kiev-security.org.ua-Организационно-правовые вопросы.Проблемы обеспечения информационной безопасности в системе высшей школы

Выступление на семинаре проректоров вузов по безопасности 11.09.95г. Уважаемые участники семинара! Мы вас пригласили для обсуждения такой важной проблемы как обеспечение информационной безопасности в системе нашей высшей школы и согласования основных направлений нашей практической деятельности. В ходе семинара все основные вопросы вы будете обсуждать с высококвалифицированными специалистами по информационной беэопасности, которые привлечены к работе семинара. В своем же выступлении я лишь акцентирую внимание на актуальности рассматриваемых проблем и на тех задачах, которые мы непременно должны решить с тем, чтобы зти проблемы в системе нашей высшей школы решались высокоэффективно и в стро- 15 гом соответствии с требованиями законов и других руководящих документов. Прежде всего о том, почему мы придаем такое большое значение проблемам информационной безопасности. Казалось бы, что поскольку во всех тех вузах, которые имеют дело с закрытой информацией и режимными работами, учреждены специальные службы и сформированы соответствующие подразделения, то и решение задач безопасности информации обеспечено. Вообще говоря, это так, но лишь отчасти, поскольку зто решение вчерашнего дня. В последнее же время произошли такие изменения, которые, с одной сторони, настоятельно требуют существенного изменения самого взгляда на проблемы безопасности и качественного совершенствования способов, методов и средств ее обеспечения, а с другой - для решения указанных задач к настоящему времени созданы необходимые обьективные предпосылки. Назову те основные изменения, которые предопределяют обьективную необходимость нового подхода к решению проблем безопасности. Первое и, пожалуй, наиболее существенное обстоятельство связано с теми изменениями, которые в последние годы произошли в нашей стране. Причем хотелось бы выделить здесь два аспекта. Первый - в связи с резкими изменениями форм собственности существенно изменяется само понятие безопасности информации: если раньше защите подлежали преимущественно государственные и военные секреты, то сейчас наряду с этим защите подлежат тайны коммерческие, промышленные, банковские и некоторые другие; защищать надо авторское право и право собственности на информацию; возникает необходимость защиты конфиденциальной и персональной информации и т.п. Второй аспект, связанный с изменениями в стране, заключается в том, что сделав наше общество весьма открытым, мы 3 тем самым создали благоприятные условия а для деятельности спецслужб иностранных государств и разного рода внутренних злоЕ умышленников. Принципиальное значение с точки зрения актуальности обсуждаемых нами проблем имеет также всеобщая компьютеризация, охватившая практически все сферы общественной деательности, в том числе и высшую школу. С точки зрения организации и обеспечения безопасности это обстоятельство порождает, по меньшей мере, четыре относи- ] тельно новые задачи. Во-первых, все большие массивы информации хранятся на машинных носителях в нетрадиционной форме и обрабатываются по электронной технологии. При этом, как известно, порождается большое количество каналов, которыми может воспользоваться злоумышленник, а перекрытие этих каналов требует сугубо специфических знаний и навыков. Во-вторых в связи с массовым распространением ЭВМ интенсивно идет процесс слияния традиционных и автоматизированных технологий обработки информации. Отсюда возникает принципиально новая задача - обеспечение безопасности информации в интегрированных информационных технологиях. Имеющийся опыт дает основания утверждать, что эта эадача далеко не простая, а в ее решении большая роль принадлежит руководителям служб безопасности, в том числе, естественно, и вам, уважаемые участники семинара. Весьма серьезной, в-третьих, представлается задача, возникающая в связи с тем, нто персональные ЭВМ используют многие специалисты, не имеющие профессиональных знаний по вопросам защиты информации. Нет необходимости доказывать, что в решении и этой задачи решающая роль принадлежит руководителям служб безопасности. Наэовем, в-четвертых, и такую задачу как предупреждение хищения технических средств вычислительной техники, что, к стыду нашему, приняло достаточно распространенный характер. Говоря об актуальности проблем информационной безопасности, нельзя не обратить внимания и на такое обстоятельство. Как известно, в настоящее время наша страна буквально наводнена средствами вычислительной техники иностранного производства. Положительным здесь является то, что мы получили в свое распоряжение достаточно совершенные (хотя и не самые новые, которые нам наши зарубежные "друзья" по-прежнему не дают) средства обработки информации. Но есть здесь и весьма настораживающие моменты. Я не буду говорить о том, что массовый импорт вычислительной техники, мягко говоря, не способствует развитию отечественной электронной промышленности. Это - предмет самостоятельного разговора. К теме нашего семинара прямое отношение имеет тот общепризнанный и строго доказанный факт, что благодаря достижениям микроэлектроники и техники программирования открылись широкие возможности злоумышленного включения в состав средств вычислительной техники вредоносных аппаратных и программных закладок, получивших название электронных вирусов, бомб, троянских коней и т.п. Обнаружить и обезвредить такие закладки подчас очень сложно, причем сделать это могут только специалисты высочайшей квалификации, а вред от их воздействиа может быть очень большой. Например, в один момент техника по команде извне может выйти иэ строя (так произошло с автоматизированной системой управления средствами ПВО Ирака во время войны в Персидском заливе), информация, находящаяся в ЭВМ может бесконтрольно уничтожаться или искажаться, обрабатываемая информация несанкционированно может фиксироваться и выдаваться злоумышленнику. Данная проблема актуальна также и для вузов, хотелось бы надемться, что вы, руководители служб безопасности вузов, в своей работе будете уделять ей должное внимание. Можно еще привести целый ряд обстоятельств, аргументирующих актуальность вынесенных на обсуждение нашего семинара проблем информационной безопасности, но, думаю, сказано достаточно. Но применительно к вузам представляется целесообразным обратить внимание на следующий аспект информационной безопасности, выходящий за рамки общераспространенного представления о проблеме. Давно известно, а к настоящему времени строго научно доказано, что информация может оказывать очень большое влияние на мировоззрение, психоэмоциональное состояние и поведение не только отдельно взятых индивидуумов, но и коллективов людей и даже общество в целом, а при современном состоянии средств массовой информации открываются практически неограниченные возможности информационного воздействия в глобальном масштабе. Мы с вами имеем дело с большими коллективами молодых людей, особенно поддающихся такому воздействию, поэтому игнорировать данную проблему не имеем права. Проблема зта не только очень сложная, но и весьма деликатная, поскольку речь идет о целенаправленном вмешательстве во внутренний мир человека. К сожалению, она не только в практическом, но и в теоретическом плане разработана крайне слабо. Думается, что вузовская наука должна включить данные аспекты проблемы информационной безопасности в сферу своего пристального внимания. В частности, в межвузовской программе по проблемам информационной безопасности (о ней речь пойдет несколько ниже), может быть, следует выделить самостоятельное направление исследований. Обратимся теперь к вопросу о путях решения проблем информационной безопасности. Само собою разумеется, что при такой их важности, сложности и острой актуальности для эффективного решения абсолютно необходим прочный и достаточно развитый научно-методологический базис. Учитывая это обстоятельство, Госкомвуз еще в 1992 г. включил в план научных работ межвузовскую программу " Методы и технические средства обеспечения безопасности информации ". Программой предусмотрено проведение исследований в широком диапазоне проблем от формирования целостной теории защиты информации до поиска перспективных методов и средств решения соответствующих задач. К проведению исследований по программе привлечен ряд ведущих вузов страны: МИФИ, Санкт-Петербургский технический университет, Российский государственный гуманитарный университет, Московские энергетический и авиационный институты и другие. К настоящему времени уже получены важные результаты; исследования по программе будут продолжены. В целях аккумулирования, систематизации и распространения достижений в области безопасности информации в МИФИ создана лаборатория Госкомвуза России соответствующего профиля, которая будет оказывать помощь заинтересованным вузам в организации соответствующих работ. На семинаре вы познакомитесь с зтой лабораторией и ее возможностями. Большое значение для повышения эффективносги работ по обеспечению безопасности имеет регулярный обмен опытом как практического решения соответствующих задач, так и теоретических исследований. В этих целях начиная с 1993г. ежегодно проводятся конференции по безопасности информации. В этом году такая конференция будет проходить в Санкт-Петербургском техническом университете в октябре месяце. Рекомендую принять в ней активное участие. Всяческого одобрения заслуживают инициативы хозяина нашего семинара - Московского государственного инженерно-физического института (технического университета), организовавшего ежеквартальные семинары по проблемам безопасности информации и издание журнала "Безопасность информационных технологий". Вам розданы вышедшие номера журнала, и вы можете убедится в многоаспектности его тематики и высоком уровне публикуемых материалов. В журнале достаточно оперативно публикуются материалы конференций, семинаров и других проводимых мероприятий по соответствующей тематике. Кстати, в одном из очередных номеров журнала будут опубликованы материалы нашего семинара. Настоятельно рекомендую подписаться на нем. Несколько слов о вопросах кадрового обеспечения решения проблем информационной безопасности. Организация зтих работ и подлежащие решению зщачи настолько сложны и специфичны, что требуют для своего решения глубоких профессиональных знаний. Исходя из этом, в системе высшей школы организована подготовка кадров соответствующего профиля и по нескольким специализациям. Такая подготовка ведется в МИФИ, Российском государственном гуманитарном, Санкт-Петербургском техническом и Пензенском государственном университетах. Подготовка необходимых специалистов будет расширяться и совершенствоваться, а в целях обеспечения научно-технического единства МИФИ определен головным вузом, на него и возложены соответствующие обязанности. Но говоря о кадровом обеспечении информационной безопасности, хотелось бы особо остановимся на следующем весьма важном вопросе. Совершенно очевидно, что эффективные системы безопасности могут создать только специалисты-профессионалы, и они должны это делать. Но очевидно также, что в обработке защищаемой информации участвует широкий круг специалистов самого различною профиля. Поскольку понятие информационной безопасности становится все более широким и многоаспектным, а технологии обработки информации все более автоматизируются, то практически всем специалистам необходим некоторый минимум знаний по информационной безопасности. Для зтого, видимо, целесообразно ввести соответствующий курс в учебные планы вузов. Некоторый опыт в этом деле уже есть. Так, в МИФИ 32-часовой курс по основам информационной безопасности читается для всех студентов, причем студенты проявляют к нему повышенный интерес. Собираются это делать и некоторые другие вузы. Думается, что данный вопрос заслуживает серьезного внимания, причем инициирующая роль несомненно должна принадлежать проректорам по безопасности, а МИФИ должен оказать помощь в разработке программы и в учебно методическом обеспечении занятий. Из всего скаэанного и вытекают те задачи, которые должны решаться вузовскими службами безопасности. Первое и главное - это сохранность государственных секретов. Второе и не менее важное- это организация контроля за передачей и хранением информации по техническим каналам. Третье - это обеспечение экономической беэопасности вуза. И наконец четвертое - это физическая защита объекта. Есть и другие задачи, которые вы должны решать внутри вуза. В заключение позвольте еще раз приветствовать вас - унастников семинара, поблагодарить хозяев за хорошую его организацию и пожелать вам плодотворной работы и всяческих успехов.

3. Проблемы обеспечения информационной безопасности в системе высшей школы