Москвы, Института системного программирования (ИСП) имени В.П.Иванникова Российской академии наук (РАН), «Ростелеком» и «Positive Technologies» разработан и утвержден ФСТЭК России 28.10.2022 НПД «Методика тестирования обновлений безопасности программных, программно-аппаратных средств». НПД размещен на сайте ФСТЭК России fstec.ru и сайте Банка данных угроз безопасности информации bdu.fstec.ru: он определяет порядок тестирования обновлений безопасности программных и программно-аппаратных средств (ППАС), а также содержание работ по тестированию обновлений безопасности ППАС. Работы по тестированию обновлений безопасности (ОБ) включают не только сверку идентичности ОБ (Т001) и проверку подлинности ОБ (Т002), но и антивирусный контроль ОБ (Т003) и поиск опасных конструкций в ОБ (Т004), а также мониторинг активности ОБ в среде тестирования (Т005) и ручной анализ ОБ (Т006).
В ФСТЭК России разработан и утвержден 28.10.2022 НПД «Методика оценки критичности уязвимостей программных, программно-аппаратных средств». НПД размещен на сайте ФСТЭК России fstec.ru и сайте Банка данных угроз безопасности информации bdu.fstec.ru: он определяет порядок оценки уровня критичности уязвимостей ППАС, а также необходимость принятия мер защиты информации, направленных на устранение уязвимостей.
На стадии утверждения ФСТЭК России после разработки и обсуждения с экспертами проект НПД «Методика контроля (анализа) защищенности информационных систем», который определяет порядок проведения работ по контролю (анализу) защищенности ИС, включающий определение целей проведения контроля (анализа) защищенности, определение области проведения контроля (анализа) защищенности в ИС, выполнение работ по контролю (анализу) защищенности и оформление результатов контроля (анализа) защищенности. Работы по контролю (анализу) защищенности предполагают сбор информации об ИС, анализ уязвимостей ИС, включая анализ уязвимостей инфраструктуры, периметра, приложений, беспроводных сетей, и тестирование ИС, включая тестирование периметра, внутренней инфраструктуры, беспроводных сетей, социально-техническое тестирование.
Методика оценки состояния защиты информации (обеспечения безопасности) в органе организации включает оценку эффективности деятельности предприятия по организации и управлению защитой информации, реализации процессов обеспечения защиты информации, внедрения и эксплуатации технологий в сфере ИБ. Комплексная оценка формируется, в частности, с учетом анализа ключевых тенденций в руководстве и управлении, негативных последствий и угроз в сфере ИБ, СЗИ и отраслевых услуг, а также внешней и внутренней оценки соответствия, что, в свою очередь, предполагает руководство системой организации защиты информации, координацию работы подразделений по защите информации, разработки положений по организации защиты информации (в т.ч., политика и стратегии), планирование мероприятий по защите информации, определения негативных последствий, моделирования угроз безопасности информации, закупку и применение сертифицированных СЗИ, контроль услуг внешних поставщиков, аттестацию ИС, внутренний контроль уровня защищенности, внешнюю оценку уровня защищенности, регламентацию правил управления доступом и учетными записями, выявление и оценку уязвимостей, управление обновлениями безопасности, инвентаризацию информационных ресурсов, управление изменениям конфигурации, реагирование на инциденты безопасности, действия во внештатных ситуациях с информированием и обучением персонала, безопасную разработку приложений, защиту от утечки конфиденциальной информации, защиту сети и каналов передачи данных, защиту от угроз типа «отказ в облуживании» с предотвращением вторжений (компьютерных атак), идентификацию и аутентификацию с контролем и управлением доступом, антивирусной защитой и мониторингом ИБ при постоянном анализе защищенности и стабильно высоким уровнем восстановления после нештатных ситуаций. Реализация процессов защиты информации с внедрением и эксплуатацией технологий ИБ предполагает управление доступом и конфигурацией с мониторингом уязвимостей и регулярным обновлением компонентов профильного ПО, а также мониторинг угроз и оперативное на них реагирование с восстановлением функционирования ИС, обучение и осведомленность, безопасная разработка приложений, защита конфиденциально информации, защита периметра в сети и всей информационной инфраструктуры.
При участии ФСТЭК России разработан НПД «Методика управления уязвимостями в органе (организации), в соответствии с которым реализован ряд ключевых направлений. Например, мониторинг уязвимостей и оценка их применимости включает анализ информации об уязвимости, анализ релевантности уязвимостей к инфраструктуре, принятие решений на получение дополнительной информации, постановку задачи на сканирование объектов, мониторинг средствами инструментального контроля, оценку защищенности и сканирование объектов. Оценка уязвимостей, в частности, предполагает получение информации о подверженных уязвимости объектах системы, определение уровня опасности и влияния на систему с расчетом критичности. Оценка методов и приоритетов устранения уязвимостей предполагает выбор приоритета устранения уязвимости, определение методов устранения уязвимостей, принятие решения о срочной установке обновлений, создания задания на установку обновлений, принятие решения о срочной реализации организационных мер, создание задания на реализацию организационных мер. Устранение уязвимостей предполагает согласование с руководством подразделения ИТ, тестирование обновление, установка обновления в тестовом сегменте, принятие решений об установке обновлений, их успешная инсталляция и применение организационных мер. Наконец, контроль устранения уязвимостей предполагает регулярные принятия решений о способах контроля, проверку объектов на наличие уязвимостей, оценку защищенности с выявлением отклонений в неисполнении, а также разработку предложений по улучшению процесса управления уязвимостями.
В завершение Виталий Сергеевич напомнил участникам и гостям конференции «Актуальные вопросы защиты информации», что в 2022 году был уже утвержден ряд Национальных стандартов в сфере защиты информации: ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации», ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации», ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения», ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами» и ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты». В 2023 году планируется утвердить также ряд НПД, в частности, Проекты национальных стандартов ГОСТ Р: «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения», «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения», «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению динамического анализа программного обеспечения», «Защита информации. Разработка безопасного программного обеспечения. Доверенный компилятор языков Си/Си++. Общие требования», «Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Общие положения», «Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Шаблоны проектирования», «Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Методология разработки» и «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов».
Вопросам совершенствования банка данных угроз безопасности информации (БДУ БИ) было посвящено выступление начальника управления ФАУ №ГНИИ ПТЗИ ФСТЭК России» А.С.Суховерхова. Александр Сергеевич напомнил участникам и гостям конференции о том, что БДУ БИ является единым отечественным информационным ресурсом, содержащим сведения об угрозах и уязвимостях отечественных и зарубежных программных и программно-аппаратных систем, в т.ч., определения и оценки различных типов угроз, выявление, анализ и устранение уязвимостей, производство и поддержка в актуальном состоянии СЗИ. БДУ БИ был введен в эксплуатацию в 2015 году (адрес – bdu.fstec.ru) и содержит более 200 записей об угрозах и свыше 44 тысяч записей – об уязвимостях, он включает данные о типовых уязвимостях веб-приложений, наиболее опасных уязвимостях, исследовательских рейтингах, НПД, терминологии, обратной связи и обновлениях в ПО. Методика оценки угроз безопасности информации (УБИ) включает в качестве основных этапов «Определение негативных последствий» (определение негативны последствий, которые могут наступить от реализации УБИ), «Определение объектов воздействия» (инвентаризация систем и сетей и определение возможных объектов воздействия УБИ) и «Оценка возможности реализации угроз», что, в частности, предполагает определение источников УБИ и оценку возможностей нарушителей по реализации УБИ и оценки способов и сценариев реализации УБИ. В новом разделе УБИ идентифицированы негативные последствия и объекты воздействий, а также оценены возможности реализации угроз. В разделе поиска уязвимостей ПО внедрен автоматический их поиск, например, с помощью программ Scan OVAL. Предусмотрена статистика накопления результатов сканирования с указанием обнаруженных уязвимостей, их количества и детализированной информации по каждой уязвимости. Методика тестирования обновлений безопасности программных средств и ППАС в частности, включает сверку идентичности со сравнением контрольных сумм, проверку подлинности с определением разработчика, антивирусный контроль с сигнатурным и эвристическим анализом, мониторинг активности с анализом поведения в среде функционирования и ручной анализ с анализом логики работы, статический и динамический анализ и др. Уязвимостями ПО занимается рабочая группа по тестированию обновлений с верификацией результатов тестирования и размещением результатов тестирования обновлений. В уязвимости ПО интегрирован раздел тестирования обновлений БДУ ФСТЭК России с описанием результатов тестирования и опубликованием итогов выполнения тестов и сведений о результатах тестирования в описаниях уязвимостей. Среди анонсированных новых возможностей БДУ БИ – телеграмм-канал и бот с возможностью подписки на рассылку. Уже проведены работы по устранению 739 уязвимостей «нулевого дня» в ПО, при этом среднее время реагирования вендора – 5 дней, а усредненное время устранения уязвимости – 30 дней.
Помимо выступлений представителей ФСТЭК, в которых были рассматривались перспективы развития систем информационной защиты, в т.ч., с применением стеганографических систем, в рамках конференции «Актуальные вопросы защиты информации» докладчики представили ряд научных сообщений о современных разработках в сфере ИБ в академических институтах и в промышленных корпорациях и их деловыми партнерами. Особый интерес у участников и гостей форума вызвала серия докладов представителей ИСП РАН, который с 2015 года возглавляет всемирно-известный ученый академик РАН, заместитель президента РАН А.И.Аветисян.
Выводы:
Использование стеганографических технологий при разработке и проектировании систем информационной защиты существенно повышает уровень ИБ и минимизирует риски взлома ИС с применением суперкомпьютерных и квантово-компьютерных комплексов. Расширить сферу применения стеганографических систем позволит разработка ФСТЭК России НПД по Требованиям в сфере ИБ к средствам контейнеризации.
Среди перспективных направлений совершенствования БДУ БИ следует отметить формирование новых разделов угроз БИ, развитие API-интерфейсов с предоставлением к нему доступа пользователям и содержащих результаты тестирования обновлений. Также целесообразна модернизация раздела уязвимостей с добавлением данных об уязвимых компонентах и созданием новых программ ScanOVAL для дистрибутивов отечественных операционных систем.