В соответствии с Указом Президента Республики Казахстан от 14 марта 2000 года N 359 U000359_ "О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы" Правительство Республики Казахстан постановляет:
1. Утвердить прилагаемую Программу проведения научных исследований и технических разработок в области защиты информации.
2. Настоящее постановление вступает в силу со дня подписания.
Премьер-Министр
Республики Казахстан
Утверждена
постановлением Правительства
Республики Казахстан
от 2 апреля 2001 года N 433
Программа проведения научных исследований
и технических разработок и области защиты информации
1. Паспорт программы
Наименование Программа проведения научных исследований и
технических разработок в области защиты информации
Основание для Послание Президента страны народу Казахстана
разработки K972030_ "Казахстан-2030", раздел Долгосрочный
приоритет 1 "Национальная безопасность";
Концепция информационной безопасности Республики
Казахстан, утвержденная Советом Безопасности
Республики Казахстан 19 марта 1999 года;
Указ Президента Республики Казахстан от 14 марта
2000 года N 359 U000359_ "О Государственной
программе обеспечения информационной безопасности
Республики Казахстан на 2000-2003 годы"
Цель программы Создание научно-методической и технологической
основы для формирования и проведения единой
технической политики по защите информации;
обоснование необходимой степени защищенности и
технических характеристик объектов защиты;
разработка отечественных аппаратных, программных и
аппаратно-программных средств защиты информации
Задачи программы Создание нормативно-методической базы по защите
информации;
формирование национальной системы стандартов защиты
информации;
проведение научных исследований по оценке наиболее
вероятных видов угроз защищаемой информации и
определение наиболее оптимальных способов
противодействия;
выбор перспективных направлений развития
отечественных методов и средств обеспечения
информационной безопасности, осуществление
технических разработок в области защиты информации;
формирование единой технической политики по защите
информации
Объем и источник Финансирование Программы осуществляется за счет и
финансирования в пределах средств, предусматриваемых
администраторам Программы в республиканском бюджете
на научные исследования. Необходимый объем
финансирования Программы из бюджета на 2001-2003
годы составляет 120 млн. тенге, в том числе на 2001
год - 40 млн. тенге, из них 20 млн. тенге за счет
средств, выделяемых Министерству образования и
науки по программе 30 "Фундаментальные и прикладные
научные исследования" (подпрограмма 30 "Проведение
фундаментальных и прикладных научных
исследований"), и 20 млн. тенге за счет средств,
выделяемых Министерству энергетики и минеральных
ресурсов по программе 41 "Прикладные научные
исследования технологического характера". Ежегодные
объемы уточняются в соответствии с объемами,
предусматриваемыми в республиканском бюджете по
соответствующей бюджетной программе
Сроки реализации 2001-2003 годы
Государственные Министерство образования и науки, Министерство
заказчики - энергетики и минеральных ресурсов
администраторы
программы
2. Введение
Основанием для разработки являются: послание Президента страны народу Казахстана K972030_ "Казахстан-2030", раздел Долгосрочный приоритет 1 "Национальная безопасность"; Концепция информационной безопасности Республики Казахстан, утвержденная Советом Безопасности Республики Казахстан 19 марта 1999 года; Указ Президента Республики Казахстан от 14 марта 2000 года N 359 U000359_ "О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы".
Программа проведения научных исследований и технических разработок в области защиты информации (далее - Программа) разработана в соответствии с Планом мероприятий по реализации Государственной программы обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы и на основе предложений заинтересованных министерств и ведомств республики.
В современном мире развитая информационная инфраструктура определяет нормальное функционирование национальной экономики. Информационные ресурсы являются важной основой экономической, военной и политической мощи государства. Поэтому защита информации остается важнейшей сферой деятельности государства.
Совершенствование и укрепление национальной системы защиты информации, в том числе государственных информационных ресурсов, является основой для обеспечения информационной безопасности. Недостаточная защищенность государственных информационных ресурсов может привести к невосполнимой потере важной политической, экономической, научно-технической информации. Современные информационные системы должны иметь эффективную защиту информационной среды и информационного пространства, исключающую угрозы национальной безопасности.
3. Анализ современного состояния проблемы
В условиях широкого распространения новых компьютерных систем с применением средств телекоммуникаций, современных информационных технологий, обеспечивающих накопление, обработку и передачу больших объемов информации различного уровня конфиденциальности, резко повышаются требования к обеспечению ее защиты от несанкционированного (преднамеренного и непреднамеренного) доступа. Весьма значительны трудоемкость и стоимость разработки и применения мероприятий, процедур и средств обеспечения безопасности информационных ресурсов.
До настоящего времени в республике используются морально и физически устаревшие средства защиты информации еще советского производства, техническое обслуживание которых зачастую невозможно из-за отсутствия необходимой конструкторской и технологической документации. Поставляемые в последнее время технические средства защиты иностранного производства зачастую не укомплектованы схемотехническими документами, что затрудняет их эксплуатацию и делает невозможным проведение регламентных работ. При этом каждое техническое средство иностранного производства, несмотря на наличие сертификатов безопасности, выданных за рубежом, перед установкой проверяется на предмет соответствия техническим характеристикам и отсутствия устройств, преднамеренно встроенных для несанкционированного съема информации. Эти работы, как и расходы на транспортировку, значительно увеличивают конечную стоимость технических средств защиты, приобретаемых за рубежом.
Основной проблемой, определяющей слабую защищенность существующих средств информатизации и информационных ресурсов от несанкционированного доступа в республике, является отсутствие единой государственной политики в области защиты информации. К проблемным вопросам относятся также:
отсутствие собственного производства средств обработки, хранения и распространения информации, средств защиты информации;
низкий уровень мониторинга по видам, методам, средствам и тактико-техническим характеристикам средств информационной защиты, используемых в республике;
объективный анализ возможностей технических разведок;
недостаточность целевых научно-исследовательских и опытно-конструкторских работ в области создания национальной системы технических средств защиты информации.
Такое состояние дел представляет серьезную угрозу информационной безопасности государства.
Решению проблемы будет способствовать комплексная целевая программа, предусматривающая проведение научных исследований и технических разработок в области защиты информации.
Анализ исследований, посвященных проблеме защиты информации в компьютерных системах, показывает, что важным условием эффективного ее решения является комплексный подход, учитывающий основные этапы процессов обработки, хранения и передачи информации и обеспечивающий выбор методов и средств защиты в соответствии с заданными критериями.
При разработке мероприятий и процедур обеспечения безопасности информационных ресурсов должны учитываться следующие основные факторы: уровень секретности информации; полномочия различных категорий пользователей; специфика потенциальных каналов утечки информации; характеристики средств защиты и целесообразность использования известных средств защиты или разработки оригинальных.
Анализ показал, что для обеспечения безопасности государственных информационных ресурсов на настоящий момент необходимо оснастить техническими средствами защиты более 2000 объектов, в которых циркулирует конфиденциальная информация. Решение должно заключаться в обеспечении государственных организаций, проводящих работы с информацией высокой степени конфиденциальности, программно-техническими средствами защиты информации отечественного производства.
Организация отечественного производства средств защиты информации, осуществленная на основе отечественной научно-методической и технологической базы, позволит не только обеспечить потребность в них, но существенным образом уменьшит затраты на организацию технического и регламентного обслуживания в силу наличия отечественных схемотехнических и конструкторских материалов и, как результат, обеспечит значительную экономию бюджетных средств при одновременной организации дополнительных рабочих мест.
4. Цель и задачи Программы
Целью Программы является:
научное обоснование оценки необходимой степени защищенности в зависимости от уровня конфиденциальности информации и технических характеристик объекта защиты;
разработка методик и технических средств для выявления наиболее вероятных каналов несанкционированного доступа к защищаемой информации, а также методов и технических средств закрытия или ослабления таких каналов;
разработка отечественных аппаратных, программных и аппаратно-программных средств защиты информации в соответствии с требованиями заказчика.
Для достижения указанной цели предусматривается проведение научных исследований, опытно-конструкторских работ и формирование научно-технической базы для обеспечения выпуска и технического сопровождения отечественных аппаратных, программных и аппаратно-программных средств защиты информации.
Реализация Программы направлена на решение следующих задач:
создание нормативно-методической базы по защите информации;
формирование национальной системы стандартов защиты информации;
проведение научных исследований по оценке наиболее вероятных видов угроз защищаемой информации и определение наиболее оптимальных способов противодействия;
выбор перспективных направлений развития отечественных методов и средств обеспечения информационной безопасности, осуществление технических разработок в области защиты информации;
формирование единой технической политики по защите информации.
5. Основные направления и механизм реализации Программы
1. Создание нормативно-методической базы по защите информации:
1) анализ существующих документов в области защиты информации и выработка рекомендаций по их совершенствованию с учетом основных тенденций развития средств и способов съема информации, а также средств и способов противодействия им;
2) разработка проектов стандартов, норм эффективности защиты технических средств и помещений по всем возможным каналам утечки информации и методик по защите информации;
3) разработка методик проверки соответствия объектов защиты нормам эффективности защиты технических средств и помещений по всем каналам утечки информации.
2. Проведение научно-исследовательских работ в области защиты информации:
1) разработка принципов вхождения национальных и корпоративных информационных и телекоммуникационных сетей в глобальные информационные сети с позиции защиты национальных информационных ресурсов и информационной инфраструктуры;
2) классификация и критерии защиты технических средств от несанкционированного доступа к информации. Комплексные исследования возможных каналов утечки информации для защищаемых объектов, а также для отдельных средств обработки электронной информации и сетевых систем;
3) выбор наиболее эффективных методов и средств по ослаблению или закрытию каналов утечки информации;
4) разработка методов исследования наличия и противодействия потенциальным угрозам информации в операционных системах и прикладных программных продуктах общего пользования.
3. Проведение опытно-конструкторских работ по разработке аппаратных и программных средств защиты информации с изготовлением опытных образцов и их аттестация:
1) разработка и апробация прикладного программного обеспечения для защиты информации;
2) разработка и создание опытных образцов технических средств защиты информации, в том числе аппаратных средств противодействия намеренному силовому воздействию на средства электронной обработки информации, а также средств по обеспечению контроля эффективности защиты информации;
3) разработка аппаратно-программных комплексов противодействия техническим разведкам;
4) разработка и создание основ отечественных средств криптографической защиты информации с учетом основных тенденций развития криптографического анализа.
4. Научно-методическое обеспечение процессов проведения аттестации и сертификации средств защиты информации:
1) разработка научно обоснованных методик аттестации и сертификации по требуемым уровням защищенности средств обработки, передачи, приема и хранения информации, а также объектов защиты;
2) организация технического сопровождения средств защиты информации, в том числе аппаратуры криптографической защиты.
Реализация Программы осуществляется на основе государственного заказа на выполнение проектов, соответствующих заданиям конечных потребителей научно-технической продукции и прошедших конкурсный отбор.
При этом администраторы Программы обеспечивают:
Министерство образования и науки - работы по созданию нормативно-методической базы по защите информации и проведение научно-исследовательских работ в области защиты информации;
Министерство энергетики и минеральных ресурсов - проведение опытно-конструкторских работ по разработке аппаратных и программных средств защиты информации с изготовлением опытных образцов, научно-методическое сопровождение процессов проведения аттестации и сертификации средств защиты информации.
Основными этапами работ являются:
проведение администраторами Программы конкурсов на выполнение заданий Программы с обязательной государственной экспертизой и определение на конкурсной основе головных организаций;
формирование администраторами развернутых вариантов Программы по соответствующим направлениям;
координация выполнения заданий Программы и текущий контроль;
подготовка промежуточных и итогового отчетов;
государственная приемка результатов.
6. Необходимые ресурсы и источники финансирования
Финансирование Программы осуществляется за счет и в пределах средств, предусматриваемых администраторам Программы в республиканском бюджете на научные исследования. Необходимый объем финансирования Программы из бюджета на 2001-2003 годы составляет 120 млн. тенге, в том числе на 2001 год - 40 млн. тенге, из них 20 млн. тенге за счет средств, выделяемых Министерству образования и науки по программе 30 "Фундаментальные и прикладные научные исследования" (подпрограмма 30 "Проведение фундаментальных и прикладных научных исследований"), и 20 млн. тенге за счет средств, выделяемых Министерству энергетики и минеральных ресурсов по программе 41 "Прикладные научные исследования технологического характера". Ежегодные объемы уточняются в соответствии с объемами, предусматриваемыми в республиканском бюджете по соответствующей бюджетной программе.
7. Ожидаемые результаты от реализации Программы
Ожидаемыми результатами выполнения Программы являются:
нормативно-методическая база по защите информации;
национальная система стандартов защиты информации;
рекомендации по оценке наиболее вероятных видов угроз защищаемой информации и определению наиболее оптимальных способов противодействия;
перспективные направления развития отечественных методов и средств обеспечения информационной безопасности;
технические разработки и опытная эксплуатация аппаратных, программных и аппаратно-программных систем и средств защиты информации, а также технических средств контроля состояния ее защищенности.
8. План мероприятий по реализации Программы
___________________________________________________________________________
N ! Мероприятия !Форма завершения!Ответственные за! Срок
пп ! ! ! исполнение ! исполнения
___!_______________________!________________!________________!_____________
Организационные мероприятия
___________________________________________________________________________
1 Сформировать конкурсные Приказы минис- Администраторы 2 квартал
комиссии по отбору терств - Программы 2001 года
проектов по соответст- администраторов
вующим направлениям Программы
Программы с привлече-
нием представителей
министерств и ведомств,
ответственных за испол-
нение пункта 4.1. Плана
мероприятий, утвержден-
ного Указом Президента
Республики Казахстан от
14 марта 2000 года N 359
2 Организовать и провести Приказы Администраторы 2 квартал
конкурсы по отбору министерств - Программы 2001 года
проектов по администрато-
соответствующим ров Программы,
направлениям Программы материалы
и определить головные конкурсных
организации комиссий
3 Сформировать раз- Приказы Администраторы 2 квартал
вернутые варианты министерств - Программы, 2001 года
Программы на 2001-2003 администраторов головные
годы по результатам Программы организации
конкурсного отбора
проектов
4 Обеспечить целевое Приказы Администраторы 2001-2003
финансирование министерств - Программы годы
Программы за счет и в администраторов
пределах средств, пре- Программы
дусматриваемых в рес-
публиканском бюджете
администраторам
Программы
5 Представление отчетов Отчет Головные Ежегодно 4
по реализации Программы организации, квартал
и их рассмотрение в администраторы
установленном порядке Программы
___________________________________________________________________________
Основные научно-технические задания
___________________________________________________________________________
6 Создание нормативно- Проекты Министерство 2001-2003
методической базы по стандартов по образования годы
защите информации защите и науки
информации,
методические
указания
7 Проведение научно- Рекомендации по Министерство 2001-2003
исследовательских оценке наиболее образования годы
работ в области вероятных видов и науки
защиты информации угроз защищаемой
информации и
определению
наиболее оптимальных
способов противо-
действия
8 Проведение опытно- Конструкторско- Министерство 2001-2003
конструкторских работ технологическая энергетики и годы
по разработке и программная минеральных
аппаратных и программ- документация. ресурсов
ных средств защиты Опытные образцы,
информации с изготовле- акты приемо-
нием опытных образцов и сдаточных
их аттестация испытаний.
Аттестаты
соответствия
9 Научно-методическое Методические Министерство 2001-2003
обеспечение процессов указания и энергетики и годы
проведения аттестации и другие минеральных
сертификация средств специальные ресурсов
защиты информации нормативные акты.
Свидетельства об
аттестации и
сертификации
изделий на соот-
ветствие нормам
по защите
информации
___________________________________________________________________________
(Специалисты: Мартина Н.А.,
Цай Л.Г.)
