Анализ безопасности

Оглавление
Введение 3
Анализ безопасности 5
Криптография 7
Межсетевое экранирование 7
Защита от несанкционированного доступа 8
Антивирусная безопасность 8
Резервное копирование 9
Защищенность 9
Обнаружение вторжений 9
Контроль доступа 10
Регистрация и учет 10
Вероятные изменения в деятельности удостоверяющего центра 11
Вывод 15
Список литературы 16

Введение

Как известно, информационная безопасность является неотъемлемой составляющей информационной сферы, которую можно представить, как совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. В свою очередь система обеспечения информационной безопасности является важной частью системы обеспечения национальной безопасности Российской Федерации. Следует отметить, что в новой Доктрине информационной безопасности Российской Федерации, утвержденной в конце 2016 года, отдельное внимание уделено формированию безопасной среды оборота достоверной информации и развитию национальной системы управления российским сегментом сети Интернет. При этом акцентируется внимание на обеспечении информационной безопасности в кредитно-финансовой сфере.
Очевидно, что эффективное решение этих задач невозможно без применения криптографических средств защиты информации, особенно средств электронной подписи. Таким образом, электронная подпись в широком понимании этого термина приобретает статус элемента национальной безопасности. Кроме того, в новой Доктрине информационной безопасности Российской Федерации совершенствование деятельности производственных, научных и научно-технических организаций по оказанию услуг в области обеспечения информационной безопасности отнесено к национальным интересам в информационной сфере.
Исходя из вышеизложенного, актуальным направлением деятельности по обеспечению информационной безопасности является развитие и совершенствование организационно-правовой и технической базы Удостоверяющих центров (УЦ). Официальное определение УЦ – юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». Из самого определения УЦ следует, что спецификой его деятельности является то, что она (деятельность) осуществляется на пересечении юриспруденции, информационной безопасности и IT-технологий. Такая специфика обуславливает сложность задач по созданию УЦ и совершенствованию их деятельности, так как совершенствование системы аккредитованных удостоверяющих центров является единой информационно-технической и организационно-правовой проблемой. По состоянию на сегодняшний день создание УЦ предполагает выполнение строго формализованного комплекса организационно-правовых и технических мероприятий.
Анализ безопасности

Аккредитация удостоверяющего центра проводится уполномоченным федеральным органом Министерство связи и массовых коммуникаций РФ (далее Минкомзвязи). Минкомсвязи фактически определяет, достоин ли удостоверяющий центр доверия, ведь сертификат удостоверяющего центра будет гарантом безопасности для двух заинтересованных сторон.
Помимо минимальной суммы чистых активов (не менее 1,5 млн рублей) претендующий на аккредитацию УЦ должен также иметь в штате не менее 2 сотрудников, непосредственно осуществляющих создание и выдачу сертификатов ключей проверки электронных подписей.
Очевидно, что создание удостоверяющего центра сопряжено со значительными начальными вложениями: требования к удостоверяющему центру достаточно жесткие.
Удостоверяющий Центр (УЦ) выполняет следующие функции:
регистрация пользователей Удостоверяющего центра;
создание закрытых ключей электронных цифровых подписей;
изготовление сертификатов открытых ключей;
приостановление действия, возобновление действия, аннулирование сертификатов открытых ключей;
ведение реестра сертификатов открытых ключей, обеспечение его актуальности и возможности доступа к нему участников информационной системы;
выдача сертификатов ключей подписей в форме документов на бумажных носителях.
УЦ состоит из следующих компонентов:
Центр сертификации (ЦС);
Центр регистрации (ЦР);
Автоматизированное рабочее место (АРМ) администратора ЦР;
АРМ разбора конфликтных ситуаций (РКС);
АРМ зарегистрированного пользователя с ключевым доступом (КД).
Центр сертификации предназначен для формирования сертификатов открытых ключей пользователей и администраторов УЦ, списков отозванных сертификатов, хранения эталонной базы сертификатов и списков отозванных сертификатов.
Центр Регистрации предназначен для хранения регистрационных данных пользователей, запросов на сертификаты и сертификатов пользователей, для предоставления интерфейса взаимодействия пользователей с УЦ.
АРМ администратора ЦР предназначен для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, формированием служебных ключей и сертификатов пользователей и управлением Центром регистрации.
АРМ разбора конфликтных ситуаций предназначен для выполнения организационно-технических мероприятий, связанных с подтверждением подлинности ЭЦП в электронных документах и определением статуса сертификатов открытых ключей пользователей, а также связанных с подтверждением подлинности ЭЦП уполномоченного лица УЦ в изготовленных им сертификатах открытых ключей.
АРМ зарегистрированного пользователя с ключевым доступом предназначен для выполнения организационно-технических мероприятий, связанных с управлением личной ключевой информацией и сертификатами, (формирование рабочих ключей и сертификатов, отзыв сертификатов, публикация списка отозванных сертификатов). Эти задачи могут интегрироваться в АРМ администратор ЦР, а могут выноситься в отдельный АРМ.
Логическую схему взаимодействия компонент вы можете наблюдать на рис. 1.
Рисунок SEQ Рисунок \* ARABIC 1. Логическая схема взаимодействия компонент
КриптографияВсе криптографические средства защиты по российскому законодательству должны иметь сертификаты ФСБ России.
Межсетевое экранированиеТребования информационной безопасности для УЦ разработаны ФСБ России.
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Защита от несанкционированного доступаВ документации на УЦ есть требование о необходимости использования на всех компонентах УЦ электронных замков доступа типа Соболь или Аккорд в качестве средства предотвращения несанкционированного доступа. Данные электронные замки являются программно-аппаратными комплексами, выполненными в виде PCIкарт и устанавливаемые в серверы и/или персональные компьютеры.
 Электронные замки обеспечивают доверенную загрузку, путем получения управления после отработки стандартного ПО BIOS. Загрузка ОС может выполняться как после предъявления идентификатора и пароля, так и после предъявления съемного носителя и кода доступа (двухфакторная идентификация). В качестве съемного носителя чаще всего используются токены eToken (Aladdin) или ruToken (Актив). Электронный замок имеет функции по контролю целостности файлов, который производится с использованием криптографического алгоритма ГОСТ Р 34.11-94 путем сравнения результата хэш-функции с исходным значением.
Антивирусная безопасностьВ документации на УЦ нет четких требований необходимости антивирусных средств, однако если всё-таки исходить из необходимости ИБ, то антивирусные средства необходимы. Поэтому имеет смысл на каждый компонент УЦ установить антивирус. К сертифицированным ФСТЭК России антивирусным средствам относятся: российские антивирусы Касперского и Dr.Web, белорусский антивирус VBA32, а также антивирус иностранной разработки EsetNOD32.
Все антивирусы должны регулярно автоматически обновляться. Единственным исключением мне видится антивирус, установленный на ЦС. Его имеет смысл обновлять вручную, при помощи съемных носителей, т.к. между ЦС и ЦР возможен только «основной» обмен.
Резервное копированиеВ документации есть типовая схема реализации УЦ, согласно которой предлагается создание резервных копий ЦС и ЦР. Однако если следовать принципам ИБ, то имеет смысл регулярно создавать резервные копии всех компонентов. Резервное копирование может быть как логическим, то есть на уровне файловой системы, так и физическим, то есть на уровне секторов жестких дисков. Пример логического средства – MicrosoftNTBackup. Пример физических средств – SymantecGhost, российский аналог AcronisTrueImage, свободный аналог PING (PartimageIsNotGhost).
ЗащищенностьЕсли система имеет доступ в сеть Интернет, то необходимо обеспечить анализ защищенности. Лучше всего включить функции обновления ПО на всех компонентах УЦ, за исключением ЦС. ЦС лучше обновлять вручную, по аналогии с антивирусом. Для анализа защищенности в корпоративной сети организации устанавливается сервер анализа безопасности, с которого и производится анализ. Лучшим из российских средств защиты информации является MaxPatrol, который успешно конкурирует с иностранными средствами, от McAfeeи Nessus.
Анализу подвергаются все средства, кроме ЦС, так как ЦС не входит в корпоративную сеть и/или DMZ, доступ к нему разрешен только для ЦР, а также ЦС является высококритичным ресурсом.
Обнаружение вторженийЕсли система имеет доступ в сеть Интернет, то необходимо также обеспечить функции по обнаружению вторжений. Данные функции присутствуют в антивирусе Касперского в виде IDSподсистемы. Номинальные функции по обнаружению вторжений присутствуют в МСЭ ViPNetCoordinator.
Однако для реальной безопасности имеет смысл использовать специализированное средство обнаружения вторжений, установленное «наверху», до межсетевого экрана УЦ. Примерами хороших средств IDSявляются CiscoIPS 4200, StoneGateIPS.
Контроль доступаФункции разграничения доступа присутствуют в каждом компоненте УЦ. Более того в УЦ используется ролевая модель разграничения прав доступа.
Дополнительно для обеспечения безопасности на всех компонентах УЦ важным является отсутствие административных привилегий при осуществлении доступа. Это достигается использованием штатных механизмов дискреционного типа доступа ОС MicrosoftWindows.
Регистрация и учетРегистрация, то есть протоколирование, выполняется встроенным программным обеспечением. Регистрация общесистемных событий также может быть настроена штатными средствами ОС MicrosoftWindows. Важным является организация хранения электронных журналов регистрации в течение необходимого периода времени.
В документации на УЦ есть требование «Удостоверяющий Центр обязан синхронизировать по времени все программные и технические средства обеспечения деятельности по предназначению». Имеет смысл иметь в организации сервер, который является эталонным источником времени. С этим сервером и должны синхронизироваться все компоненты, за исключением ЦС. ЦС же должен синхронизироваться только с ЦР.
Вероятные изменения в деятельности удостоверяющего центра
Минкомзвязи, как государственный регулятор, неоднократно высказывал свою позицию о необходимости реорганизации существующей системы аккредитации УЦ и изменения правил контроля за их деятельностью. Кроме того, Минкомсвязи неоднократно высказывал намерение осуществить искусственное сокращение до минимального (порядка пяти) числа аккредитованных УЦ. С точки зрения регулятора, оптимизация УЦ центров должна привести к повышению качества оказываемых ими услуг.
По состоянию на сегодняшний день практическая реализация этой позиции выражается в усилении требований к УЦ. В этой связи следует отметить, что в конце 2016 года принят подготовленный в Минкомсвязи проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий существенное увеличение штрафов за нарушения, связанные с деятельностью УЦ.
Отдельно следует отметить требование Федерального закона от 06.04.2011 № 63-ФЗ к аккредитованным удостоверяющим центрам вносить информацию в Единую систему идентификации и аутентификации (ЕСИА) о выданных ими квалифицированных сертификатах ключей проверки электронной подписи, а также данные о регистрации пользователей в ЕСИА. В целях исполнения этого требования была решена задача по созданию сервиса в Единой системе межведомственного взаимодействия (СМЭВ) и соответствующего программного обеспечения, так называемых коннекторов, средствами которых УЦ подключены к СМЭВ в соответствии с регламентом СМЭВ. Указанная техническая проблема заслуживает отдельного внимания, потому что с 2017 года вводится в эксплуатацию СМЭВ версии 3.0, что потребует полного обновления всего программного комплекта УЦ, обеспечивающего подключение к СМЭВ.
Позиция Минкомсвязи вызывает у экспертного сообщества множество вопросов, которые можно обобщить и свести к трем основным:
1. Как сокращение числа аккредитованных УЦ до пяти согласуется с требованиями антимонопольного законодательства и установками Президента Российской Федерации на поддержку малого бизнеса?
2. Как сокращение числа аккредитованных УЦ отразится на смежных видах деятельности: разработке прикладного программного обеспечения для систем электронного документооборота, подготовке и переподготовке персонала удостоверяющих центров в соответствии с действующим законодательством РФ, разработке средств криптографической защиты информации и т.д.?
3. Планируется сокращение только коммерческих УЦ или это сокращение коснется также и ведомственных УЦ? В случае сокращения ведомственных аккредитованных УЦ планируются ли изменения в законодательстве, расширяющие область применения неквалифицированных подписей?
По первому вопросу следует отметить, что для малого предпринимательства рынок услуг УЦ де-факто уже закрыт. На наш взгляд, это скорее положительный, чем отрицательный результат проводимой регулятором оптимизации. В условиях малого предпринимательства практически невозможно обеспечить УЦ персоналом, имеющим достаточную профессиональную подготовку, а также обеспечить защиту программных комплексов УЦ на необходимом уровне. Единственным отрицательным моментом можно считать то, что малые УЦ могли бы играть заметную роль в популяризации и максимальном внедрении в хозяйственную деятельность субъектов предпринимательства систем электронного документооборота вместо бумажного делопроизводства. Следует отметить, что пока за всю историю существования аккредитованных удостоверяющих центров досрочно аккредитации лишились всего два УЦ и восемь УЦ прекратили свое существование, причем четыре УЦ из числа прекративших свое существование являлись ведомственными. Последние несколько лет количество удостоверяющих центов, получивших аккредитацию в течение года, существенно не меняется. Трудно сказать, является это результатом действий регулятора или высокой конкуренции на рынке услуг УЦ.
Из вышеизложенного следует, что большинство коммерческих УЦ получили аккредитацию в 2012 году, начали свою деятельность еще до принятия Федерального закона «Об электронной подписи», работают довольно продолжительное время и не планируют уход с рынка. Следует отметить, что пока за всю историю существования аккредитованных удостоверяющих центров досрочно аккредитации лишились всего два УЦ и восемь УЦ прекратили свою существование, причем четыре УЦ из числа прекративших свое существование являлись ведомственными. Аналогичная массовой аккредитации коммерческих УЦ в 2012 г. массовая аккредитация ведомственных УЦ произошла в 2013 г., так как для ведомственных УЦ целесообразность аккредитации была неочевидна и решение по аккредитации было принято только после принятия ряда подзаконных правовых актов.
Опасения, обозначенные во втором вопросе, являются более чем оправданными. По состоянию на сегодняшний день абсолютное большинство УЦ разрабатывают сами или являются заказчиками программного обеспечения, необходимого как для функционирования систем электронного документооборота (далее СЭДО), так и для обеспечения деятельности самого УЦ. В результате сокращения аккредитованных УЦ большинство этих СЭДО прекратят свое существование, что может снизить конкуренцию в соответствующем сегменте рынка программного обеспечения и, как следствие, привести к снижению качества разрабатываемых программных продуктов. Таким образом, существует высокая вероятность того, что искусственное сокращение УЦ может повлечь негативные последствия для экономики отрасли, связанной с развитием электронного документооборота, ликвидацией заметного числа рабочих мест и, как уже отмечалось выше, нанести ущерб смежным видам деятельности.
Суть третьего вопроса состоит в том, что по состоянию на сегодняшний день в большинстве подзаконных актов, регулирующих применение электронной подписи в СЭДО государственных и муниципальных органов, установлено требование по применению усиленной квалифицированной электронной подписи, для выдачи которой требуется аккредитованный УЦ. В том случае, если планируется сокращение ведомственных аккредитованных УЦ, целесообразно одновременно внести изменения в законодательство, позволяющие более широко применять в ведомственных СЭДО неквалифицированную электронную подпись и простую электронную подпись. Возможно, имеет смысл передать часть задач ведомственных УЦ на договорной основе коммерческим УЦ, так как опыт показал, что коммерческие УЦ быстрее реагируют на изменения правил деятельности, в частности, большинство коммерческих УЦ прошли процедуру аккредитации на год раньше ведомственных УЦ.
Вывод

В заключение можно сказать, что практика создания деятельности УЦ непрерывно совершенствуется, что способствует созданию безопасной среды оборота достоверной информации, в том числе в кредитно-финансовой сфере. Однако, на наш взгляд, для того чтобы оптимизация системы УЦ не нанесла ущерб национальной безопасности Российской Федерации, при ее проведении следует обратить внимание на решение следующих вопросов:
1. Необходимо на уровне нормативно-правового акта Российской Федерации закрепить понятие «Ведомственного удостоверяющего центра» и разработать отдельные требования к коммерческим УЦ и к государственным органам или органам местного самоуправления, имеющим в своем составе структурные подразделения, осуществляющие функции УЦ.
2. В целях повышения качества услуг УЦ регулятор должен продолжить усиление требований к коммерческим аккредитованным удостоверяющим центрам, которое должно способствовать достижению поставленной цели. Например, ввести процедуру выездной проверки при аккредитации УЦ. Такая процедура позволит изучить реальные условия деятельности удостоверяющего центра, претендующего на статус аккредитованного.
3. С целью минимизации возможных негативных последствий создать условия, при которых сокращение числа удостоверяющих центров будет проходить постепенно в течение нескольких лет.
Список литературы

1. Киздермишов А.А., Киздермишова С.Х. Совершенствование системы аккредитованных удостоверяющих центров как единая информационно-техническая и организационно-правовая проблема // научный журнал «Вестник АГУ», 1 (196) 2017, с. 123 – 128.
2. Киздермишов А.А. Проблемы эффективного внедрения автоматизированных систем электронного документооборота // Новые технологии: сб. науч. тр. Майкопского государственного технологического университета. Майкоп: Качество, 2006, с. 55-57
3. О Стратегии национальной безопасности Российской Федерации: указ Президента РФ от 31.12.2015 № 683 // СПС КонсультантПлюс. М., 2019.
4. Об утверждении Доктрины информационной безопасности Российской Федерации: указ Президента РФ от 05.12.2016 № 646 // СПС КонсультантПлюс. М., 2019.
5. Официальный Интернет-ресурс Минкомсвязи России. Свидетельство о регистрации СМИ Эл № ФС77-32622 от 22 июля 2008 г. URL: http://minsvyaz.ru