Программа Правительства от 02.04.2001 N 433 "ПРОГРАММА ПРОВЕДЕНИЯ НАУЧНЫХ ИССЛЕДОВАНИЙ И ТЕХНИЧЕСКИХ РАЗРАБОТОК И ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ"
Утверждена постановлением Правительства Республики Казахстан от 2 апреля 2001 года N 433
1. Паспорт программы
Наименование
Программа проведения научных исследований и технических разработок в области защиты информации
Основание для разработки
Послание Президента страны народу Казахстана "Казахстан - 2030", раздел Долгосрочный приоритет 1 "Национальная безопасность";
Концепция информационной безопасности Республики Казахстан, утвержденная Советом Безопасности Республики Казахстан 19 марта 1999 года;
Указ Президента Республики Казахстан от 14 марта 2000 года N 359 "О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000 - 2003 годы"
Цель программы
Создание научно - методической и технологической основы для формирования и проведения единой технической политики по защите информации;
обоснование необходимой степени защищенности и технических характеристик объектов защиты;
разработка отечественных аппаратных, программных и аппаратно - программных средств защиты информации
Задачи программы
Создание нормативно - методической базы по защите информации;
формирование национальной системы стандартов защиты информации;
проведение научных исследований по оценке наиболее вероятных видов угроз защищаемой информации и определение наиболее оптимальных способов противодействия;
выбор перспективных направлений развития отечественных методов и средств обеспечения информационной безопасности, осуществление технических разработок в области защиты информации;
формирование единой технической политики по защите информации
Объем и источник финансирования
Финансирование Программы осуществляется за счет и в пределах средств, предусматриваемых администраторам Программы в республиканском бюджете на научные исследования. Необходимый объем финансирования Программы из бюджета на 2001 - 2003 годы составляет 120 млн. тенге, в том числе на 2001 год - 40 млн. тенге, из них 20 млн. тенге за счет средств, выделяемых Министерству образования и науки по программе 30 "Фундаментальные и прикладные научные исследования" (подпрограмма 30 "Проведение фундаментальных и прикладных научных исследований"), и 20 млн. тенге за счет средств, выделяемых Министерству энергетики и минеральных ресурсов по программе 41 "Прикладные научные исследования технологического характера". Ежегодные объемы уточняются в соответствии с объемами, предусматриваемыми в республиканском бюджете по соответствующей бюджетной программе
Сроки реализации
2001 - 2003 годы
Государственные заказчики - администраторы программы
Министерство образования и науки, Министерство энергетики и минеральных ресурсов
2. Введение
Основанием для разработки являются: послание Президента страны народу Казахстана "Казахстан - 2030", раздел Долгосрочный приоритет 1 "Национальная безопасность"; Концепция информационной безопасности Республики Казахстан, утвержденная Советом Безопасности Республики Казахстан 19 марта 1999 года; Указ Президента Республики Казахстан от 14 марта 2000 года N 359 "О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000 - 2003 годы".
Программа проведения научных исследований и технических разработок в области защиты информации (далее - Программа) разработана в соответствии с Планом мероприятий по реализации Государственной программы обеспечения информационной безопасности Республики Казахстан на 2000 - 2003 годы и на основе предложений заинтересованных министерств и ведомств республики.
В современном мире развитая информационная инфраструктура определяет нормальное функционирование национальной экономики. Информационные ресурсы являются важной основой экономической, военной и политической мощи государства. Поэтому защита информации остается важнейшей сферой деятельности государства.
Совершенствование и укрепление национальной системы защиты информации, в том числе государственных информационных ресурсов, является основой для обеспечения информационной безопасности. Недостаточная защищенность государственных информационных ресурсов может привести к невосполнимой потере важной политической, экономической, научно - технической информации. Современные информационные системы должны иметь эффективную защиту информационной среды и информационного пространства, исключающую угрозы национальной безопасности.
3. Анализ современного состояния проблемы
В условиях широкого распространения новых компьютерных систем с применением средств телекоммуникаций, современных информационных технологий, обеспечивающих накопление, обработку и передачу больших объемов информации различного уровня конфиденциальности, резко повышаются требования к обеспечению ее защиты от несанкционированного (преднамеренного и непреднамеренного) доступа. Весьма значительны трудоемкость и стоимость разработки и применения мероприятий, процедур и средств обеспечения безопасности информационных ресурсов.
До настоящего времени в республике используются морально и физически устаревшие средства защиты информации еще советского производства, техническое обслуживание которых зачастую невозможно из-за отсутствия необходимой конструкторской и технологической документации. Поставляемые в последнее время технические средства защиты иностранного производства зачастую не укомплектованы схемотехническими документами, что затрудняет их эксплуатацию и делает невозможным проведение регламентных работ. При этом каждое техническое средство иностранного производства, несмотря на наличие сертификатов безопасности, выданных за рубежом, перед установкой проверяется на предмет соответствия техническим характеристикам и отсутствия устройств, преднамеренно встроенных для несанкционированного съема информации. Эти работы, как и расходы на транспортировку, значительно увеличивают конечную стоимость технических средств защиты, приобретаемых за рубежом.
Основной проблемой, определяющей слабую защищенность существующих средств информатизации и информационных ресурсов от несанкционированного доступа в республике, является отсутствие единой государственной политики в области защиты информации. К проблемным вопросам относятся также:
отсутствие собственного производства средств обработки, хранения и распространения информации, средств защиты информации;
низкий уровень мониторинга по видам, методам, средствам и тактико - техническим характеристикам средств информационной защиты, используемых в республике;
объективный анализ возможностей технических разведок;
недостаточность целевых научно - исследовательских и опытно - конструкторских работ в области создания национальной системы технических средств защиты информации.
Такое состояние дел представляет серьезную угрозу информационной безопасности государства.
Решению проблемы будет способствовать комплексная целевая программа, предусматривающая проведение научных исследований и технических разработок в области защиты информации.
Анализ исследований, посвященных проблеме защиты информации в компьютерных системах, показывает, что важным условием эффективного ее решения является комплексный подход, учитывающий основные этапы процессов обработки, хранения и передачи информации и обеспечивающий выбор методов и средств защиты в соответствии с заданными критериями.
При разработке мероприятий и процедур обеспечения безопасности информационных ресурсов должны учитываться следующие основные факторы: уровень секретности информации; полномочия различных категорий пользователей; специфика потенциальных каналов утечки информации; характеристики средств защиты и целесообразность использования известных средств защиты или разработки оригинальных.
Анализ показал, что для обеспечения безопасности государственных информационных ресурсов на настоящий момент необходимо оснастить техническими средствами защиты более 2000 объектов, в которых циркулирует конфиденциальная информация. Решение должно заключаться в обеспечении государственных организаций, проводящих работы с информацией высокой степени конфиденциальности, программно - техническими средствами защиты информации отечественного производства.
Организация отечественного производства средств зашиты информации, осуществленная на основе отечественной научно - методической и технологической базы, позволит не только обеспечить потребность в них, но существенным образом уменьшит затраты на организацию технического и регламентного обслуживания в силу наличия отечественных схемотехнических и конструкторских материалов и, как результат, обеспечит значительную экономию бюджетных средств при одновременной организации дополнительных рабочих мест.
4. Цель и задачи Программы
Целью Программы является:
научное обоснование оценки необходимой степени защищенности в зависимости от уровня конфиденциальности информации и технических характеристик объекта защиты;
разработка методик и технических средств для выявления наиболее вероятных каналов несанкционированного доступа к защищаемой информации, а также методов и технических средств закрытия или ослабления таких каналов;
разработка отечественных аппаратных, программных и аппаратно - программных средств защиты информации в соответствии с требованиями заказчика.
Для достижения указанной цели предусматривается проведение научных исследований, опытно - конструкторских работ и формирование научно - технической базы для обеспечения выпуска и технического сопровождения отечественных аппаратных, программных и аппаратно - программных средств защиты информации.
Реализация Программы направлена на решение следующих задач:
создание нормативно - методической базы по защите информации;
формирование национальной системы стандартов защиты информации;
проведение научных исследований по оценке наиболее вероятных видов угроз защищаемой информации и определение наиболее оптимальных способов противодействия;
выбор перспективных направлений развития отечественных методов и средств обеспечения информационной безопасности, осуществление технических разработок в области защиты информации;
формирование единой технической политики по защите информации.
5. Основные направления и механизм реализации Программы
1. Создание нормативно - методической базы по защите информации:
1) анализ существующих документов в области защиты информации и выработка рекомендаций по их совершенствованию с учетом основных тенденций развития средств и способов съема информации, а также средств и способов противодействия им;
2) разработка проектов стандартов, норм эффективности защиты технических средств и помещений по всем возможным каналам утечки информации и методик по защите информации;
3) разработка методик проверки соответствия объектов защиты нормам эффективности защиты технических средств и помещений по всем каналам утечки информации.
2. Проведение научно - исследовательских работ в области защиты информации:
1) разработка принципов вхождения национальных и корпоративных информационных и телекоммуникационных сетей в глобальные информационные сети с позиции защиты национальных информационных ресурсов и информационной инфраструктуры;
2) классификация и критерии защиты технических средств от несанкционированного доступа к информации. Комплексные исследования возможных каналов утечки информации для защищаемых объектов, а также для отдельных средств обработки электронной информации и сетевых систем;
3) выбор наиболее эффективных методов и средств по ослаблению или закрытию каналов утечки информации;
4) разработка методов исследования наличия и противодействия потенциальным угрозам информации в операционных системах и прикладных программных продуктах общего пользования.
3. Проведение опытно - конструкторских работ по разработке аппаратных и программных средств защиты информации с изготовлением опытных образцов и их аттестация:
1) разработка и апробация прикладного программного обеспечения для защиты информации;
2) разработка и создание опытных образцов технических средств защиты информации, в том числе аппаратных средств противодействия намеренному силовому воздействию на средства электронной обработки информации, а также средств по обеспечению контроля эффективности защиты информации;
3) разработка аппаратно - программных комплексов противодействия техническим разведкам;
4) разработка и создание основ отечественных средств криптографической защиты информации с учетом основных тенденций развития криптографического анализа.
4. Научно - методическое обеспечение процессов проведения аттестации и сертификации средств защиты информации:
1) разработка научно обоснованных методик аттестации и сертификации по требуемым уровням защищенности средств обработки, передачи, приема и хранения информации, а также объектов защиты;
2) организация технического сопровождения средств защиты информации, в том числе аппаратуры криптографической защиты.
Реализация Программы осуществляется на основе государственного заказа на выполнение проектов, соответствующих заданиям конечных потребителей научно - технической продукции и прошедших конкурсный отбор.
При этом администраторы Программы обеспечивают:
Министерство образования и науки - работы по созданию нормативно - методической базы по защите информации и проведение научно - исследовательских работ в области защиты информации;
Министерство энергетики и минеральных ресурсов - проведение опытно - конструкторских работ по разработке аппаратных и программных средств защиты информации с изготовлением опытных образцов, научно - методическое сопровождение процессов проведения аттестации и сертификации средств защиты информации.
Основными этапами работ являются:
проведение администраторами Программы конкурсов на выполнение заданий Программы с обязательной государственной экспертизой и определение на конкурсной основе головных организаций;
формирование администраторами развернутых вариантов Программы по соответствующим направлениям;
координация выполнения заданий Программы и текущий контроль;
подготовка промежуточных и итогового отчетов;
государственная приемка результатов.
6. Необходимые ресурсы и источники финансирования
Финансирование Программы осуществляется за счет и в пределах средств, предусматриваемых администраторам Программы в республиканском бюджете на научные исследования. Необходимый объем финансирования Программы из бюджета на 2001 - 2003 годы составляет 120 млн. тенге, в том числе на 2001 год - 40 млн. тенге, из них 20 млн. тенге за счет средств, выделяемых Министерству образования и науки по программе 30 "Фундаментальные и прикладные научные исследования" (подпрограмма 30 "Проведение фундаментальных и прикладных научных исследований"), и 20 млн. тенге за счет средств, выделяемых Министерству энергетики и минеральных ресурсов по программе 41 "Прикладные научные исследования технологического характера". Ежегодные объемы уточняются в соответствии с объемами, предусматриваемыми в республиканском бюджете по соответствующей бюджетной программе.
7. Ожидаемые результаты от реализации Программы
Ожидаемыми результатами выполнения Программы являются:
нормативно - методическая база по защите информации;
национальная система стандартов защиты информации;
рекомендации по оценке наиболее вероятных видов угроз защищаемой информации и определению наиболее оптимальных способов противодействия;
перспективные направления развития отечественных методов и средств обеспечения информационной безопасности;
технические разработки и опытная эксплуатация аппаратных, программных и аппаратно - программных систем и средств защиты информации, а также технических средств контроля состояния ее защищенности.
8. План мероприятий по реализации Программы
--T-----------------------T---------------T-------------T---------¬ ¦N¦Мероприятия ¦Форма завершен.¦Ответственные¦Срок ¦ ¦п¦ ¦ ¦за исполнение¦исполнени¦ +-+-----------------------+---------------+-------------+---------+ ¦ ¦Организационные ¦ ¦ ¦ ¦ ¦ ¦мероприятия ¦ ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦1¦Сформировать конкурсные¦Приказы ¦Администратор¦2 квартал¦ ¦ ¦комиссии по отбору ¦министерств - ¦Программы ¦2001 года¦ ¦ ¦проектов по ¦администраторов¦ ¦ ¦ ¦ ¦соответствующим ¦Программы ¦ ¦ ¦ ¦ ¦направлениям Программы ¦ ¦ ¦ ¦ ¦ ¦с привлечением ¦ ¦ ¦ ¦ ¦ ¦представителей ¦ ¦ ¦ ¦ ¦ ¦министерств и ведомств,¦ ¦ ¦ ¦ ¦ ¦ответственных за ¦ ¦ ¦ ¦ ¦ ¦исполнение пункта 4.1. ¦ ¦ ¦ ¦ ¦ ¦Плана мероприятий, ¦ ¦ ¦ ¦ ¦ ¦утвержденного Указом ¦ ¦ ¦ ¦ ¦ ¦Президента Республики ¦ ¦ ¦ ¦ ¦ ¦Казахстан от 14 марта ¦ ¦ ¦ ¦ ¦ ¦2000 года N 359 ¦ ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦2¦Организовать и провести¦Приказы ¦Администратор¦2 квартал¦ ¦ ¦конкурсы по отбору ¦министерств - ¦Программы ¦2001 года¦ ¦ ¦проектов по ¦администраторов¦ ¦ ¦ ¦ ¦соответствующим ¦Программы, ¦ ¦ ¦ ¦ ¦направлениям Программы ¦материалы ¦ ¦ ¦ ¦ ¦и определить головные ¦конкурсных ¦ ¦ ¦ ¦ ¦организации ¦комиссий ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦3¦Сформировать ¦Приказы ¦Администратор¦2 квартал¦ ¦ ¦развернутые варианты ¦министерств - ¦Программы, ¦2001 года¦ ¦ ¦Программы на 2001 - ¦администраторов¦головные ¦ ¦ ¦ ¦2003 годы по ¦Программы ¦организации ¦ ¦ ¦ ¦результатам конкурсного¦ ¦ ¦ ¦ ¦ ¦отбора проектов ¦ ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦4¦Обеспечить целевое ¦Приказы ¦Администратор¦2001 - ¦ ¦ ¦финансирование ¦министерств - ¦Программы ¦2003 годы¦ ¦ ¦Программы за счет и в ¦администраторов¦ ¦ ¦ ¦ ¦пределах средств, ¦Программы ¦ ¦ ¦ ¦ ¦предусматриваемых в ¦ ¦ ¦ ¦ ¦ ¦республиканском бюджете¦ ¦ ¦ ¦ ¦ ¦администраторам ¦ ¦ ¦ ¦ ¦ ¦Программы ¦ ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦5¦Представление отчетов ¦Отчет ¦Головные ¦Ежегодно ¦ ¦ ¦по реализации Программы¦ ¦организации, ¦4 квартал¦ ¦ ¦и их рассмотрение в ¦ ¦администратор¦ ¦ ¦ ¦установленном порядке ¦ ¦Программы ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦ ¦Основные научно - ¦ ¦ ¦ ¦ ¦ ¦технические задания ¦ ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦6¦Создание нормативно - ¦Проекты ¦Министерство ¦2001 - ¦ ¦ ¦методической базы по ¦стандартов по ¦образования ¦2003 годы¦ ¦ ¦защите информации ¦защите ¦и науки ¦ ¦ ¦ ¦ ¦информации, ¦ ¦ ¦ ¦ ¦ ¦методические ¦ ¦ ¦ ¦ ¦ ¦указания ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦7¦Проведение научно - ¦Рекомендации по¦Министерство ¦2001 - ¦ ¦ ¦исследовательских работ¦оценке наиболее¦образования ¦2003 годы¦ ¦ ¦в области защиты ¦вероятных видов¦и науки ¦ ¦ ¦ ¦информации ¦угроз защищаемо¦ ¦ ¦ ¦ ¦ ¦информации и ¦ ¦ ¦ ¦ ¦ ¦определению ¦ ¦ ¦ ¦ ¦ ¦наиболее ¦ ¦ ¦ ¦ ¦ ¦оптимальных ¦ ¦ ¦ ¦ ¦ ¦способов ¦ ¦ ¦ ¦ ¦ ¦противодействия¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦8¦Проведение опытно - ¦Конструкторско ¦Министерство ¦2001 - ¦ ¦ ¦конструкторских работ ¦технологическая¦энергетики и ¦2003 годы¦ ¦ ¦по разработке ¦и программная ¦минеральных ¦ ¦ ¦ ¦аппаратных и ¦документация. ¦ресурсов ¦ ¦ ¦ ¦программных средств ¦Опытные образцы¦ ¦ ¦ ¦ ¦защиты информации с ¦акты приемо - ¦ ¦ ¦ ¦ ¦изготовлением опытных ¦сдаточных ¦ ¦ ¦ ¦ ¦образцов и их ¦испытаний. ¦ ¦ ¦ ¦ ¦аттестация ¦Аттестаты ¦ ¦ ¦ ¦ ¦ ¦соответствия ¦ ¦ ¦ +-+-----------------------+---------------+-------------+---------+ ¦9¦Научно - методическое ¦Методические ¦Министерство ¦2001 - ¦ ¦ ¦обеспечение процессов ¦указания и ¦энергетики и ¦2003 годы¦ ¦ ¦проведения аттестации и¦другие ¦минеральных ¦ ¦ ¦ ¦сертификация средств ¦специальные ¦ресурсов ¦ ¦ ¦ ¦защиты информации ¦нормативные ¦ ¦ ¦ ¦ ¦ ¦акты. ¦ ¦ ¦ ¦ ¦ ¦Свидетельства о¦ ¦ ¦ ¦ ¦ ¦аттестации и ¦ ¦ ¦ ¦ ¦ ¦сертификации ¦ ¦ ¦ ¦ ¦ ¦изделий на ¦ ¦ ¦ ¦ ¦ ¦соответствие ¦ ¦ ¦ ¦ ¦ ¦нормам по защит¦ ¦ ¦ ¦ ¦ ¦информации ¦ ¦ ¦ L-+-----------------------+---------------+-------------+----------
