Доклад А. С. Кремера на конференции «Право и Интернет»

Вид материала

Доклад

Содержание Исследование международного опыта Методологическое обеспечение Развитие процессов стандартизации

Подобный материал:

• Доклад на VII международной конференции «Право и Интернет», 330.92kb.
• Доклад на VII международной конференции «Право и Интернет», 72.16kb.
• Доклад на IV научно-практической конференции «Право и Интернет: теория и практика», 47.62kb.
• Доклад на IV научно-практической конференции «Право и Интернет: теория и практика», 46.76kb.
• Доклад на V международной конференции «Право и Интернет», 163.01kb.
• Доклад на VII международной конференции «Право и Интернет», 54.79kb.
• Доклад на V международной конференции «Право и Интернет», 125.91kb.
• Доклад на VII международной конференции «Право и Интернет», 85.94kb.
• Доклад на V международной конференции «Право и Интернет», 83.13kb.
• Доклад на V международной конференции «Право и Интернет», 97.72kb.

Доклад А.С.Кремера на конференции «Право и Интернет» 26.11.2003.

Разрешите в начале выступления несколько слов об организации, которую я представляю.

Общественное объединение «Ассоциация документальной электросвязи» было образовано в 1994 году по инициативе Минсвязи России как объединение операторов электросвязи. Второе рождение АДЭ связано с её преобразованием в 2001 году в общественно-государственное объединение в соответствии с решением Правительства Российской Федерации и утверждением нового устава Министром Российской Федерации по связи и информатизации. Общественно-государственный статус юридически закрепил возможность членства в АДЭ как негосударственных, так и государственных организаций. В настоящее время членами АДЭ являются операторы электросвязи, отраслевые научные, проектные и учебные институты, производители оборудования и программного обеспечения, системные интеграторы, юридические и страховые компании, федеральные и региональные органы исполнительной власти - всего более 120 организаций. В таком составе АДЭ выступает катализатором реализации потребностей граждан, бизнеса и органов государственной власти в инфокоммуникационных технологиях и технологиях информационной безопасности.

Основное направление деятельности АДЭ, определённое её уставом, - разработка проектов нормативных документов, адекватных современному уровню развития рынка инфокоммуникаций. С этой целью по основным направлениям деятельности образованы комитеты, а для выполнения конкретных проектов создаются рабочие группы. Участие в работе комитетов и групп ведущих специалистов бизнес-сообщества, представляющих в том числе компании, конкурирующие на инфокоммуникационном рынке, а также представителей страховых, юридических компаний, государственных органов власти обеспечивает, во-первых, технологическую независимость и реализуемость разрабатываемых предложений и, во-вторых, уже на этапе подготовки предложений, сбалансированный учёт позиции государственных органов и интересов различных организаций, непосредственно действующих на рынке оказания услуг и производства технических средств инфокоммуникаций.

Одно из направлений деятельности АДЭ по содействию развитию интернета в России – обеспечение информационной безопасности при работе в Сети. В своём выступлении я познакомлю Вас с тремя документами рабочих групп АДЭ:

концепция обеспечения информационной безопасности ССОП,

меморандум противодействия распространению вредоносных программ и спама,

концепция построения инфраструктуры удостоверяющих центров РФ.

Именно благодаря своей открытости и общедоступности интернет является сколь удобным для обеспечения взаимодействия граждан, бизнеса и органов государственной власти, столь и уязвимым.

В отличие от традиционных сетей связи, основным принципом построения которых является обеспечение надёжности, ключевой принцип построения интернета – обеспечение гибкости.

Можно выделить ряд особенностей интернета, которые делают нападения на него общими, распространёнными, тяжело выявляемыми, затрудняющими задержку нарушителей и предъявление им юридически обоснованных обвинений:

возможность действия нарушителя на расстоянии в сочетании с возможностью подмены своих истинных персональных данных,

возможность пропаганды и распространения средств нарушения сетевой безопасности,

возможность многократного повторения атакующих сеть воздействий, когда каждое из воздействий не приводит к существенному ущербу, однако, при многократном их повторении ущерб может оказаться весьма значительным.

Итак, 1-й проект, о котором я хотел рассказать.

Концепция обеспечения ИБ ССОП

В Концепции отмечается, что для современного состояния информационной безопасности ССОП характерны:

отсутствие необходимого согласования методов обеспечения информационной безопасности для разных компонентов сети, включая телекоммуникационные протоколы, информационные ресурсы и приложения,

широкое использование технических средств импортного производства, потенциально имеющих не декларированные возможности,

недостаточное внимание к созданию совместимой сетевой инфраструктуры обеспечения информационной безопасности, поскольку уязвимость любого участка ССОП может создать проблемы для всех её участников,

отсутствие методологии технико-экономического обоснования минимально необходимых затрат на обеспечение информационной безопасности,

широко распространённое отношение к обеспечению информационной безопасности как к товару или услуге, которые можно купить, а не как к процессу, который нужно создать и которым необходимо управлять,

недостаточная проработка методологии документирования функционирования ССОП, необходимого для создания доказательной базы правонарушений.

Основные направления работ по обеспечению информационной безопасности ССОП, определённые в Концепции:

1) Обеспечение информационной безопасности ССОП в условиях интеграции информационных и телекоммуникационных технологий, а также различных типов сетей и услуг, предоставляемых пользователям на этих сетях.

Интеграция является одной из основных характеристик современного этапа развития инфокоммуникаций. Интеграция требует новых, комплексных подходов к решению задач обеспечения информационной безопасности. Комплексный подход обозначает, прежде всего, необходимость согласования методов обеспечения информационной безопасности для разных компонентов сети, включая информационные ресурсы, приложения и телекоммуникационные протоколы. Кроме того, комплексный подход означает необходимость создания совместимой сетевой инфраструктуры обеспечения информационной безопасности, поскольку уязвимость любого участка сети связи общего пользования может создать проблемы для всех её участников (как поставщиков, так и потребителей услуг).

2) Развитие научно-методологической базы и подготовки кадров.

В качестве основных направлений развития научно-методологической концепция выделяет:

исследование угроз и уязвимостей информационной безопасности для информационных ресурсов, приложений и телекоммуникационных протоколов,

исследование базового уровня обеспечения информационной безопасности,

разработку принципов обеспечения ИБ при взаимодействии сетей электросвязи,

разработку требований по обеспечению ИБ и оценке их выполнения,

разработку предложений по совершенствованию лицензирования деятельности операторов связи с учётом требований к обеспечению ИБ,

разработка и внедрение государственных и отраслевых стандартов обеспечения ИБ (в том числе на термины и определения),

подбор, обучение и работу с кадрами в интересах обеспечения ИБ.

3) Выработка подходов к обеспечению информационной безопасности в условиях преднамеренных или непреднамеренных воздействий нарушителей.

Принципиальным подходом является рассмотрение воздействий нарушителей или атак как неизбежного фактора функционирования ССОП. В этих условиях обеспечение информационной безопасности ССОП является триединой задачей, включающей мониторинг функционирования ССОП, обнаружение атак и принятие адекватных мер противодействия. При этом адекватные меры противодействия могут носить технический характер и предусматривать реконфигурацию информационной сферы ССОП. Они могут быть организационными и предусматривать обращение операторов связи к силовым структурам с предоставлением необходимой информации для выявления и привлечения к ответственности нарушителей. Адекватность мер должна дополняться расширением международного сотрудничества и формированием кибербезопасности в противовес киберпреступности.

4) Определение минимально необходимых затрат операторов ССОП на обеспечение информационной безопасности.

Обеспечение информационной безопасности ССОП сопряжено с экономическими затратами. Если не вкладывать средства в обеспечение информационной безопасности – это может обойтись слишком дорого вследствие причинения сети и её пользователям значительного ущерба. Если тратить на обеспечение информационной безопасности слишком много средств, это может оказаться экономически нецелесообразным, поскольку абсолютную безопасность обеспечить всё равно не удастся. Минимум затрат может определяться обеспечением базового уровня информационной безопасности и предлагает введение его обязательной реализации на средства операторов связи. Целесообразно также введение механизма страхования ответственности операторов ССОП. При этом страховые компании не должны страховать ответственность операторов ССОП при не обеспечении ими базового уровня информационной безопасности.

5) Нахождение баланса интересов потребителей, операторов связи и федеральных органов исполнительной власти.

Операторы ССОП заинтересованы в развитии своих сетей и предоставляемых услуг. В интересах обеспечения информационной безопасности операторы должны принимать меры по выявлению неправомерных действий некоторых потребителей. В то же время такие меры не должны нарушать прав потребителей. Федеральные органы исполнительной власти заинтересованы в обеспечении достаточного уровня защищённости информационной сферы ССОП. Защищая интересы потребителей и операторов, они обеспечивают тем самым необходимый баланс интересов, формируют культуру информационной безопасности.

6) Выработка подходов к оснащению систем обеспечения информационной безопасности техническими средствами.

Обеспечение информационной безопасности ССОП означает создание процесса, которым необходимо постоянно управлять. При этом процесс управления обеспечением информационной безопасности должен являться неотъемлемой составной частью процесса функционирования ССОП. Построив бизнес-модель функционирования ССОП, включающую процесс управления обеспечением информационной безопасности, необходимо далее определить стандарты информационной безопасности, поддерживающие эту бизнес-модель. При этом значение исследования процессов стандартизации и совершенствования российской нормативно-правовой базы будет постоянно возрастать.

В настоящее время разрабатывается план реализации Концепции, а также готовится открытие работы по сравнению законодательств различных стран в области обеспечения ИБ и разработке нормативной базы отрасли связь по обеспечению и оценке ИБ.

Меморандум о противодействии распространению вредоносных программ и спама

В рамках организационно-правовой деятельности меморандум предлагает разработать регламентирующие документы, направленные на защиту государственных, негосударственных и личных инфокоммуникационных систем от вредоносных программ. Создана рабочая группа для выполнения и координации дальнейших работ по подготовке проектов нормативных документов в этой области. В задачи этой группы входит:

• разработка набора профилей средств защиты информационных ресурсов от вредоносных программ;
  
• разработка мер, способствующих эффективному применению действующих нормативных документов;
  
• разработка требований к базовому уровню обеспечения информационной безопасности для операторов связи, включая проведение необходимых исследований в части противодействия распространению вредоносных программ;
  
• разработка предложений по ответственности участников информационного обмена за  нарушение требований политики безопасности;
  
• разработка рекомендаций организациям и индивидуальным пользователям по противодействию распространению вредоносных программ;
  
• подготовка предложений по созданию системы оперативного информирования государственных, негосударственных организаций и индивидуальных пользователей о возникновении угроз информационной безопасности.
  

В рамках образовательной деятельности организовано информирование пользователей о юридических, технических и организационных ресурсах по борьбе с вредоносными программами. В частности, в рамках этой деятельности предусмотрено:

• создание методических указаний, учебной литературы, инструкций, руководств, а также справочно-информационных ресурсов в интернете с рекомендациями по информационной защите для руководителей различного звена, администраторов информационных систем, пользователей офисных и домашних компьютеров, преподавателей соответствующих дисциплин;
  
• разработка учебных программ и методических материалов для проведения учебных занятий в высших и средних специальных учебных заведениях и на курсах повышения квалификации специалистов и проведение таких занятий;
  
• обеспечение работы постоянно действующих форумов по обмену опытом противодействия распространению вредоносных программ.
  

На сегодняшний день спам признан одной из основных угроз в интернете. В марте 2003 года Америка Он-Лайн (AOL) блокировала один миллиард спамных сообщений в день. Данные компании по фильтрации спама показывают, что общий объем спама удваивается каждые пять месяцев. Эти данные основаны на мониторинге одного миллиарда сообщений электронной почты в месяц. (см. www.postini.com\stats).

Угрозы, вызванные спамом, можно разделить на три категории: угрозы для граждан, угрозы для организаций и угрозы глобальной инфраструктуре.

Борьба со спамом – дорогое удовольствие: на решение проблем, связанных со спамом, тратятся время и ресурсы. Возрастающие объемы спама вызывают повышение стоимости услуг, оказываемых интернет-провайдерами: им приходится повышать пропускную способность каналов, увеличивать количество и ёмкость носителей для хранения больших объемов информации. К тому же возрастает объем технической поддержки, необходимой для обработки огромных объемов ненужных почтовых сообщений.

Спамные технологии становятся тем более изощренными, чем более сложными становятся средства борьбы с ними. Запретительные и организационные меры противодействия наиболее эффективны на уровне пользователей, технологические решения – на корпоративном уровне, а законодательные – на глобальном, международном уровне.

Примерами технологических решений являются проверка на соответствие RFC 2821, проверка контента, составление и проверка, так называемых, “чёрных” и “белых” списков.

Так, RFC 2821 забракует сообщение электронной почты в следующих случаях:

IP-адрес источника не соответствует имени устройства отправителя,

обратный адрес не определяется,

имя хоста сервера, с которого пришло сообщение, не является полным квалифицированным доменным именем.

Спам – это проблема, которой можно управлять, но нельзя искоренить совсем, пока сохраняется децентрализованная и анонимная природа интернета. Тем не менее законодательные меры противодействия обеспечат создание юридической системы, в рамках которой получатель спама сможет требовать возмещения ущерба.

В настоящее время рабочая группа АДЭ готовит программу реализации предложений, изложенных в Меморандуме и одобренных Минсвязи России.


Концепция создания системы удостоверяющих центров Российской Федерации

Среди множества задач по реализации ФЗ "Об ЭЦП", рассматриваемых в Концепции, остановлюсь на исследовании международного опыта, методологическом обеспечении, и развитии процессов стандартизации.

Исследование международного опыта

История построения систем УЦ и развития инфраструктуры открытых ключей (ИОК) насчитывает уже около двух десятилетий. Естественно, что за это время накоплен значительный опыт её построения и использования. Например, в отношении моделей взаимодействия удостоверяющих центров. Участники информационной системы доверяют УЦ, если уверены в том, что он обеспечит процедуры установления однозначного соответствия между участниками информационной системы и их сертификатами. Такое доверие трудно измерить, с ним связан определённый риск и механизм реализации такого доверия не всегда может быть автоматизирован. Различные модели взаимодействия УЦ решают эту проблему по-разному. Достаточно распространённой в международной практике является иерархическая модель удостоверения, в вершине которой работает один корневой УЦ. Такая модель используется, например, в Нидерландах и Англии, где имеет специальное название "Её Величество Правительство". Преимуществом такой модели является возможность жёсткого контроля вхождения в систему, а также возможность проведения единой политики удостоверения, позволяющей унифицировать требования участников информационной системы. Недостатком иерархической модели является сравнительная сложность организации взаимодействия пользователей различных доменов инфрастуктуры.

Другой распространённой в международной практике моделью удостоверения является сетевая. В вершине этой модели могут находиться два и более корневых УЦ, взаимодействие которых обеспечивается процедурами кросс-сертификации. Сетевые модели реализованы, например, в США и Канаде и отличаются способами организации кросс-сертификации. Сетевая модель сочетает в себе возможность проведения единой политики удостоверения со сравнительной простотой наращивания инфраструктуры.
Представляется целесообразным продолжить работы по изучению и обобщению международного опыта, имея в виду как технико-экономические, так и нормативно-правовые аспекты.

Методологическое обеспечение

Методологически представляется целесообразным рассматривать инфрастуктуру УЦ как инфраструктуру идентификации, как один из элементов решения общей задачи обеспечения информационной безопасности. Такой подход, подчёркивая важность этой инфраструктуры, позволяет не упустить при её создании целый ряд технических и организационных вопросов. Это, в частности, защита от несанкционированного доступа, сетевая безопасность, обнаружение вторжений, аудит, режимные и организационно-технические вопросы. Такой подход означает, что для комплексной реализации ФЗ "Об ЭЦП" необходима разработка системы требований и регламентов с учётом "Концепции обеспечения информационной безопасности сетей связи общего пользования", вводимым с 2004 года стандартом "Критерии оценки безопасности информационных технологий", другими нормативными документами.

Методологически представляется также целесообразным разделять технологии и сервисы УЦ на две категории: формирующие инфраструктуру и использующие инфраструктуру. Такой подход позволяет выделить в составе основных компонентов наряду с удостоверяющим и регистрирующим центрами, хранилищем данных и сервером онлайнового протокола определения статуса сертификатов, такую важную компоненту, как приложения, используемые участниками информационных систем. Это в первую очередь относится к приложениям электронного правительства и электронной коммерции. В эффективности приложений и их совместимости заключена реальная польза и возможность наращивания инфрастуктуры. Указанные подходы демонстрируют важность продолжения методологической работы по классификации компонент, а также определению роли и места ИОК в общей задаче обеспечения информационной безопасности.

Развитие процессов стандартизации

В настоящее время существует большое количество стандартов, описывающих и формализующих концепции удостоверения, специфицирующих форматы сертификатов и правила работы с ними. С одной стороны, это говорит об актуальности технологии, с другой - становится барьером на пути обеспечения совместимости. Наряду с возрастанием гибкости и расширением возможностей, происходит значительный рост расходов на обеспечение совместимости. Текущие тенденции международной стандартизации состоят в упорядочении, упрощении, выделении ядра, на базе которого должна обеспечиваться совместимость. Российские специалисты принимают участие как в наблюдении за процессами стандартизации, так и в гармонизации российских и международных стандартов. Такая деятельность и в дальнейшем будет иметь важное значение при реализации ФЗ "Об ЭЦП".


Заключение.

Известно, что европейская директива об ЭЦП не работает уже в течение пяти лет. Одной из причин является то, что разработка концепции осуществлялась в основном юристами без участия необходимой критической массы технических специалистов. И есть немало примеров неудачных документов, разработанных технологами без должного участия юристов. Выступая о перспективах развития интернета перед аудиторией, собравшей ведущих российских специалистов в области права, хотелось бы в заключение сказать о необходимости работать на сближение, на расширение сотрудничества юристов и технических специалистов. В качестве примеров такого сотрудничества мог бы назвать чтение соответствующих учебных курсов на базовой кафедре АДЭ в МТУСИ, деятельность третейского суда, комитетов и рабочих групп АДЭ. Хотел бы выразить надежду, что расширение такого сотрудничества станет одним из итогов данной конференции.

Спасибо за Ваше внимание.