О ходе работ в Министерстве обороны США по реализации основных положений национального Плана защиты информационных систем

Гриняев С.Н., кандидат технических наук, старший научный сотрудник

Немного истории

В январе 2001 года президентом США был подготовлен и представлен в Конгресс ежегодный отчет о проделанной работе по реализации основных положений Директивы президента PDD-63 (принятой в мае 1998 года) об организации работ по защите критически важной национальной инфраструктуры (Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities, Jan 2001, http://www.pccip.gov). Этот отчет интересен тем, что в январе 2001 исполнился год со дня подписания первой версии Национального плана защиты информационных систем США (см. НВО № 46, 8-14 декабря 2000 г.), лежащего в основе реализации основных положений президентской директивы.

Хотелось напомнить, что скоро, 9 сентября, исполняется год с момента подписания Президентом России Доктрины информационной безопасности РФ. Очень хотелось бы увидеть публикации отечественных специалистов, занимающихся вопросами реализации основных положений Доктрины, о проделанной за год работе, о достижениях и неудачах. Это смогло бы возродить несколько угасший интерес к проблеме, а авторам Доктрины - получить советы по дальнейшему ходу работ.

Основные направления работ Министерства обороны США

Вернемся, однако, к отчету президента США. Этот документ состоит из 209 страниц и включает описание проведенных работ по всем ключевым секторам, определенных в директиве PDD-63. Не будем рассматривать все, а остановимся только на мероприятиях, выполненных Министерством обороны.

Согласно отчетному докладу президента США за прошедший год Министерство обороны США добилось значительного прогресса в защите критической инфраструктуры (critical infrastructure protection, CIP), сосредотачивая свои усилия по трем главным направлениям:

• обеспечение информационной безопасности информационных систем;
• продолжение работ по программе "Y2K", включающей разработку и реализацию программ тестирования решений на совместимость с "проблемой 2000 года" с целью обеспечения защиты критической инфраструктуры; отмечается, что ряд выполненных в рамках этой программы работ, продемонстрировал возможность проведения работ с информационной инфраструктурой любой сложности, способность определить уязвимые места в структуре, которые могут повлечь отказ, а также быстро исправить их c наименьшими затратами;
• расширение научно-исследовательских разработок в области защиты критической инфраструктуры.

Ключевым элементом в программе обеспечения безопасности информационного пространства Министерством обороны является подход, названный его разработчиками "Defense-in-Depth" ("Глубокая оборона"). Информационные системы, построенные с использованием этого принципа, состоят из многослойных систем безопасности и процедур, использующих активные и пассивные мероприятия по защите информационных ресурсов, предотвращающих неправомочный доступ к информации. Глубоко эшелонированная оборона защищает критические ресурсы и процессы, формируя политику сдерживания, расширяющую возможности программных средств обеспечения информационной безопасности сети. Считается, что такой подход заставит противника тратить собственные ресурсы  при преодолении множественных слоев защиты прежде, чем он достигнет способности воздействовать на функционирование информационных систем. Такая слоистая концепция безопасности позволяет максимально использовать возможности коммерческих технологий и минимизировать дополнительные инвестиции, которые необходимы для совершенствования коммерческих технологий.

Эта технология, в основу которой положена тесная интеграция способностей персонала и современных технологий, основывается на организации защиты локальных вычислительных пространств отдельных объектов критической инфраструктуры (называемых также "анклавы"), границ анклава и сети коммуникаций, которая связывает эти анклавы, а также обеспечивающую инфраструктуру. Авторы отмечают, что сегодня они не в состоянии полностью устранить уязвимость информационных систем, однако они рассчитывают, по крайней мере, существенно смягчить их последствия.

Основные мероприятия по реализации базовых концепций

Для реализации концепции "Defense-in-Depth" Министерство обороны выполняет ряд мероприятий. Так, например, в настоящее время во всем министерстве развертывается инфраструктура для обеспечения работы средств криптографической защиты информации с открытым ключом (Public Key Infrastructure, PKI) на основе стойких криптоалгоритмов. Считается, что эта система позволит обеспечить непрерывное шифрование информации, передаваемой по каналам связи, а также услуги аутентификации для "чувствительной, но несекретной" информации, а также обеспечит улучшенное управление доступом к информационным системам и компьютерам. Предполагается также, что в будущем эта система обеспечит безопасность секретной информации, передаваемой по незащищенным каналам связи сетей общего пользования. Политика, принятая в Министерстве обороны, по развертыванию PKI была подписана представителем Министра обороны в мае 1999 и обновлена в августе 2000 года. Эта политика устанавливает срок в октябре 2002 года, когда все военнослужащие, гражданский персонал и ряд сотрудников из числа резервистов будут иметь "типовую карту доступа" (Common Access Card) на основе смарт-карты со встроенным микропроцессором, которая будет содержать цифровые сертификаты PKI министерства с информацией о пользователе.

Вместе с работой по созданию PKI проводятся мероприятия по внедрению более стойкой технологий шифрования с тем, чтобы обеспечить необходимый уровень криптостойкости на уровне с быстрыми изменениями в области информационных технологий и методов криптоанализа. Отмечается, что Министерство обороны активно развивает соответствующие программы, с целью модернизировать методы и технологии безопасной передачи голоса и данных непосредственно на  рабочее место сотрудников министерства, а также совершенствование безопасных технологий для сетей радиосвязи.

Перерабатывается программа Минобороны "Информационная инициатива". Темпы реализации этой программы, предусматривающей формирование Глобальной информационной сети (Global Information Grid, GIG) в настоящее время резко возросли. Именно Глобальной информационной сети отводится главная роль в достижении и удержании информационного превосходства. Политика информационной безопасности Глобальной информационной сети за номером 6-8510 была подписана в мае 2000. Эта политика включает не только требования по обеспечению конфиденциальности информации, но также и ее доступности, целостности и потребности в усиленной идентификации и предоставлении отказоустойчивых услуг.

О совершенствовании судебной практики в области компьютерных преступлений

Одной из наиболее важных из числа выполненных работ является существенное продвижение по пути совершенствования приемов и методов работы с доказательствами компьютерных преступлений, что имеет большое значение при проведении расследований любых инцидентов, связанных с применением вычислительной техники. Так 24 сентября 1999 года была открыта Компьютерная судебная лаборатория Министерства обороны (Defense Computer Forensics Laboratory, DCFL). Это - одна из наиболее современных структур, предназначенная для обработки компьютерных доказательств в преступлениях и мошенничествах, а также при проведении контрразведывательных мероприятий для всех организаций, проводящих криминальные и контрразведывательные исследования.  Управление специальных исследований Военно-воздушных сил США определено в качестве Исполнительного агентства для DCFL. В настоящее время DCFL имеет 42 позиции для исследователей и судебных приставов, позволяющие обрабатывать компьютерные доказательства наряду со звуковой и видео информацией в судебных делах в самом широком диапазоне: от детской порнографии до вторжений в компьютеры и шпионажа. Эта лаборатория министерства обеспечивает поддержку ФБР по вопросам расследования компьютерных преступлений. Специалисты DCFL уже накопили определенный потенциал и навык работы с инструментальными средствами  анализа информации в ходе ряда успешных мероприятий по идентификации групп хакеров, а также при нейтрализации уязвимости в нескольких контрразведывательных операциях, связанных с деятельностью по защите национальных сети ЭВМ. Среди последних - такие нашумевшие мероприятия как "Солнечный восход", "Цифровой демон" и "Лабиринт лунного света" ("Solar Sunrise", "Digital Demon", "Moonlight Maze").

Формирование спецподразделений компьютерной обороны

Говорится также и об улучшении способности активно защищать информационные системы и компьютеры. Для этой цели была создана Объединенная оперативная группа по защите компьютерной сети Министерства обороны (Joint Task Force for Computer Network Defense, JTF-CND), а главнокомандующий космического командования принял полную ответственность за защиту сетей ЭВМ министерства c 1 октября 1999 года. Как отмечают авторы отчета, в ходе инцидента c вирусом "Мелисса" в марте 2000 года, JTF-CND, совместно с Группой реагирования на чрезвычайные ситуации с вычислительной техникой Министерства обороны (Computer Emergency Response Team, CERT), оказалась способной быстро оценить угрозу, сформировать оборонительную стратегию и направить ход соответствующих оборонительных действий. Далее, в мае 2000 года, в ходе эпидемии компьютерного вируса "LOVELETTER" был продемонстрирован еще один пример четких действий JTF-CND. Персонал JTF быстро идентифицировал потенциальное повреждение и обеспечил своевременное уведомление подразделений, служб и агентств министерства, которые позволили им эффективно ответить на вторжение.

С 2000 года Министерством обороны начата работа с союзниками по вопросу обеспечения информационной безопасности: Канада имеет официального представителя, работающего в JTF-CND, развивается система разделения информации между Министерствами обороны в соответствии с основными положениями Меморандума о понимании и Концепции действий подписанными с канадской стороной.

Проведены работы по созданию системы сигнализации при обнаружении уязвимости информационной безопасности (Information Assurance Vulnerability Alert, IAVA) для распределения информации об уязвимости всем подразделениям и службам Минобороны. В 1999 году этой службой было подготовлено и выпущено 11 предупреждений (IAVT), 3 бюллетеня (IAVBs) и 20 технических консультаций. В 2000 году были выпущены 3 предупреждения, 3 бюллетеня и 9 технических консультаций. Агентство информационных систем Минобороны  (Defense Information System Agency, DISA) сформировало банк данных, для немедленного распределения информации об уязвимости каждому администратору системы вместе с краткой информацией о возможных ответных действиях по локализации последствий.

Об обучении персонала

Одним из серьезных достижений признается то, что сформированы и реализуются программы всестороннего обучения, тренировки и осведомления (Education, Training and Awareness, ETA) военнослужащих, гражданского персонала и служащих по контракту Министерства обороны. Для всех пользователей информационных систем установлен необходимый минимум базовых знаний в области информационной безопасности, без которого они не могут быть допущены к работе, при этом весь персонал должен проходить ежегодную переподготовку. Дополнительно к этому для всех администраторов как засекреченных, так и несекретных систем требуется иметь сертификаты на допуск к работе. Соответствующие программы сертификации будут внедрены в текущем году. Для совершенствования обучения Управление программ по информационной безопасности (Information Assurance Program Office, IAPMO) Агентства информационных систем МО подготовило и распространяет множество компакт-дисков и видеофильмов с материалом по курсам обучения. Этот материал широко доступен всем федеральным структурам.

Чтобы повысить качество академического образования в области информационной безопасности, Агентство национальной безопасности cформировало в 1999 году Центры послевузовского образования по информационной безопасности, а в 2000 году значительно  расширило программу, включив в нее 14 ведущих университетов США. Университеты отбирались на основании глубины и зрелости их учебных программ в области информационной безопасности в соответствии со стандартами, предложенными Комитетом по безопасности телекоммуникационных и информационных систем национальной безопасности (National Security Telecommunications and Information Systems Security Committee, NSTISSC).

О формировании единой оценки состояния информационной безопасности в МО

Интересной работой является развитие единого процесса формирования и самой метрики, посредством которой министр обороны может объективно оценить и ясно сформулировать статус боеготовности министерства в области информационной безопасности. Этот процесс будет применен во всем министерстве для взаимодействия как с боевыми, так и не боевыми подразделениями и службами. В качестве итогового результата работы станут: статус боеготовности в части информационной безопасности, формализованные требования на ресурсы для обеспечения информационной безопасности, исходные данные для формирования или пересмотра политики Минобороны в области информационной безопасности. Предполагается, что метрика будет иерархически структурирована на пять уровней иерархии. Эти уровни соответствуют пяти критическим индикаторам успеха: люди, мероприятия, обучение, оборудование, инфраструктура.

Формирование виртуального резерва

За прошедший год утверждена концепция действий виртуальной информационной организации объединенного резерва (Joint Reserve Component Virtual Information Organization, JRVIO), которая обеспечивает поддержку совместных информационных операций Агентства информационных систем Министерства обороны, АНБ, Объединенного Центра информационных операций (Joint Information Operations Center, JIOC), Технического Центра информационных операций (Information Operations Technical Center, IOTC) и Объединенной оперативной группы по защите компьютерных сетей Минобороны (JTF-CND). Структура и функции поддержки JRVIO приспособлена для выполнения роли активного компонента (например, JRVIO поддержка действий JIOC выполнят активные функции в пределах миссии JIOC). При этом у организации нет других функций, кроме функции проведения виртуальных действий. Руководство JRVIO гарантирует, что действия резерва оперативно изменяются в зависимости от миссии подразделений, в поддержку которых выступает резерв. Любая миссия по обеспечению информационной безопасности, проводимая одной из поддерживаемых организаций, будет открыта для управления задачами JRVIO. Так, если на объединенном уровне DISA проводит действия по обеспечению информационной безопасности с целью защиты Информационной инфраструктуру Министерства обороны (Defense Information Infrastructure, DII), то в этом случае все действия выполняются через Центр обеспечения функционирования и защиты глобальной сети (Global Network Operations and Security Center, GNOSC), центры обеспечения функционирования и защиты региональных сетей (Regional Network Operations and Security Centers, RNOSCs), группу реагирования на чрезвычайные ситуации с вычислительной техникой Министерства обороны (DOD CERT).

Координация со службами и другими агентствами, координация с промышленностью и множеством других внутренних подразделений МО, а также организация внешних контактов лежит на JRVIO. Далее Управление информационной безопасности АНБ в координации с DISA и под политическим руководством ASD/C3I, проводит действия по обеспечению информационной безопасности в поддержку Министерства обороны и других правительственных отделов и агентств. Считается, что добавление поддержки JRVIO к этим мероприятиям расширит их способность оперативно реагировать на быстрорастущие вызовы информационной безопасности.

О деятельности КНШ и видов командования видов ВС армии США по проведению работ в области информационной безопасности

Председателем Комитета Начальников Штабов (Chairman of the Joint Chiefs of Staff, CJCS) выпущено руководство для командующих и штабов Объединенных командований, служб и агентств по улучшению системы оповещения об уязвимости в информационной сфере (IAVAs).

В Объединенном оперативном плане 1999 года космическое командование (SPACECOM) обозначено в качестве руководящей структуры по обеспечению защиты компьютерных сетей Минобороны (computer network defense, CND) и противодействию нападениям на сети ЭВМ (computer network attack, CNA).

В директиве CJCS также отмечалось, что Объединенный штаб включает мероприятия по CND во все оперативные и долгосрочные планы боевой подготовки.

Отдельно рассмотрены вопросы, реализованные Директоратом коммуникационных и компьютерных систем и систем управления, контроля Объединенного штаба (Command, Control, Communications & Computer Systems Directorate, J-6). Отмечается, что это подразделение полностью укомплектовано и готово к выполнению инструкции CJCSI 6510.01C по определению минимума информационной безопасности (по 55 параметрам) требуемого для подразделений, служб и агентств Министерства обороны.

На сегодняшний момент в Директорате J-6 объединены несколько оперативных рабочих групп по проблеме информационной безопасности в рамках одного комитета, который докладывает Военной коллегии по электронике и коммуникациям (Military Communications­Electronics Board, MCEB). Работа комитета привела к существенному сокращению уязвимости мобильного программного кода (на основе интернет-технологий ActiveX и Java) в информационных системах Минобороны. 

Совместно с другими подразделениями Директорат работает над формализацией метрики боеготовности в части информационной безопасности и ее включении в ежемесячное Объединенное сообщение о готовности (Joint Monthly Readiness Report, JMRR), которое объединяет данные об информационной безопасности, переданные в сообщениях боевых расчетов дежурных смен.

В сухопутных войсках сформирована Программа усовершенствования безопасности сети (NSIP) в качестве армейской стратегии по осуществлению концепции Министерства обороны "Defense in Depth". В рамках этой программы создана инфраструктура групп реагирования на компьютерные инциденты (ACERT). ACERT принимает все сообщения о вторжении и поддерживает пользователей во всем мире в вопросах обеспечения необходимой защиты и возможных вариантов ответа на нападения на системы и сети.

Директора J6 и Военная коллегия по электронике и коммуникациям  (MCEB) финансировали разработку политики применения мобильного программного кода, которая была подписана 7 ноября 2000 года. Предполагается, что выполнение политики применения мобильного кода уменьшит уязвимость информационных ресурсов министерства от злонамеренных нападений из глобальной сети Интернет. С целью совершенствования этой политики, представители J6 активно сотрудничали с корпорацией Microsoft по выявлению возможной уязвимости мобильного кода и технологий на его основе. MCEB также финансировала формирование "Руководства по управлению коммуникационными портами и протоколами", одобренное исполнительным комитетом Министерства обороны по вопросам защиты критической инфраструктуры в ноябре 2000 года. Это руководство позволяет сотрудникам министерства управлять безопасностью в наиболее уязвимых точках межсетевых соединений.

Сотрудники J6 встречались с представителями корпорации Wang, чтобы обсудить направление, которое частная компания берет в отношении PKI. Будущие планы J-6  включают формирование программ аудита инфраструктуры, с целью определить объем работ по обеспечению информационной безопасности, возможный интерфейс как часть Глобальной информационной сети, а также зависимости между состоянием критических компонент инфраструктуры и боеготовностью подразделений.

Как член Консультативного совета по телекоммуникациям Национальной безопасности (NSTAC), J6 вовлечен в деятельность оперативных групп NSTAC по направлению "Распределение информации/Защита критической инфраструктуры" (IS/CIP). Одна из его выдвинутых на первый план инициатив состоит в координации действий Президентского Управления обеспечения безопасности критической инфраструктуры (President's Critical Infrastructure Assurance Office) с целью достижения положительных результатов в реализации президентской директивы PDD-63 1998 года.

Отмечается, что армия является признанным лидером, объединяющим и координирующим все работы по биометрическим системам обеспечения информационной безопасности для Министерства обороны. В 2000 финансовом году был создан Отдел биометрического управления (Biometrics Management Office, BMO). Основная цель BMO состоит в том, чтобы разработать и внедрить стратегию применения биометрических технологий, которые гарантируют безусловный контроль и управление доступом к критической информации и системам вооружения во всех сферах ведения боевых действий.

Армейский Центр информационного доминирования (Information Dominance Center, IDC) командования разведки и безопасности достиг начального уровня боеспособности 1 октября 2000 года и в настоящее время находится во второй фазе трехэтапного процесса развития. IDC обеспечивает армию технологиями и инструментами для поддержки совместного планирования, анализа и выполнения информационных операций.

В 2000 году был разработан Оперативный план информационной безопасности Армии XXI века. Этот план поддерживает защиту критической инфраструктуры путем целостного подхода, сосредоточенного на обеспечении функциональной способности во всем спектре конфликта. Наряду с этим сформирован стратегический план информационной безопасности, ориентированный на поддержку ключевых положений стратегии национальной безопасности США.

Боевые группы временных бригад сухопутных войск (Army's Interim Brigade Combat Teams, IBCT) и Цифровой корпус включили мероприятия по обеспечению информационной безопасности в совокупность их действий. Сухопутные войска обновили План защиты для систем по программе "Force XXI". Этот план определяет требования по планированию безопасности, испытания с целью выявления уязвимости и формирования ключевых решений по их нейтрализации.

Сухопутные войска включили обеспечение информационной безопасности (защита критической инфраструктуры) в установочный курс подготовки высшего командного состава.

В 2001 году планируется провести военно-политические игры по отработке элементов обеспечения информационной безопасности с целью усиления понимания руководства вооруженных сил этой проблемы.

Военно-воздушные силы реализовали процесс сертификации продуктов и услуг на пригодности к использованию в сетях (Certificate of Networthiness, CON). Прежде, чем систему считают пригодной и выпущен соответствующий сертификат ведущим комитетом по защите инфраструктуры в ВВС США, проводится испытание оценки риска сети, идентифицируются потенциальные проблемы безопасности и выявленные дефициты исправлены.

В 2000 году Военно-воздушные силы провели 41 мероприятие по оценке террористической уязвимости используя интегральную оценку уязвимости Объединенного штаба (JSIVA) и Команды оценки уязвимости ВВС США. На 2001 год намечено проведение 44 оценок. Как и в предыдущие годы в фокусе этих оценок -  защита персонала. Однако в  будущем информационная безопасность и планирование ответных мероприятий займут важное мест в такого рода проверках.

Штаб ВВС совместно с ASD (C3I) участвовал в разработке Объединенной оценки уязвимости (DIVA) - ВВС США обеспечили исходные данные по интеграции существующих процессов оценки, рекомендовали, как структуру DIVA, численность и состав рабочих групп, а также протоколы обмена такой информацией. ВВС США провело отработку предложенной концепции в полевых условиях на авиационной базе ВВС Малмстром, штат Монтана.

Корпус морской пехоты разработал Базовый набор защиты инфраструктуры сети (Base Network Infrastructure Protection Suite) в настоящее время он проходит полевые испытания.

Военно-морской флот разворачивает безопасные информационные системы, которые облегчают работу для всех уровней классификаций информации.

Командование объединенных сил (USJFCOM) развернуло программы по защите информационных систем, по обучению приемам обеспечения информационной безопасности, и CND для компьютерных сетей штабов, наряду с проведением контроля по обеспечению информационной безопасности в 19 подчиненных командованиях. Командование объединенных сил включило дополнительную игру по обеспечению информационной безопасности в обучающее упражнение объединенного оперативного соединения в координации с группами планирования информационных операций Объединенного боевого центра (Joint Warfighting Center's Information Operations Planning Cell). Также обновлены процедуры информирования об инцидентах в сети ЭВМ, что позволить быстрее уведомлять вышестоящие подразделения об идентифицированных событиях.

Установлена периодичность контрольных проверок боеготовности в отношении информационной безопасности (IARRs) для всех 5 объединенных командований.

С 1 июля 2000 года введено использование Системы слежения Агентства информационных систем Министерства обороны за возможными уязвимостями (VCTS).

Введены в строй дополнительные, избыточные каналы связи для штабов в сети SIPRNET, которые позволят выполнять автоматизированное восстановление систем после сбоев.

В 2001 году Командование объединенных сил при поддержке DISA планирует установить дополнительные серверы безопасности, межсетевые экраны, системы обнаружения вторжения и сканеры уязвимости на своих компьютерных сетях.

В качестве заключения

Безусловно, за прошедший год американскими коллегами проделана большая работа. Однако следует задуматься, а насколько она оказалась эффективной?

Информация, доступная по каналам Интерента, позволяет сделать вывод о том, что уровень информационной безопасности систем Минобороны США, не смотря на реализованные мероприятия, увеличился незначительно. Атаки китайских хакеров на системы Минобороны в период кризиса, вызванного инцидентом с разведывательным самолетом Е-3, оказались достаточно эффективными.

Согласно ряду заявлений сотрудников администрации США, созданная национальная система информационной безопасности, оказалась слишком тяжеловесной и неповоротливой. В ряде случаев процесс доведения информации тормозился в силу бюрократических проволочек, что приводило к неприятным последствиям.

Во многих случаях при появлении нового вида компьютерных вирусов противоядие не было своевременно найдено ни сотрудниками CERT, ни JTF-CND.

Существенным препятствием в достижении поставленных целей остается нехватка квалифицированного персонала для работы в сфере обеспечения информационной безопасности, о чем свидетельствуют попытки привлечения студентов-компьютерщиков на работу в федеральные ведомства по контрактам в обмен на оплату их  обучения в институтах.

Таким образом, следует отметить, что провозглашенные в Национальном плане защиты информационных систем цели спустя год достигнуты лишь частично. При этом выявлен целый ряд проблем, необходимость решения которых приведет пересмотру некоторых положений как самого плана, так и других концептуальных документов по этой проблеме.