12 - 2003

Информация не для всех

Защита данных — дело серьезное

Лев Теверовский

Уже не раз вопрос безопасности данных, их защиты от несанкционированного доступа поднимался как на страницах специализированных изданий, так и на страницах журнала «САПР и графика» (см. № 10’2003). Интерес к этой теме не ослабевает. Наоборот, с постепенным возрождением российской оборонной промышленности (да и не только оборонной) защита информации становится одной из важных составляющих всего процесса управления предприятием. Авиасалон МАКС-2003, прошедший в августе с.г. в г.Жуковском, подтвердил это. Многие представители научных и производственных предприятий авиакосмической отрасли интересовались тем, как решается эта проблема в представленных на салоне программных комплексах автоматизированного проектирования и технологической подготовки производства.

Вообще говоря, в прежние годы эти вопросы решались проще. Вся документация — справочники, чертежи, схемы, расчеты и т.п. — существовала в виде бумажных носителей. Простые административные решения специальных служб («первого отдела», «отдела режима» и т.п.) позволяли довольно надежно ограждать секретную информацию от чужих глаз. Даже если какие-то расчеты выполнялись на ЭВМ, то унести с собой бобину с пленкой или дисковый накопитель было нереально, да и бессмысленно, поскольку считывать информацию в домашних условиях не представлялось невозможным. Сегодня же, с развитием компьютерной техники и с появлением локальных и глобальных сетей, защита данных становится отнюдь не такой простой задачей.

Согласно ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», защита информации — это «деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию». Собственником информации может быть государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Поначалу считалось, что одним из способов защитить тот или иной электронный документ является применение механизма «цифровой подписи». Закон о цифровой подписи действует в России уже почти 3 года. Однако на деле распространенность, как и, к сожалению, действенность, этого метода защиты крайне невелика. Практически, цифровая подпись не защищает документ в том смысле, какой заложен в ГОСТ Р 50922-96. Цифровая подпись (как и нотариальная запись) лишь подтверждает подлинность данного файла, подтверждает тот факт, что все изменения в нем сделаны тем лицом, которое подписало данный документ.

Сертификат № 683 Гостехкомисии РФ

 

Наиболее надежным способом защиты информации является комбинирование административных методов и специализированных программно-технических средств. Административные методы — это организация на предприятии службы безопасности с достаточно широким кругом полномочий. Также необходимо, чтобы все автоматизированные системы и программные комплексы, используемые при разработке изделий (машиностроительной, приборостроительной и других областей) и при их подготовке к производству, имели специальный сертификат. Этот документ гарантирует, что у той или иной программной системы нет так называемых закладок. Согласно руководящим документам Государственной технической комиссии (далее — Гостехкомиссия РФ) при Президенте Российской Федерации, программная закладка — это «преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации». Иными словами, в программном обеспечении могут присутствовать встроенные недекларированные (не описанные в руководстве по эксплуатации) средства, которые позволят осуществить различные несанкционированные действия с конфиденциальной информацией. Это может быть сохранение информации на магнитные носители, вывод на печать, конвертирование данных в другие форматы, отправка сообщений по электронной почте или через Интернет и т.п.

Сегодня на российском рынке систем автоматизированного проектирования представлено немало разработок как отечественных, так и иностранных компаний. Но проверку в Гостехкомиссии РФ прошли только программные продукты российской компании АСКОН. Специалисты разработчика САПР выполнили огромный объем подготовительных работ, и в итоге компания получила государственную «Лицензию на деятельность в области защиты информации». Кроме того, компании выдан Сертификат № 683 Гостехкомисии РФ. И теперь можно с полным правом утверждать, что автоматизированные системы компании (в частности, известную разработку КОМПАС-3D) разрешено применять при обработке информации, защищаемой по 3-му уровню контроля. В соответствии с руководящими документами Гостехкомиссии РФ программное обеспечение, сертифицированное по 3-му уровню, можно использовать при обработке документации с грифом «С» (секретно). Для большинства отечественных предприятий оборонной промышленности такой уровень защиты вполне достаточен.

Если предприятие пока не готово внедрять полный комплекс средств безопасности, то наилучшие результаты по защите документов от несанкционированного доступа можно получить с помощью системы КОМПАС-Защита (см. также № 10’2003 журнала «САПР и графика»).

Система «УРЯДНИК»

 

Однако, как уже было сказано ранее, от системы проектирования нельзя ждать выполнения задач всесторонней защиты информации. Эти проблемы лучше решать комплексно, а еще лучше, если часть работ по организации всего программно-аппаратного комплекса возьмет на себя компания, для которой защита информации является профильной деятельностью. Партнером компании АСКОН в этом деле стала фирма «РНТ», исповедующая «философию безопасности». Группа компаний «РНТ» — один из ведущих системных интеграторов в области новейших технологий безопасности. Головное предприятие — акционерное общество «РНТ» — было создано в конце 1992 года и объединило в своем составе высококвалифицированных специалистов в области защиты информации и технической безопасности объектов. Группа компаний «РНТ» предоставляет полный комплекс услуг по созданию и сопровождению интегрированных комплексных систем безопасности.

Совместные работы компаний АСКОН и «РНТ» на известном московском двигателестроительном предприятии ММПП «САЛЮТ» показали, что система управления политикой безопасности «УРЯДНИК/ Enterprise Guard», разработанная «РНТ», хорошо совмещается с программными средствами автоматизации проектно-конструкторской и технологической подготовки производства под маркой КОМПАС.

Система «УРЯДНИК/Enterprise Guard» предназначена для выявления несанкционированных действий пользователей информационной системы (ИС) на основе сбора и анализа информации о событиях, регистрируемых на рабочих станциях пользователей ИС. Система обеспечивает:

• мониторинг и контроль работы пользователей ИС;

• выявление и блокирование действий пользователей, нарушающих заданную политику безопасности ИС;

• сбор доказательств, необходимых для расследования инцидентов, связанных с нарушением пользователями ИС заданной политики безопасности;

• мониторинг работы приложений, запущенных на рабочих станциях пользователей.

Таким образом, служба безопасности предприятия сможет легко контролировать работу конструкторов и технологов, пресекая попытки несанкционированного копирования документов, отправки их по электронной почте или других запрещенных действий.

Однако могут возникнуть двойственные ситуации, когда, например, необходимо передавать какие-либо чертежи с компьютера на компьютер по локальной сети. Если такая возможность для данного пользователя закрыта, то возникает противоречие между производственными задачами и задачами защиты информации. Его можно решить административными методами, временно разрешив общение между машинами, однако это, во-первых, требует длительных согласований, а во-вторых, открывает канал передачи данных. Но можно поступить и по-другому — использовать систему КОМПАС-Защита, которая не запрещает специалистам обмениваться чертежами, моделями и другими документами КОМПАС, а просто защищает эти файлы кодом. При этом для работников предприятия внешне ничего не меняется, но прочитать такой файл «на стороне» будет невозможно.

КОМПАС-Защита: работа в отделах крупной промышленной компании с индивидуальной политикой безопасности

 

Сегодня промышленный шпионаж достиг таких высот, что информацию можно считывать не только с магнитных носителей посредством доступа к компьютеру через сети, но и с помощью специальных средств и через системы электропитания, через акустические каналы и т.п. Чтобы избежать этого, можно устанавливать системы КОМПАС на специально защищаемые компьютеры, поставляемые компанией «РНТ». ПЭВМ, выпускаемые компанией «РНТ», являются основными техническими средствами обработки информации, выполненными в защищенном по ПЭМИН исполнении, и позволяют обрабатывать информацию на объектах информатизации 1, 2 и 3-й категорий. Для решения различного рода задач компания производит ПЭВМ «Обруч» класса «Рабочая станция». ПЭВМ имеет BIOS, сертифицированный на отсутствие недекларированных возможностей (Сертификат № 438 Гостехкомиссии РФ).

Вообще, комплексная система защиты информации на основе разработок компаний «РНТ» и «АСКОН» может найти применение не только на предприятиях оборонного комплекса, но и в концернах и холдингах, объединяющих сегодня предприятия металлургии, авто- и судостроения, в энергетических компаниях и т.п. Руководство этих концернов сегодня приходит к пониманию того, что разрабатываемая на их предприятиях техническая документация представляет собой интеллектуальную собственность и имеет высокую коммерческую стоимость.

«САПР и графика» 12'2003