О системе защиты национальных информационных ресурсов

В 2014 году на сайты и информационные ресурсы государственных организаций совершено 74 миллиона кибератак – более чем две в каждую секунду 10 Апрель 2015, 10:08
В 2014 году на сайты и информационные ресурсы государственных организаций совершено 74 миллиона кибератак – более чем две в каждую секунду. Задача защиты IT-систем страны и обрабатываемых ими данных чрезвычайно актуальна, она стала важным элементом обеспечения национальной безопасности. «Экспертный центр электронного государства» предлагает материал, анализирующий задачу защиты национальных информационных ресурсов и намечающий пути её решения. Эта задача должна быть решена на практике при создании Государственная система обнаружения и предупреждения компьютерных атак (ГосСОПКА), разрабатываемой в соответствии с указом президента РФ.
Презентация Юдин С. Н. ФСБ России, О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - 02-judin.pdf

Технические проблемы ГосСОПКА


К числу таковых относятся:


Отсутствие собственного ПО многих классов, как общесистемного (операционных систем, систем управления базами данных), так и прикладного (например, софта для моделирования месторождений), так, например, в системе ЦБ РФ используется 40% прикладного ПО зарубежного производства, зарубежных баз данных, ОС, аппаратно-программного обеспечения – 95%;
   
Отсутствие собственной элементной базы;
   
Практическое отсутствие отечественного телекоммуникационного оборудования на всей территории страны;
   
Топология транспортной сети страны с точки зрения обеспечения её живучести требует улучшений.

Возможные подходы к проектированию ГосСОПКА

Возможен подход на основе классификации информационных активов организаций по степени их ценности, важности для обеспечения управления государством и сохранения знаний, необходимых для развития страны. Дифференцированные требования к защите классифицированных таким образом информационных активов можно установить законом, возложив ответственность на сами ведомства, в чьём ведении информационные ресурсы находятся – без привлечения организаций, аккредитованными ФСТЭК России.
В этом случае появится возможность создания произвольной структуры ГосСОПКА (сегменты системы по министерствам. ведомствам, организациям, субъектам РФ) и существенно удешевить разработку стоимость работ (не потребуется создавать свои программно-технические средства). Надёжность не пострадает – изоляция важнейших элементов IT-инфраструктуры будет безопаснее, чем подключение через доверенные средства.
Органический недостаток такого подхода – изоляция части системы, что влечёт снижение оперативности работы системы и неудобства для пользователей.
Альтернативный подход состоит в поиске критических мест инфраструктуры и их защите доверенными средствами. В этом случае классификация информационных ресурсов по степени их важности неактуальна, но необходима (или, как минимум, крайне желательна) отечественная программно-техническая платформа.
Преимущества второго подхода значительны. Во-первых, отсутствует необходимость изоляции сегментов системы и создаётся единое защищённое информационное пространство с «прозрачным» администрированием. Как следствие, повышается оперативность, улучшается контроль всех процессов. Во-вторых, защита всей инфраструктуры страны обеспечивается отечественными программно-техническими средствами с максимально высоким уровнем защиты.
Расплата за эти преимущества – высокая стоимость проекта и большое время разработки.

Каким угрозам должна противостоять ГосСОПКА

Наиболее опасны кибератаки, за которыми стоят хорошо организованные группировки киберпреступников и (или) государства. Но и совокупный вред, наносимый экономике многочисленными менее опасными нападениями, со временем может рассматриваться как серьёзная угроза стране.
Разговоры о целенаправленных атаках (Advanced Persistent Threat, APT) начались всего несколько лет назад. Впервые термин APT был использован ВВС США в 2006 году, адекватного перевода термина на русский язык нет до сих пор, специалисты называют такие атаки и таргетированными, и целенаправленными, и целевыми, и скрытыми. Примеры целенаправленных атак: «Лунный лабиринт», «Титановый дождь», «Аврора», GhostNet, Stuxnet, Duqu, Flame, Gauss, Red October, «Маска».
Карта применения кибератак Red October, по информации Лаборатории Касперского

Что предпринято к настоящему времени

15 января 2013 года президент России подписал указ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Все полномочия по созданию данной системы, разработке методики обнаружения атак, обмену информацией между госорганами об инцидентах информационной безопасности, оценке степени защищенности критической информационной инфраструктуры возложены на ФСБ.
В совокупности с «Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации», выпущенными Советом безопасности летом 2012 года, это означает реализацию целенаправленной программы по защите отечественных критических информационных инфраструктур от атак из киберпространства.
Не секрет, что в настоящее время меняются традиционные взгляды на ведение вооружённой борьбы и процессы руководства военными действиями, на дальнейшее строительство и применение Вооружённых сил, их техническое и технологическое оснащение. Информационное превосходство и высокий уровень управления войсками становятся факторами военной силы
Министр Обороны РФ, Сергей Шойгу

Опыт США

Почти одновременно, 12 февраля 2013 года, президент США Барак Обама также подписал указ, который получил название «Усиление кибербезопасности критических инфраструктур». Он продолжил последовательно реализуемую последние годы стратегию американских ведомств по повышению уровня защищенности американских критических инфраструктур. Указ Обамы назвал шесть направлений, которые будут реализовываться различными агентствами и федеральными структурами, одним из этих направлений стал обмен информацией о киберугрозах.
 Президент США Барак Обама выступает на саммите Белого дома по вопросам кибербезопасности и защиты
прав потребителей в Пало-Альто, штат Калифорния 13 февраля 2015. Роберт Гэлбрейт / Reuters
В США инструментом, облегчающим решение данной задачи, может стать протокол STIX (Structured Threat Information eXpression). Инициатором его разработки стала американская корпорация MITRE (тесно связанная со спецслужбами, специализация – обеспечение информационной безопасности).
Именно она является автором широко известного и ставшего стандартом де-факто механизма именования и оценки уязвимостей CVE (Common Vulnerability Evaluation). MITRE «шефствует» и над другими стандартами, которые предназначены для решения актуальных задач, стоящих перед специалистами по информационной безопасности – обмен информацией об уязвимостях, оценка рисков уязвимостей, язык описания уязвимостей и т.д. (OVAL, CCE, CEE, CME, CWE, CPE, CRF, CAPEC, SCAP, CVSS и XCCDF). Но если все эти стандарты были ориентированы в первую очередь на управление уязвимостями, то STIX направлен на обмен информацией об угрозах.

В каком состоянии находится разработка ГосСОПКА

Информации о ходе работ над аналогичной российской государственной системой в открытой печати немного.
Известно, что к 2017 году Минобороны России создаст специальную структуру для защиты военных объектов от компьютерных атак. Заявление министра обороны РФ 30 марта о том, что IT – фактор военной силы,  свидетельствует о фактическом признании киберпространства театром военных действий.
На VII Уральском форуме «Информационная безопасность банков» 25 февраля 2015 года представитель ФСБ России сообщил, что «ГосСОПКА строится в виде территориально распределенных центров. Главный и региональный центры создаются силами ФСБ России, ведомственные центры создаются заинтересованными органами государственной власти. Корпоративные центры могут создаваться госкорпорациями, операторами связи и другими организациями, имеющими лицензии в области защиты информации».
На базе ГосСОПКА будет действовать уже созданный в ФСБ России Национальный координационный центр по компьютерным инцидентам.
Выписка из концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ - vipiska-iz-koncepcii.pdf