Российские феномены информационной безопасности

Автор: Александр Астахов — опубликовано: 08-12-2012 — последнее изменение: 08-12-2012

"Умом Россию не понять, аршином общим не измерить", - сказал поэт Тютчев в 19 веке, а в 21 веке нынешний Президент страны Путин процитировал эти строчки французскому экс-президенту Шираку. Россия, мягко говоря, не совсем обычная страна, с самой большой территорией и самой низкой плотностью населения, культура и идеология - симбиоз противоположных друг другу восточных и западных взглядов на жизнь, и в мировой истории Россия занимает свое особенное место. Не удивительно, что российский бизнес информационной безопасности также весьма самобытен. Не берусь утверждать, что излагаемых ниже "инновационных" подходов не применяется нигде в мире, но в совокупности они представляют собой именно те российские феномены, которые не подвластны разумению как восточников, так и западников.

1. Клонирование мейнфреймов IBM System 360

Массовое промышленное производство компьютеров в СССР началось в начале 70-х годов с клонирования мейнфреймов IBM System 360, а затем и ПК этой же фирмы. Клонирование осуществлялось и на программном и на аппаратном уровне без всяких лицензий и патентов. Все добывалось, разбиралось, дисасемблировалось и собиралось вновь на наших заводах. Советские клоны назывались ЕС ЭВМ. Мы работали на этих монстрах в начале девяностых и последний из них назывался EC 1220. После него в 1995 году производство клонов было свернуто. Как то в машинный зал, где это все стояло, забрел американец и увидев консоль ОС EC, заявил "Так это же наша OS/360" и в подтверждение своих слов ввел какую-то команду. На сером экране зелеными буквами действительно высветилось OS/360 ....

Производство клонов умерло в связи с бурным революционным развитием вычислительной техники. Клоны стали резко отставать от оригиналов, производство которых непрерывно совершенствовалось. Клонирование обходилось все дороже. Ужесточились меры со стороны американцев по охране своей интеллектуальной собственности. В конце концов, с развалом СССР закончилась холодная война и открыто тырить чужие "ноу-хау" стало как-то неловко, ведь это только на войне все методы хороши.

С тех пор вся аппаратная и программная база российских АС - продукты импортного производства. Сетью Интернет тоже управляют американцы (корневые DNS серверы находятся в США). Наша национальная ИТ-инфраструктура практически полностью зависима от иностранных компаний. Как в таких условиях обеспечить национальную информационную безопасность? Крупные американские производители (Microsoft, Intel, IBM, Google, Apple, Cisco и др.), любой из них, теоретически могут выпустить патч или активизировать закладки в своих продуктах, которые единовременно вырубят подавляющее большинство компьютеров и сетей. Наши прославленные хакеры со своим кибероружием ничем не смогут помочь, т.к. они все тоже работают на импортной технике и на импортных ОС. Это угроза национального масштаба, хотя и смутно, но осознаваемая власть придержащими. Способы противодействия, такие как создание логически и физически изолированных сегментов "национальной" сети, специсследования и спецпроверки оборудования, сертификация ПО на НДВ, разработка "национальной ОС", замещение некоторого импортного ПО и СЗИ отечественными аналогами и т.д. данной проблемы не решают, хотя и снижают риск.

Положительным моментом можно считать то, что, во-первых, у любого из иностранных производителей будет возможность реализовать угрозу с масштабной активизацией своей закладки, скорее всего, только один раз. Это побуждает беречь данную возможность, как атомную бомбу, только на самый крайний случай. Во-вторых, уязвимости ПО обнаруживаются независимыми исследователями постоянно. Часть этих уязвимостей - ошибки программирования, но есть среди них и умышленно внесенные "ошибки" и закладные элементы. Хакеры и спецслужбы многих стран пытаются использовать эти находки в своих интересах, однако эффекта атомной бомбы пока никому добиться не удалось, хотя и приблизились. Широкомасштабное воздействие на ИТ-инфраструктуру целой страны реализовать крайне сложно с организационной точки зрения. Это не проще, чем спланировать наземную военную операцию. В-третьих, все стороны не могут не осознавать, что закладки, также как и бомба, могут сработать против них самих.

2. Особый класс российского ПО - "СЗИ от НСД"

Самым востребованным продуктом в области защиты информации в России является не антивирус и не МЭ, а так называемые СЗИ от НСД. Такие СЗИ, выпускаемые многими российскими разработчиками, наверное, применяются только в России и применяются они не для защиты информации, а для выполнения требований регуляторов по защите информации, что ни одно и то же. Назначение СЗИ от НСД заключается, в основном, в дублировании встроенных в ОС базовых механизмов безопасности, таких как аутентификация, управление доступом, контроль целостности системных файлов, регистрация событий, очистка областей оперативной памяти и др. Разработка подобных СЗИ началась (и была тогда оправдана) еще в эпоху MS DOS, когда ОС не содержала практически никаких механизмов ИБ, а все приложения выполнялись в общем адресном пространстве и мешали друг другу. С тех пор ОС повзрослели, стали многократно более надежными и защищенными, вобрали в себя все современные механизмы безопасности, включая криптографию и антивирусы, а отечественные СЗИ от НСД странным образом продолжили свое существование поверх данных защищенных ОС, дублируя их функции.

Конечно, каждый разработчик СЗИ от НСД сможет назвать вам несколько "особых" функций безопасности, которые в ОС не реализованы, но суть вопроса это не меняет, т.к. на 90% функции ОС дублируются, а смысл приобретения СЗИ от НСД заключается не в тех 10% доп. опций (которые намного эффективнее реализуются специализированными продуктами класса EndPoint Security), а в приобретении сертификата соответствия требованиям регуляторов. Это называется "формально закрыть требования" при помощи сертифицированных СЗИ. В основе данной практики, не имеющей на первый взгляд разумного объяснения, лежит все то же ощущение зависимости от западной элементной базы и недоверие к импортным ОС, которые могут содержать закладки. (Хотя конечно проблема закладок в ОС никак не решается использованием СЗИ от НСД, работающих поверх этих ОС, но это понимают только те, кто выполняет требования, а не те, кто их пишет).

3. Феномен сертифицированных СЗИ

Основными вопросами ИБ в России являются вопросы, во-первых не имеющие прямого отношения к обеспечению безопасности, а во-вторых не имеющие прямого ответа. Вопросы эти следующие:

обязательно ли использовать сертифицированные СЗИ?
кому обязательно использовать сертифицированные СЗИ?
все ли СЗИ должны быть сертифицированы?
как сертифицировать все СЗИ?
как использовать сертифицированные СЗИ не нарушая работу системы?
что считать СЗИ?
как сертифицировать не все СЗИ?
на соответствие каким требованиям сертифицировать СЗИ?
и т.д.

4. Как быстро и недорого выпустить собственный продукт для обеспечения ИБ?

Здесь и думать то особо нечего. Склонировать импортный open source продукт. Вариантов очень много, например:

берем набор open source сканеров безопасности, делаем русскоязычный веб-интерфейс для их запуска, заливаем на импортный ноутбук, все это сертифицируем и называем как нибудь этак: "рабочее место аудитора ИБ"
берем open source антивирус, руссифицируем, сертифицируем производство и производим собственный антивирус под своей торговой маркой (GPL лицензия это делать позволяет)
берем файервольный тулкит, пишем несколько прокси и оболочку на русском языке, сертифицируем по высшему классу, (опционально) устанавливаем на сертифицированную железку, получаем отечественный МЭ
берем дистрибутив linux, ......
берем любой open source продукт, ..... см. выше

5. Сертифицированные отечественные криптосредства

Здесь ситуация такая же, как и с сертифицированными СЗИ от НДС. Поскольку встроенной импортной криптографии мы не доверяем, мы везде встраиваем или накладываем свою сертифицированную отечественную криптографию, удорожая и замедляя системы и сети. Разработка криптосредств - лицензируемый вид деятельности, поэтому конкуренция здесь не велика, а цены неоправданно завышены.

6. СОИ в защищенном исполнении

Наша зависимость от импортной элементной базы проявляется и в том, что у нас востребованы СОИ "в защищенном исполнении". Например, в ПК можно установить плату доверенной загрузки, добавить мышь со считывателем отпечатков пальцев, предустановить сертифицированный антивирус, а также провести специсследования и спецпроверки системного блока и монитора. Вот и новый продукт получился под вашим собственным брендом.

7. Аттестация АС по требованиям ИБ

Аттестация по требованиям ИБ обязательна для гос. организаций и учреждений. Весь вопрос по каким требованиям она проводится. Эти требования были установлены 20 лет назад (в 1992 году) и, такое впечатление, что раз и навсегда:

1. Подсистема управления доступом

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

в систему

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

к программам

к томам, каталогам, файлам, записям, полям записей

1.2. Управление потоками информации

2. Подсистема регистрации и учета

2.1. Регистрация и учет:

входа (выхода) субъектов доступа в (из) систему (узел сети)

выдачи печатных (графических) выходных документов

запуска (завершения) программ и процессов (заданий, задач)

доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей

изменения полномочий субъектов доступа

создаваемых защищаемых объектов доступа

2.2. Учет носителей информации

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

2.4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

3.3. Использование аттестованных (сертифицированных) криптографических средств

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации

4.2. Физическая охрана средств вычислительной техники и носителей информации

4.3. Наличие администратора (службы) защиты информации в АС

4.4. Периодическое тестирование СЗИ НСД

4.5. Наличие средств восстановления СЗИ НСД

4.6. Использование сертифицированных средств защиты

Когда на представительной конференции по ИБ в Москве на секции облачной безопасности робко встал представитель Microsoft и выразил сомнение в том, что данных требований достаточно для обеспечения ИБ облачных сервисов и виртуальных платформ, авторитетные товарищи посмотрели на него как на чудака. Содержание их ответа было примерно следующим: "Безопасность - она и есть безопасность. Какая бы не была АС или платформа, требования то к ней применяются те же самые, что и к любому СОИ. В нормативных документах все основные требования уже сформулированы. Аттестуйтесь по этим требованиям и ничего не выдумывайте".

8. Сертификация СМИБ по ГОСТ Р от 30 т.р.

В России, в отличие от Запада, не склонны переоценивать значимость формальных процедур и стандартов. Если международная практика внедрения и сертификации СМИБ по требованиям ISO 27001 предполагает значительные затраты и средние сроки реализации проектов - 1.5-2 года, то у нас не принято так сильно с этим заморачиваться. В системах сертификации по ГОСТ Р дела обстоят значительно проще и дешевле по тарифу 30х30, что означает 30 дней и 30 т.р. и сертифицированная по ГОСТ Р СМИБ готова.

Персональные инструменты