Об утверждении Программы проведения научных исследований и технических разработок в области защиты информации

Постановление Правительства Республики Казахстан от 2 апреля 2001 года N 433

Действующий

      В соответствии с Указом Президента Республики Казахстан от 14 марта 2000 года N 359  U000359_ "О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы" Правительство Республики Казахстан постановляет: 
 

      1. Утвердить прилагаемую Программу проведения научных исследований и технических разработок в области защиты информации. 
 

      2. Настоящее постановление вступает в силу со дня подписания. 

       Премьер-Министр
      Республики Казахстан

                                                      Утверждена
                                              постановлением Правительства
                                                  Республики Казахстан 
                                              от 2 апреля 2001 года N 433

              Программа проведения научных исследований 
     и технических разработок и области защиты информации

                         1. Паспорт программы

Наименование           Программа проведения научных исследований и
                       технических разработок в области защиты информации

Основание для          Послание Президента страны народу Казахстана
разработки               K972030_   "Казахстан-2030", раздел Долгосрочный
                       приоритет 1 "Национальная безопасность";
                       Концепция информационной безопасности Республики
                       Казахстан, утвержденная Советом Безопасности
                       Республики Казахстан 19 марта 1999 года;
                       Указ Президента Республики Казахстан от 14 марта
                       2000 года N 359   U000359_   "О Государственной
                       программе обеспечения информационной безопасности
                       Республики Казахстан на 2000-2003 годы"

Цель программы         Создание научно-методической и технологической
                       основы для формирования и проведения единой
                       технической политики по защите информации;
                       обоснование необходимой степени защищенности и
                       технических характеристик объектов защиты;
                       разработка отечественных аппаратных, программных и
                       аппаратно-программных средств защиты информации     

Задачи программы       Создание нормативно-методической базы по защите
                       информации;
                       формирование национальной системы стандартов защиты 
                       информации;
                       проведение научных исследований по оценке наиболее
                       вероятных видов угроз защищаемой информации и
                       определение наиболее оптимальных способов
                       противодействия;
                       выбор перспективных направлений развития
                       отечественных методов и средств обеспечения
                       информационной безопасности, осуществление
                       технических разработок в области защиты информации;
                       формирование единой технической политики по защите
                       информации

Объем и источник       Финансирование Программы осуществляется за счет и
финансирования         в пределах средств, предусматриваемых
                       администраторам Программы в республиканском бюджете
                       на научные исследования. Необходимый объем
                       финансирования Программы из бюджета на 2001-2003
                       годы составляет 120 млн. тенге, в том числе на 2001
                       год - 40 млн. тенге, из них 20 млн. тенге за счет
                       средств, выделяемых Министерству образования и
                       науки по программе 30 "Фундаментальные и прикладные
                       научные исследования" (подпрограмма 30 "Проведение
                       фундаментальных и прикладных научных
                       исследований"), и 20 млн. тенге за счет средств,
                       выделяемых Министерству энергетики и минеральных
                       ресурсов по программе 41 "Прикладные научные
                       исследования технологического характера". Ежегодные
                       объемы уточняются в соответствии с объемами,
                       предусматриваемыми в республиканском бюджете по
                       соответствующей бюджетной программе

Сроки реализации       2001-2003 годы

Государственные        Министерство образования и науки, Министерство
заказчики -            энергетики и минеральных ресурсов
администраторы 
программы

                             2. Введение

      Основанием для разработки являются: послание Президента страны народу Казахстана  K972030_ "Казахстан-2030", раздел Долгосрочный приоритет 1 "Национальная безопасность"; Концепция информационной безопасности Республики Казахстан, утвержденная Советом Безопасности Республики Казахстан 19 марта 1999 года; Указ Президента Республики Казахстан от 14 марта 2000 года N 359  U000359_ "О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы". 
      Программа проведения научных исследований и технических разработок в области защиты информации (далее - Программа) разработана в соответствии с Планом мероприятий по реализации Государственной программы обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы и на основе предложений заинтересованных министерств и ведомств республики. 
      В современном мире развитая информационная инфраструктура определяет нормальное функционирование национальной экономики. Информационные ресурсы являются важной основой экономической, военной и политической мощи государства. Поэтому защита информации остается важнейшей сферой деятельности государства. 
      Совершенствование и укрепление национальной системы защиты информации, в том числе государственных информационных ресурсов, является основой для обеспечения информационной безопасности. Недостаточная защищенность государственных информационных ресурсов может привести к невосполнимой потере важной политической, экономической, научно-технической информации. Современные информационные системы должны иметь эффективную защиту информационной среды и информационного пространства, исключающую угрозы национальной безопасности.

                  3. Анализ современного состояния проблемы
 
          В условиях широкого распространения новых компьютерных систем с применением средств телекоммуникаций, современных информационных технологий, обеспечивающих накопление, обработку и передачу больших объемов информации различного уровня конфиденциальности, резко повышаются требования к обеспечению ее защиты от несанкционированного (преднамеренного и непреднамеренного) доступа. Весьма значительны трудоемкость и стоимость разработки и применения мероприятий, процедур и средств обеспечения безопасности информационных ресурсов. 
      До настоящего времени в республике используются морально и физически устаревшие средства защиты информации еще советского производства, техническое обслуживание которых зачастую невозможно из-за отсутствия необходимой конструкторской и технологической документации. Поставляемые в последнее время технические средства защиты иностранного производства зачастую не укомплектованы схемотехническими документами, что затрудняет их эксплуатацию и делает невозможным проведение регламентных работ. При этом каждое техническое средство иностранного производства, несмотря на наличие сертификатов безопасности, выданных за рубежом, перед установкой проверяется на предмет соответствия техническим характеристикам и отсутствия устройств, преднамеренно встроенных для несанкционированного съема информации. Эти работы, как и расходы на транспортировку, значительно увеличивают конечную стоимость технических средств защиты, приобретаемых за рубежом. 
      Основной проблемой, определяющей слабую защищенность существующих средств информатизации и информационных ресурсов от несанкционированного доступа в республике, является отсутствие единой государственной политики в области защиты информации. К проблемным вопросам относятся также: 
      отсутствие собственного производства средств обработки, хранения и распространения информации, средств защиты информации; 
      низкий уровень мониторинга по видам, методам, средствам и тактико-техническим характеристикам средств информационной защиты, используемых в республике; 
      объективный анализ возможностей технических разведок; 
      недостаточность целевых научно-исследовательских и опытно-конструкторских работ в области создания национальной системы технических средств защиты информации. 
      Такое состояние дел представляет серьезную угрозу информационной безопасности государства. 
      Решению проблемы будет способствовать комплексная целевая программа, предусматривающая проведение научных исследований и технических разработок в области защиты информации. 
      Анализ исследований, посвященных проблеме защиты информации в компьютерных системах, показывает, что важным условием эффективного ее решения является комплексный подход, учитывающий основные этапы процессов обработки, хранения и передачи информации и обеспечивающий выбор методов и средств защиты в соответствии с заданными критериями. 
      При разработке мероприятий и процедур обеспечения безопасности информационных ресурсов должны учитываться следующие основные факторы: уровень секретности информации; полномочия различных категорий пользователей; специфика потенциальных каналов утечки информации; характеристики средств защиты и целесообразность использования известных средств защиты или разработки оригинальных. 
      Анализ показал, что для обеспечения безопасности государственных информационных ресурсов на настоящий момент необходимо оснастить техническими средствами защиты более 2000 объектов, в которых циркулирует конфиденциальная информация. Решение должно заключаться в обеспечении государственных организаций, проводящих работы с информацией высокой степени конфиденциальности, программно-техническими средствами защиты информации отечественного производства. 
      Организация отечественного производства средств защиты информации, осуществленная на основе отечественной научно-методической и технологической базы, позволит не только обеспечить потребность в них, но существенным образом уменьшит затраты на организацию технического и регламентного обслуживания в силу наличия отечественных схемотехнических и конструкторских материалов и, как результат, обеспечит значительную экономию бюджетных средств при одновременной организации дополнительных рабочих мест. 

                          4. Цель и задачи Программы
 
          Целью Программы является: 
      научное обоснование оценки необходимой степени защищенности в зависимости от уровня конфиденциальности информации и технических характеристик объекта защиты; 
      разработка методик и технических средств для выявления наиболее вероятных каналов несанкционированного доступа к защищаемой информации, а также методов и технических средств закрытия или ослабления таких каналов; 
      разработка отечественных аппаратных, программных и аппаратно-программных средств защиты информации в соответствии с требованиями заказчика. 
      Для достижения указанной цели предусматривается проведение научных исследований, опытно-конструкторских работ и формирование научно-технической базы для обеспечения выпуска и технического сопровождения отечественных аппаратных, программных и аппаратно-программных средств защиты информации. 
      Реализация Программы направлена на решение следующих задач: 
      создание нормативно-методической базы по защите информации; 
      формирование национальной системы стандартов защиты информации; 
      проведение научных исследований по оценке наиболее вероятных видов угроз защищаемой информации и определение наиболее оптимальных способов противодействия; 
      выбор перспективных направлений развития отечественных методов и средств обеспечения информационной безопасности, осуществление технических разработок в области защиты информации; 
      формирование единой технической политики по защите информации. 
 
 

                 5. Основные направления и механизм реализации Программы
 
          1. Создание нормативно-методической базы по защите информации: 
      1) анализ существующих документов в области защиты информации и выработка рекомендаций по их совершенствованию с учетом основных тенденций развития средств и способов съема информации, а также средств и способов противодействия им; 
      2) разработка проектов стандартов, норм эффективности защиты технических средств и помещений по всем возможным каналам утечки информации и методик по защите информации; 
      3) разработка методик проверки соответствия объектов защиты нормам эффективности защиты технических средств и помещений по всем каналам утечки информации. 
      2. Проведение научно-исследовательских работ в области защиты информации: 
      1) разработка принципов вхождения национальных и корпоративных информационных и телекоммуникационных сетей в глобальные информационные сети с позиции защиты национальных информационных ресурсов и информационной инфраструктуры; 
      2) классификация и критерии защиты технических средств от несанкционированного доступа к информации. Комплексные исследования возможных каналов утечки информации для защищаемых объектов, а также для отдельных средств обработки электронной информации и сетевых систем; 
      3) выбор наиболее эффективных методов и средств по ослаблению или закрытию каналов утечки информации; 
      4) разработка методов исследования наличия и противодействия потенциальным угрозам информации в операционных системах и прикладных программных продуктах общего пользования. 
      3. Проведение опытно-конструкторских работ по разработке аппаратных и программных средств защиты информации с изготовлением опытных образцов и их аттестация: 
      1) разработка и апробация прикладного программного обеспечения для защиты информации; 
      2) разработка и создание опытных образцов технических средств защиты информации, в том числе аппаратных средств противодействия намеренному силовому воздействию на средства электронной обработки информации, а также средств по обеспечению контроля эффективности защиты информации; 
      3) разработка аппаратно-программных комплексов противодействия техническим разведкам; 
      4) разработка и создание основ отечественных средств криптографической защиты информации с учетом основных тенденций развития криптографического анализа. 
      4. Научно-методическое обеспечение процессов проведения аттестации и сертификации средств защиты информации: 
      1) разработка научно обоснованных методик аттестации и сертификации по требуемым уровням защищенности средств обработки, передачи, приема и хранения информации, а также объектов защиты; 
      2) организация технического сопровождения средств защиты информации, в том числе аппаратуры криптографической защиты. 
      Реализация Программы осуществляется на основе государственного заказа на выполнение проектов, соответствующих заданиям конечных потребителей научно-технической продукции и прошедших конкурсный отбор. 
      При этом администраторы Программы обеспечивают: 
      Министерство образования и науки - работы по созданию нормативно-методической базы по защите информации и проведение научно-исследовательских работ в области защиты информации; 
      Министерство энергетики и минеральных ресурсов - проведение опытно-конструкторских работ по разработке аппаратных и программных средств защиты информации с изготовлением опытных образцов, научно-методическое сопровождение процессов проведения аттестации и сертификации средств защиты информации. 
      Основными этапами работ являются: 
      проведение администраторами Программы конкурсов на выполнение заданий Программы с обязательной государственной экспертизой и определение на конкурсной основе головных организаций; 
      формирование администраторами развернутых вариантов Программы по соответствующим направлениям; 
      координация выполнения заданий Программы и текущий контроль; 
      подготовка промежуточных и итогового отчетов; 
      государственная приемка результатов. 

               6. Необходимые ресурсы и источники финансирования
 
          Финансирование Программы осуществляется за счет и в пределах средств, предусматриваемых администраторам Программы в республиканском бюджете на научные исследования. Необходимый объем финансирования Программы из бюджета на 2001-2003 годы составляет 120 млн. тенге, в том числе на 2001 год - 40 млн. тенге, из них 20 млн. тенге за счет средств, выделяемых Министерству образования и науки по программе 30 "Фундаментальные и прикладные научные исследования" (подпрограмма 30 "Проведение фундаментальных и прикладных научных исследований"), и 20 млн. тенге за счет средств, выделяемых Министерству энергетики и минеральных ресурсов по программе 41 "Прикладные научные исследования технологического характера". Ежегодные объемы уточняются в соответствии с объемами, предусматриваемыми в республиканском бюджете по соответствующей бюджетной программе.

                7. Ожидаемые результаты от реализации Программы

     Ожидаемыми результатами выполнения Программы являются:
     нормативно-методическая база по защите информации;
     национальная система стандартов защиты информации;
     рекомендации по оценке наиболее вероятных видов угроз защищаемой информации и определению наиболее оптимальных способов противодействия;
     перспективные направления развития отечественных методов и средств обеспечения информационной безопасности;
     технические разработки и опытная эксплуатация аппаратных, программных и аппаратно-программных систем и средств защиты информации, а также технических средств контроля состояния ее защищенности.

                  8. План мероприятий по реализации Программы
___________________________________________________________________________
N !      Мероприятия      !Форма завершения!Ответственные за!    Срок 
пп !                       !                !   исполнение   ! исполнения
___!_______________________!________________!________________!_____________
                          Организационные мероприятия
___________________________________________________________________________
1  Сформировать конкурсные  Приказы минис-    Администраторы    2 квартал 
   комиссии по отбору       терств -          Программы         2001 года
   проектов по соответст-   администраторов 
   вующим направлениям      Программы
   Программы с привлече-
   нием представителей
   министерств и ведомств,
   ответственных за испол-
   нение пункта 4.1. Плана
   мероприятий, утвержден-
   ного Указом Президента 
   Республики Казахстан от
   14 марта 2000 года N 359

2  Организовать и провести  Приказы           Администраторы    2 квартал 
   конкурсы по отбору       министерств -     Программы         2001 года
   проектов по              администрато-
   соответствующим          ров Программы,
   направлениям Программы   материалы 
   и определить головные    конкурсных
   организации              комиссий

3  Сформировать раз-        Приказы           Администраторы    2 квартал 
   вернутые варианты        министерств -     Программы,        2001 года
   Программы на 2001-2003   администраторов   головные 
   годы по результатам      Программы         организации
   конкурсного отбора 
   проектов

4  Обеспечить целевое       Приказы           Администраторы    2001-2003 
   финансирование           министерств -     Программы            годы
   Программы за счет и в    администраторов 
   пределах средств, пре-   Программы
   дусматриваемых в рес-
   публиканском бюджете 
   администраторам 
   Программы

5  Представление отчетов    Отчет             Головные          Ежегодно 4 
   по реализации Программы                    организации,      квартал 
   и их рассмотрение в                        администраторы 
   установленном порядке                      Программы
___________________________________________________________________________
                     Основные научно-технические задания
___________________________________________________________________________
6  Создание нормативно-     Проекты           Министерство      2001-2003 
   методической базы по     стандартов по     образования         годы
   защите информации        защите            и науки
                            информации, 
                            методические 
                            указания

7  Проведение научно-       Рекомендации по   Министерство      2001-2003 
   исследовательских        оценке наиболее   образования         годы
   работ в области          вероятных видов   и науки
   защиты информации        угроз защищаемой 
                            информации и 
                            определению 
                            наиболее оптимальных 
                            способов противо-
                            действия

8  Проведение опытно-       Конструкторско-   Министерство      2001-2003 
   конструкторских работ    технологическая   энергетики и        годы
   по разработке            и программная     минеральных 
   аппаратных и программ-   документация.     ресурсов
   ных средств защиты       Опытные образцы, 
   информации с изготовле-  акты приемо-
   нием опытных образцов и  сдаточных 
   их аттестация            испытаний.
                            Аттестаты 
                            соответствия

9  Научно-методическое      Методические      Министерство      2001-2003 
   обеспечение процессов    указания и        энергетики и        годы 
   проведения аттестации и  другие            минеральных 
   сертификация средств     специальные       ресурсов
   защиты информации        нормативные акты. 
                            Свидетельства об 
                            аттестации и 
                            сертификации 
                            изделий на соот-
                            ветствие нормам 
                            по защите 
                            информации
___________________________________________________________________________

      (Специалисты: Мартина Н.А.,
                     Цай Л.Г.)