АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ СОЗДАНИИ И ЭКСПЛУАТАЦИИ СЛОЖНЫХ КОМПЬЮТЕРИЗИРОВАННЫХ ТЕХНИЧЕСКИХ УСТРОЙСТВ И СИСТЕМ

THE ASPECTS OF INFORMATION SECURITY IN THE CREATION AND OPERATION OF COMPLEX COMPUTERIZED TECHNICAL DEVICES AND SYSTEMS

Vladimir Muhortov

postgraduate of Krasnodar high military school,

Russia, Krasnodar

Igor Korolev

doctor of Engineering, Professor, Professor of the computer-aided management system Faculty Krasnodar high military school,

Russia, Krasnodar

АННОТАЦИЯ

Проведен анализ действующего законодательства в области информационной безопасности. Рассмотрен ряд инцидентов в области компьютерной безопасности, определяющие направления развития средств информационной безопасности. Определено несоответствие руководящих документов современным реалиям, а также направление их дальнейшего совершенствования.

ABSTRACT

The analysis of current legislation in the field of information security is done. A number of incidents in the field of computer security reviewed; also the direction of development of means of information security is determined. Guidelines nonconformity with modern realities defined, as well as the direction of their further improvement.

Ключевые слова: автоматизированная система, законодательство, информационная безопасность, системный подход/

Keywords: automated system, legislation, information safety, system approach/

С переходом в эпоху информационного общества и ростом количества использования роботизированных комплексов и средств во всех сферах человеческой жизни от медицины и домашнего хозяйства до автомобилестроения и военного дела возникает возможность нанесения потенциальными нарушителями материального и физического ущерба различного масштаба людям и государству в целом – от вывода из строя отдельных технологических элементов до крупных техногенных катастроф и массовых человеческих жертв [10].

В настоящее время в ФСБ России и ФСТЭК России активно прорабатываются документы в области защиты персональных данных, ключевых систем информационной инфраструктуры, разработаны меры по защите станков с ЧПУ [6]. Однако, вопросам защиты сложных компьютеризированных технических устройств и систем уделяется не достаточное внимание или же предполагается, что уровень угрозы минимальный. Ряд фактов, таких как: перехват управления самолетом с помощью смартфона [11]; заражение автомобильных систем с помощью компьютерных вирусов [12]; эксперименты по дистанционному выводу из строя медицинских приборов, вживляемых в человеческие организмы [8]; использование чайников и холодильников для проведения DDos-атак [2]; нарушение штатной работы навигационных устройств [9] и множество других примеров говорит о необходимости пересмотра или дополнения ГОСТов и требований в области защиты информации с учетом современных реалий.

Сложные компьютеризированные технические устройства и системы, согласно ГОСТам, являются фактически информационными системами со всеми требованиями, предъявляемыми к ним в области информационной безопасности. При проектировании, создании и эксплуатации они должны рассматриваться, как объекты информатизации, имеющие соответствующие угрозы безопасности информации и подверженные различным угрозам безопасности информации, определенным в разделе 3.2 ГОСТ Р.50.1.053-2005 «Основные термины и определения в области технической защиты информации».

Рассмотрим ряд основополагающих документов в области информационной безопасности в Российской Федерации.

ГОСТ 51275-2006 «Защита информации. Объект Информатизации. Факторы, воздействующие на информацию. Общие положения» определяет понятия «объекта информатизации» и «системы обработки информации».

Методическими документами ФСТЭК России определены ключевые системы информационной инфраструктуры, к которым относятся системы, обеспечивающие управление потенциально опасными производствами или технологическими процессами на объектах, а также обеспечивающие функционирование информационно-опасных объектов, осуществляющих управление (или информационное обеспечение управления) чувствительными (важными) для государства процессами (за исключением процессов на потенциально опасных объектах).

Следовательно, понятие ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей (системы предупреждения и ликвидации чрезвычайных ситуаций, географические и навигационные системы, системы управления водоснабжением, энергоснабжением, транспортом и другие системы, и сети).

ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы» определяет понятия «автоматизированной» и «интегрированной автоматизированной системы».

Рассмотрим простой пример:

• человек – может рассматриваться как персонал системы;
• смартфон – средство автоматизации деятельности, реализующее определенные информационные технологии выполнения установленных функций посредством различных протоколов связи.

Следовательно, система человек-смартфон может рассматриваться как автоматизированная система, также логически можно построить практически любые системы в современном информационном обществе – семья – «умный дом», пилот - самолет, врач – магнитно-резонансный томограф, водитель – автомобиль, спортсмен – пульсометр, человек – телевизор с функцией SMART и многие другие.

Производители компьютеризированной техники могут ответить, что действие ГОСТ 34.003-90 не распространяется на системы, предназначенные для обработки (изготовления, сборки, транспортирования) любых изделий, материалов или энергии, но на период разработки ГОСТа уровень автоматизации существенно уступал современному состоянию. Большая часть современных технологических устройств все же подпадают под действие данного документа, но на остальную технику (медицинское оборудование, автомобили, самолеты и др.) – требуется разработка дополнительных требований в вопросах обеспечения информационной безопасности.

В Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» установлены понятия информационной и информационно-телекоммуникационной системы.

Из этого закона мы видим, что любое современное сложное техническое устройство, а тем более имеющее выходы в информационно-телекоммуникационные сети, является как минимум элементом определенной информационной системы, а как максимум – информационно-телекоммуникационной сети.

В настоящее время расхождения в понятийном аппарате в ГОСТах и Федеральных законах позволяют разработчикам при проектировании и производстве конечных продуктов уделять основное внимание технической надежности, эстетики, эргономики, но избегать вопросов противодействия угрозам безопасности информации.

В соответствии с пунктом 6 информационного сообщения ФСТЭК России от 15 июля 2013 г. № 240/22/2637 использование различных терминов – «информационная система» [7] и «автоматизированная система» [3] не влияют на конечную цель защиты информации, но данное сообщение касается только ключевых систем информационной инфраструктуры.

Таким образом, подавляющее количество современного оборудования представляют собой сложные интегрированные автоматизированные системы, включающие в себя, кроме собственных систем, различные элементы ключевой системы информационной инфраструктуры – таких как навигационные устройства, системы управления вооружением (в военной сфере).

Рассматривая перечник угроз и уязвимостей [1] можно заметить, что определенные угрозы могут быть отнесены практически ко всем современным устройствам, однако существующие уязвимости, хоть и постоянно пополняются, но не включают в себя уязвимостей отличных от общепринятых в среде экспертов в области информационной безопасности, даже при их официальном опубликовании в средствах массовой информации.

В ближайшее время вступает в силу ряд ГОСТов [4; 5] регламентирующих порядок классификации и описания, вновь обнаруживаемых уязвимостей информационных систем, которые можно будет использовать для совершенствования системы информационной безопасности государства в целом, однако без внесения соответствующих изменений и дополнений в документы, определяющие круг защищаемых устройств и регламентирующие их защиту, дальнейшее противодействие современным угрозам безопасности информации не представляется возможным.

Итак, проведенный анализ показывает, что системный подход в области информационной безопасности развит недостаточно, а с развитием технологий, отстает от возможностей потенциальных нарушителей. Расхождения в понятийном аппарате позволяют разработчикам и производителям не учитывать вопросы информационной безопасности в конечных продуктах. Существуют целые отрасли, не затронутыми научными и практическими разработками в области информационной безопасности, что позволяет злоумышленникам совершать противозаконные деяния.

Необходимо рассматривать сложные компьютеризированные технические устройства и системы, как элементы автоматизированных систем и объектов информатизации, потенциально подверженные различным угрозам безопасности информации.

Список литературы:

1. Банк данных угроз безопасности информации – [Электронный ресурс]. – Режим доступа: http://bdu.fstec.ru/ (Дата обращения 16.02.16).
2. Газета.ru: Роскомнадзор рассказал о DDoS-атаках чайников и холодильников – [Электронный ресурс]. – Режим доступа: http://www.gazeta.ru/tech/news/ 2015/12/29/n_8073437.shtml (Дата обращения 16.02.16).
3. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения». – М.: Стандартинформ, 2009.
4. ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». – М.: Стандартинформ, 2015.
5. ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем». – М.: Стандартинформ, 2015.
6. Официальный сайт ФСТЭК России: подраздел документы – [Электронный ресурс]. – Режим доступа: http://fstec.ru/ (Дата обращения 16.02.16).
7. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016).
8. KasperskyLab Daily: Взламывая людей – [Электронный ресурс]. – Режим доступа: https://blog.kaspersky.ru/vzlamyvaya-lyudej/1530/ (Дата обращения 16.02.16).
9. KasperskyLab Daily: Взламываем GPS – [Электронный ресурс]. – Режим доступа: https://blog.kaspersky.ru/vzlamyvaem-gps/2054/ (Дата обращения 16.02.16).
10. SecurityLab.ru: Компании Kaspersky Lab и Symantec опубликовали подробности хакерской атаки на ядерные объекты Ирана – [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/news/461769.php (Дата обращения 16.02.16).
11. SecurityLab.ru: Современные самолеты уязвимы к кибератакам – [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/ news/472575.php (Дата обращения 16.02.16).
12. SecurityLab.ru: Обнаружена брешь, позволяющая удаленно управлять сотнями тысяч автомобилей Fiat Chrysler – [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/news/473812.php (Дата обращения 16.02.16).