ФЕДЕРАЛЬНАЯ СЛУЖБА

ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

об утверждении Требований к средствам антивирусной защиты

от 30 июля 2012 г. № 240/24/3095

В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, приказом ФСТЭК России от 20 марта 2012 г. № 28 (зарегистрирован Минюстом России
3 мая 2012 г., рег. № 24045) утверждены Требования к средствам антивирусной защиты (далее – Требования), которые вступают в действие с 1 августа 2012 г.

Требования к средствам антивирусной защиты применяются к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий.

Требования к средствам антивирусной защиты включают общие требования к средствам антивирусной защиты и требования к функциям безопасности средств антивирусной защиты.

Для дифференциации требований к функциям безопасности средств антивирусной защиты установлено шесть классов защиты средств антивирусной защиты. Самый низкий класс – шестой, самый высокий – первый.

Средства антивирусной защиты, соответствующие 6 классу защиты, применяются в информационных системах персональных данных 3 и 4 классов^*.

Средства антивирусной защиты, соответствующие 5 классу защиты, применяются в информационных системах персональных данных 2 класса^*.

Средства антивирусной защиты, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в информационных системах персональных данных 1 класса^*, а также в информационных системах общего пользования II класса^**.

Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Также выделяются следующие типы средств антивирусной защиты:

тип «А» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);

тип «Б» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;

тип «В» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;

тип «Г» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных  автоматизированных рабочих местах.

Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».

Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Спецификация профилей защиты средств антивирусной защиты для каждого типа средства антивирусной защиты и класса защиты средства антивирусной защиты приведена в таблице.

Класс защиты Тип средства антивирусной защиты	6	5	4	3	2	1
тип «А»	ИТ.САВЗ.А6.ПЗ	ИТ.САВЗ.А5.ПЗ	ИТ.САВЗ.А4.ПЗ	ИТ.САВЗ.А3.ПЗ	ИТ.САВЗ.А2.ПЗ	ИТ.САВЗ.А1.ПЗ
тип «Б»	ИТ.САВЗ.Б6.ПЗ	ИТ.САВЗ.Б5.ПЗ	ИТ.САВЗ.Б4.ПЗ	ИТ.САВЗ.Б3.ПЗ	ИТ.САВЗ.Б2.ПЗ	ИТ.САВЗ.Б1.ПЗ
тип «В»	ИТ.САВЗ.В6.ПЗ	ИТ.САВЗ.В5.ПЗ	ИТ.САВЗ.В4.ПЗ	ИТ.САВЗ.В3.ПЗ	ИТ.САВЗ.В2.ПЗ	ИТ.САВЗ.В1.ПЗ
тип «Г»	ИТ.САВЗ.Г6.ПЗ	ИТ.САВЗ.Г5.ПЗ	ИТ.САВЗ.Г4.ПЗ	ИТ.САВЗ.Г3.ПЗ	ИТ.САВЗ.Г2.ПЗ	ИТ.САВЗ.Г1.ПЗ

Таким образом, с 1 августа 2012 г. сертификация средств защиты информации, реализующих функции антивирусной защиты, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. № 28.

Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями к средствам антивирусной защиты, утвержденными приказом ФСТЭК России от 20 марта 2012 г. № 28, а также методическими документами ФСТЭК России, содержащими профили защиты средств антивирусной защиты 1, 2 и 3 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.fstec.ru).

Методические документы ФСТЭК России, содержащие профили защиты средств антивирусной защиты 4, 5 и 6 классов защиты размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Информационно-справочная система по документам в области технической защиты информации. Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации».

Примечание: ^* Устанавливается в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный № 11462).

^** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный № 18704).

Начальник 2 управления

ФСТЭК России                                                                                           А.Куц

FIPS 140-2 Encryption

The National Institute of Standards and Technology (NIST) issues Federal Information Processing Standards (FIPS) as guidelines for use across the Federal government. These standards are developed when there are compelling Federal government needs, such as in the areas of information security and interoperability. The FIPS 140-2 standard is an information technology security accreditation program for validating that the cryptographic modules produced by private sector companies meet well-defined federal security standards. FIPS 140-2 validation is mandatory for use in government departments that collect, store, transfer, share and disseminate sensitive but unclassified (SBU) information.

PerspecSys’ Cloud Data Protection Gateway lets government agencies, public sector organizations and enterprises  take full advantage of cloud SaaS applications such as Oracle CRM and Salesforce.com while ensuring their sensitive data remains on-premise, under their full control, and in compliance with data protection regulations at all times. PerspecSys’ solution does this without impacting an end-user’s ability to perform functions such as Searching and Sorting within their SaaS applications. By enabling the use of FIPS 140-2 validated modules to protect cloud data, PerspecSys is eliminating the security, compliance and usability barriers that previously prevented agencies from moving to the cloud. PerspecSys is the first and only company to offer this level of data protection while simultaneously preserving critical SaaS application capabilities, such as the ability to Search and Sort on FIPS 140-2 encrypted data fields. FIPS 140-2 encryption is also useful for enterprises in industries such as manufacturing and healthcare that frequently need to comply with government regulations such as International Traffic in Arms Regulations (ITAR) and HITECH, respectively.

NIST regularly publishes reports that comment on critical issues in data security and computing.  One example is a publication entitled Cloud Computing Synopsis & Recommendations (Special Publication 800-146) that describes in detail the current cloud computing environment, explains the economic opportunities and risks associated with cloud adoption, and openly addresses the security and data privacy challenges. NIST makes numerous recommendations for companies or agencies considering the move to the cloud (including delivering a strong case for uniform management practices in the data security and governance arenas).
 
The report highlights several reasons why cloud-based SaaS applications present heightened security risks. As a means to offset the threats, NIST’s recommendation on encryption is clear-cut: organizations should require FIPS 140-2 compliant encryption to protect their sensitive data assets. This should apply to stored data as well as application data, and for Federal agencies, it’s a firm requirement, not simply a best practice or recommended guideline.

 

Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации

Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации

I. Общие положения

1.   Настоящие Основные направления разработаны в целях реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной безопасности Российской Федерации является совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации.

2.    Целью государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства.

3.   Основные понятия, используемые в настоящих Основных направлениях:

а) критически важный объект инфраструктуры Российской Федерации (далее - критически важный объект) - объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок;

б) автоматизированная система управления производственными и технологическими процессами критически важного объекта инфраструктуры Российской Федерации (далее - автоматизированная система управления КВО) - комплекс аппаратных и программных средств, информационных систем и информационно- телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса критически важного объекта, нарушение (или прекращение) функционирования которых может нанести вред внешнеполитическим интересам Российской Федерации, стать причиной аварий и катастроф, массовых беспорядков, длительных остановок транспорта, производственных или технологических процессов, дезорганизации работы учреждений, предприятий или организаций, нанесения материального ущерба в крупном размере, смерти или нанесения тяжкого вреда здоровью хотя бы одного человека и (или) иных тяжелых последствий (далее - тяжкие последствия);

в) критическая информационная инфраструктура Российской Федерации (далее - критическая информационная инфраструктура) - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий;

г) компьютерная атака - целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях;

д) безопасность автоматизированной системы управления КВО - состояние автоматизированной системы управления КВО, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения ею целевых функций (далее - штатный режим функционирования) при проведении в отношении ее компьютерных атак;

е) безопасность                критической                информационной инфраструктуры - состояние элементов критической  информационной инфраструктуры и критической информационной инфраструктуры в целом, при котором проведение в отношении ее компьютерных атак не влечет за собой тяжких последствий;

ж) компьютерный инцидент - факт нарушения штатного режима функционирования элемента критической информационной инфраструктуры или критической информационной инфраструктуры в целом;

з) единая государственная система обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов - централизованная, иерархическая, территориально распределенная структура, включающая силы и средства обнаружения и предупреждения компьютерных атак, а также органы управления различных уровней, в полномочия которых входят вопросы обеспечения безопасности автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры;

и) силы обнаружения и предупреждения компьютерных атак - уполномоченные подразделения федерального органа исполнительной власти в области обеспечения безопасности, федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры, а также физические лица и специально выделенные сотрудники организаций, осуществляющих эксплуатацию автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры на правах собственности либо на иных законных основаниях, принимающие участие в обнаружении и предупреждении компьютерных атак на критическую информационную инфраструктуру, мониторинге уровня ее реальной защищенности и ликвидации последствий компьютерных инцидентов на основании законодательства Российской Федерации;

к) средства обнаружения и предупреждения компьютерных    атак - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая сети и средства связи, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру, мониторинга уровня ее реальной защищенности и ликвидации последствий компьютерных инцидентов;

л) силы ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре - уполномоченные подразделения федерального органа исполнительной власти в области обеспечения безопасности, физические лица и специально выделенные сотрудники организаций, осуществляющих эксплуатацию автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры на правах собственности либо на иных законных основаниях, а также сотрудники предприятий - разработчиков аппаратных средств и программного обеспечения, используемых в автоматизированных системах управления КВО, принимающие на основании законодательства Российской Федерации участие в восстановлении штатного режима функционирования элементов критической информационной инфраструктуры после компьютерных инцидентов;

м) средства ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре - технологии, а также технические, программные, правовые, организационные средства, включая сети и средства связи, средства сбора и анализа информации, предназначенные для восстановления штатного режима функционирования элементов критической информационной инфраструктуры после компьютерных инцидентов. 

II. Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО, и ее основные принципы

4.             Обеспечение безопасности автоматизированных систем управления КВО является невозможным без обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом. Данное положение обусловлено повсеместным внедрением широкого спектра информационных технологий в системы управления производственными и технологическими процессами КВО, глобализацией современных информационно-телекоммуникационных сетей, превращением их в единую мировую информационно- телекоммуникационную сеть с размытыми границами национальных сегментов, существенным увеличением доли распределенных автоматизированных систем управления КВО и все большим использованием информационно-телекоммуникационных сетей и сетей связи общего использования для их информационного обмена.

5.   Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО:

а) интеграция в единые комплексы автоматизированных систем управления КВО и других информационных систем, используемых в управлении производственными и транспортными структурами, административными и финансовыми ресурсами;

б) постоянное усложнение используемых в автоматизированных системах управления КВО программного обеспечения и оборудования;

в) практика осуществления иностранными фирмами технического обслуживания и удаленной настройки автоматизированных систем управления КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры;

г) стремление организаций - разработчиков программного обеспечения автоматизированных систем управления КВО к снижению издержек и, как следствие, использованию типовых решений и заимствованного программного обеспечения;

д) интенсивное совершенствование средств и методов использования информационных и коммуникационных технологий для нанесения ущерба Российской Федерации, а также участившиеся попытки их применения в противоправных целях и конкурентной борьбе;

е) усиление угрозы терроризма, рост числа противоправных деяний с использованием информационных и коммуникационных технологий;

ж) сложившаяся среди операторов и владельцев информационных систем, в состав которых входят автоматизированные системы управления КВО, тенденция сокрытия попыток или фактов нарушения их штатного функционирования;

з) недостаточный уровень образования и профессиональной подготовки персонала, обслуживающего автоматизированные системы управления КВО, снижение технологической культуры производства;

и) отсутствие            достаточного             нормативно-правового регулирования процессов обеспечения безопасности автоматизированных систем управления КВО, в том числе в части определения уровня их реальной защищенности;

к) вынужденное привлечение при создании автоматизированных систем управления КВО иностранных фирм - производителей и поставщиков программно-аппаратных средств обработки, хранения и передачи информации и применение зарубежных программно- аппаратных решений, создающих предпосылки для возникновения технологической и иной зависимости от иностранных государств.

6. Основные принципы государственной политики в области обеспечения безопасности автоматизированных систем управления КВО:

а) соблюдение законодательства Российской Федерации, а также требований международных договоров Российской Федерации всеми участниками процесса создания и эксплуатации автоматизированных систем управления КВО;

б) сочетание интересов и взаимной ответственности  государства, граждан, а также организаций, участвующих в разработке, создании и эксплуатации автоматизированных систем управления КВО;

в)  персонификация ответственности должностных лиц, операторов, персонала и иных лиц, принимающих участие в разработке, создании, вводе в действие, эксплуатации и модернизации автоматизированных систем управления КВО;

г) обеспечение комплексной защиты критической информационной инфраструктуры в целом, включая создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов;

д) обеспечение разрешительного характера деятельности в области обеспечения безопасности автоматизированных систем управления КВО с использованием механизмов лицензирования и сертификации;

е) разделение функций между федеральным органом исполнительной власти в области обеспечения безопасности и иными федеральными органами исполнительной власти, осуществляющими деятельность в области безопасности, органами государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры, усиление координации их деятельности;

ж) регламентация прав и обязанностей собственников автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, а также эксплуатирующих их организаций;

з) недопущение технологической или иной зависимости от иностранных государств при осуществлении деятельности в области обеспечения безопасности автоматизированных систем управления КВО.

III. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления КВО

7. Решение основных задач государственной политики в области обеспечения безопасности автоматизированных систем управления КВО должно осуществляться по следующим направлениям:

а) совершенствование нормативно-правовой базы;

б) государственное регулирование;

в) промышленная и научно-техническая политика;

г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры;

д) повышение квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО.

8. Основные задачи, касающиеся совершенствования нормативно-правовой базы в области обеспечения безопасности автоматизированных систем управления КВО:

а) определение и разграничение полномочий федерального органа исполнительной власти в области обеспечения безопасности, иных федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, органов государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры;

б) законодательное определение и закрепление прав и обязанностей собственников автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры и эксплуатирующих их организаций. в области обеспечения безопасности автоматизированных систем управления КВО;

в) определение порядка:

разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры;

получения федеральным органом исполнительной власти в области обеспечения безопасности информации об автоматизированных системах управления КВО и иных элементах критической информационной инфраструктуры;

использования сил и средств обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру;

использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре;

действий должностных лиц, персонала и владельцев автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры при обнаружении попыток или фактов нарушения штатного функционирования этих объектов в случае компьютерных инцидентов;

г) создание правовых оснований и определение порядка применения мер принудительного изменения информационного обмена с объектами информатизации, являющимися источниками компьютерных атак, вплоть до его полного прекращения;

д) нормативно-правовое обеспечение функционирования единой государственной системы обнаружения компьютерных атак на критическую информационную инфраструктуру и мониторинга уровня ее реальной защищенности;

е) введение ответственности за нарушение порядка разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры;

ж) усиление ответственности за создание и (или) применение средств компьютерных атак;

з) оптимизация законодательства Российской Федерации в части лицензирования деятельности, связанной с разработкой, производством, эксплуатацией и техническим обслуживанием автоматизированных систем управления критически важными объектами.

9. Основные задачи государственного регулирования в области обеспечения безопасности автоматизированных систем управления КВО:

а) развитие механизмов государственного управления и контроля, а также усиление координации в области обеспечения безопасности критической информационной инфраструктуры;

б) выделение (привлечение) необходимых объемов и источников финансовых ресурсов (бюджетных и внебюджетных) на реализацию программ и планов мероприятий в области обеспечения     безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом;в) создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки защищенности ее элементов;

г) обеспечение устойчивого функционирования национального сегмента единой мировой информационно-телекоммуникационной сети в условиях массированного деструктивного информационного воздействия с территорий, находящихся вне юрисдикции Российской Федерации;

д) создание условий, стимулирующих развитие на территории Российской Федерации производства телекоммуникационного оборудования, устойчивого к компьютерным атакам;

е) создание и поддержание в постоянной готовности сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре;

ж) развитие международного сотрудничества, включая совершенствование международной кооперации в области обеспечения информационной безопасности;

з) стимулирование, в том числе материальное, проведения частными организациями и лицами исследований в области обнаружения уязвимостей программного обеспечения и оборудования, применяемого в автоматизированных системах управления КВО и на иных объектах критической информационной инфраструктуры, с представлением результатов федеральному органу исполнительной власти в области обеспечения безопасности.

10. Основные задачи по совершенствованию промышленной и научно-технической политики в области, обеспечения безопасности автоматизированных систем управления КВО:

а) проведение комплекса мероприятий по развитию систем, средств и методов технической оценки уровня реальной защищенности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом;

б) создание единых реестров программных и аппаратных средств, используемых в автоматизированных системах управления КВО, создание баз данных, касающихся надежности функционирования автоматизированных систем управления КВО, состояния их защищенности, состояния технического оборудования, оценки эффективности действующих и внедряемых на критически важных объектах мер безопасности;

в) проведение комплекса организационно-технических мероприятий по исключению прохождения информационного обмена автоматизированных систем управления КВО по территориям иностранных государств, а при технической невозможности такого исключения - создание и применение защитных мер,   обеспечивающих отсутствие любых негативных воздействий на процессы, контролируемые автоматизированными системами управления КВО, в случае нарушения штатного функционирования этого канала связи;

г) разработка комплекса мер по созданию и внедрению телекоммуникационного оборудования, устойчивого к компьютерным атакам;

д) создание хранилища эталонного программного обеспечения, используемого в автоматизированных системах управления КВО и на других объектах критической информационной инфраструктуры;

е) развитие (с учетом мобилизационной готовности) научно- производственной базы, обеспечивающей выпуск систем (средств) обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры;

ж) разработка и внедрение импортозамещающих технологий, материалов, комплектующих и других видов продукции, используемых в автоматизированных системах управления КВО.

11. Основные задачи в области развития фундаментальной и прикладной науки, технологий и средств обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры:

а) разработка методов и средств своевременного выявления угроз и оценки их опасности для автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры;

б) разработка и внедрение специализированных информационно-аналитических систем, развитие исследований в области математического моделирования процессов обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, направленных на выработку вероятных сценариев развития ситуации и поддержку управленческих решений;

в) разработка и внедрение комплексных систем защиты и обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, отвечающих современному уровню развития информационных технологий и минимизирующих участие обслуживающего персонала в настройке и эксплуатации входящих в их состав программно-аппаратных средств;

г) разработка для автоматизированных систем управления КВО специализированных                экономически                целесообразныхинформационных технологий, исключающих или в максимальной степени снижающих на технологическом уровне обмен информацией, подлежащей обязательной защите.

12.    Основные задачи по совершенствованию образования, подготовки и повышения квалификации кадров в области  обеспечения безопасности автоматизированных систем управления КВО, повышению общего уровня культуры информационной безопасности граждан:

а) совершенствование системы подготовки, переподготовки и аттестации кадров (в том числе руководящих) в области обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры на базе профильных образовательных учреждений;

б) повышение общего уровня культуры информационной безопасности граждан, включая повышение информированности населения о критической информационной инфраструктуре, угрозах информационной безопасности и способах защиты от этих угроз;

в) формирование в общественном сознании нетерпимости к лицам, совершающим противоправные деяния с использованием информационных технологий.

IV. Основные механизмы и этапы реализации государственной политики в области обеспечения безопасности автоматизированныхсистем управления КВО

13.   Реализация настоящих Основных направлений обеспечивается путем консолидации усилий органов государственной власти и институтов гражданского общества, направленных на защиту интересов Российской Федерации посредством комплексного использования правовых, организационных, технических, социально- экономических, специальных и иных мер поддержки.

14.    Координацию деятельности федеральных органов исполнительной власти по реализации настоящих Основных направлений осуществляет федеральный орган исполнительной власти в области обеспечения безопасности.

15.   Настоящие Основные направления реализуются в рамках:

а) существующих и планируемых государственных программ;

б) плана мероприятий по реализации настоящих Основных направлений, утверждаемого Правительством Российской Федерации.

16.  Настоящие Основные направления реализуются поэтапно.

17.   На первом этапе (2012 - 2013 годы) необходимо осуществить:

а) подготовку плана мероприятий по реализации настоящих Основных направлений;

б) нормативно-правовое определение и разграничение полномочий и ответственности федерального органа исполнительной власти в области обеспечения безопасности, иных федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, органов государственного надзора и контроля, управления деятельностью КВО и объектов критической информационной инфраструктуры;

в) определение порядка использования сил и средств обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру;

г) разработку концепции использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре;

д) определение необходимых объемов и источников  финансовых ресурсов (бюджетных и внебюджетных) на реализацию программ и планов мероприятий в области обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом на период второго этапа реализации настоящих Основных направлений;

е) подготовку предложений по внесению изменений в утвержденные государственные программы и корректировке планируемых государственных программ.

18.  На втором этапе (2014 - 2016 годы) необходимо   осуществить:

а) разработку нормативных правовых актов, определяющих:

порядок получения федеральным органом исполнительной власти в области обеспечения безопасности информации об автоматизированных системах управления КВО и иных объектах критической информационной инфраструктуры;

права и обязанности собственников автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, а также эксплуатирующих их организаций в области обеспечения их безопасности;порядок разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО;

регламент функционирования единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки защищенности ее элементов;

порядок ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре;

действия должностных лиц, персонала и владельцев автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры при обнаружении несанкционированного доступа к обрабатываемой информации и иных компьютерных инцидентах;

ответственность за нарушение установленного порядка разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры;

правовые основания и порядок применения мер принудительного изменения информационного обмена с объектами информатизации, являющимися источниками компьютерных атак, вплоть до полного его прекращения;

б) проведение паспортизации автоматизированных систем управления КВО;

в)  реализацию первоочередных мероприятий, направленных на минимизацию прохождения информационного обмена между российскими абонентами по территориям иностранных государств;

г) разработку системы грантов для частных лиц и организаций, призванных стимулировать исследования в области обнаружения уязвимостей программного обеспечения и оборудования автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры;

д) разработку комплексных систем защиты и обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, отвечающих современному уровню развития информационных и коммуникационных технологий и минимизирующих участие обслуживающего персонала в настройке и эксплуатации входящих в их состав программно-аппаратных средств;

е) определение необходимых объемов и источников финансовых ресурсов (бюджетных и внебюджетных) на реализацию программ и планов мероприятий в области обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом на последующих этапах реализации настоящих Основных направлений;

ж) ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов;

з) создание сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре.

19. На третьем этапе (2017 - 2020 годы) необходимо  осуществить:

а) внедрение комплексных систем защиты и обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры, отвечающих современному уровню развития информационных технологий и минимизирующих участие обслуживающего персонала  в настройке и эксплуатации входящих в их состав программно- аппаратных средств;

б) реализацию комплекса организационных, правовых, экономических и научно-технических мер по прекращению прохождения информационного обмена между российскими абонентами по территориям иностранных государств;в) ввод в действие первой очереди хранилища эталонного программного обеспечения, используемого в автоматизированных системах управления КВО и на других объектах критической информационной инфраструктуры;

г) внедрение системы грантов для частных лиц и организаций для стимулирования исследований в области обнаружения уязвимостей программного обеспечения и оборудования автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры;

д) ввод в эксплуатацию Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру Российской Федерации и оценки уровня реальной защищенности ее элементов и ситуационных центров регионального и ведомственного уровней;

е) создание для автоматизированных систем управления КВО специализированных экономически целесообразных информационных технологий, исключающих или в максимальной степени снижающих на технологическом уровне обмен информацией, подлежащей обязательной защите;

ж) ввод в эксплуатацию в целом единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов.

20. В период после 2020 года осуществляется комплекс мероприятий по поддержанию организационной, экономической, научно-технической и технологической готовности Российской Федерации к предотвращению угроз безопасности ее критической информационной инфраструктуры.

Background of a new work item

Abstract

Most users today may use an ID/password to log into the website on the Internet. However, such passwords may have many security concerns.

For example, users would use easy-to-guess passwords, use the same password in multiple accounts, write the passwords on a paper or store them on their machines, etc. Furthermore, hackers have the tool of using many techniques to steal passwords such as shoulder surfing, snooping, sniffing, guessing, etc.

Single-factor authentication methods such as the basic username/password combination are no longer secure enough. Two-factor authentication provides a significant increase in security.

The proposed international standard basically provides a framework for two factor authentication in the mobile environment in order to resolve some problems in the single-factor authentication. This contribution proposes Study Group 17 Question 7 to consider initiating a study on  two-factor authentication mechanisms using mobile devices (phones) in the mobile environment.

Background

Authentication is defined as the use of one or more mechanisms to prove that you are who you claim to be.  There are three universally recognized authentication factors today as follows: [4]

        Something the user knows (e.g. a password)

        Something the user has (e.g. a hardware token)

        Something the user is (e.g. a fingerprint)

Recent work has been done in trying alternative factors such as a fourth factor, e.g. somebody you know, which is based on the notion of vouching.

 A security token is a physical device that an authorized user of computer services is given to aid in authentication. It is also referred to as an authentication token or a cryptographic token. Tokens come in two formats: hardware and software. Hardware tokens are small devices which are small and can be conveniently carried. Some of these tokens store cryptographic keys or biometric data, while others display a PIN that changes with time. At any particular time when a user wishes to log-in, i.e. authenticate, he uses the PIN displayed on the token in addition to his normal account password. Software tokens are programs that run on computers and provide a PIN that change with time. Such programs implement a One Time Password (OTP) algorithm. OTP algorithms are critical to the security of systems employing them since unauthorized users should not be able to guess the next password in the sequence. The sequence should be random to the maximum possible extent, unpredictable, and irreversible. Factors that can be used in OTP generation include names, time, seed, etc.[1]

Today, single factor authentication, e.g. passwords, is no longer considered secure in the internet and banking world. Easy-to-guess passwords, such as names and age, are easily discovered by automated password-collecting programs.

The most dominant authentication type in use today is to use single-factor authentication. In short, single-factor authentication is to use user’s basic username/ password combination. The single factor in this case is something you know; your password. Most business networks and most internet sites use basic username/password combination to allow access to secured or private resources.

Single-factor authentication methods such as the basic username/password combination are no longer sufficient enough.

There are several weaknesses in the single-factor authentication. Simply reading a post-it note upon a colleague’s computer is a simple attack, so is the “shoulder surfing” techniques where you watch a person log on and remember the keystrokes that are used. More sophisticated attacks use software to capture keystrokes at logon and which then sends them to an untrusted person for future use. Key logging software can be installed on a computer from a virus infection, a Trojan program or a spyware program that was automatically downloaded from a web site (these can all happen without the user being aware). These attacks are especially serious; as you don’t know that your password has been compromised and do have no way of stopping it until it’s too late. Network snooping is another prevalent attack, where programs like Cain and Able and Dsniff, capture passwords as they traverse the network. These programs capture Web, FTP and telnet logons (telnet is used with network communication equipment or Unix systems). They do this very effectively and with little user set-up or intervention. [3]

Two-factor authentication is a security process that confirms user identities using two distinctive factors – something they have and something they know. Two-factor authentication uses a mechanism which implements two of the above mentioned factors and is therefore considered stronger and more secure than the traditionally implemented one factor authentication system. [1]

Two-factor authentication provides a significant increase in security. The password or pin number must be used in conjunction the use of tokens, smart-cards or even biometrics. The combination of the two factors will provide companies make sure of the people accessing secure systems.[2]

A two-factor authentication has recently been introduced to meet the demand of organizations for providing stronger authentication options to its users. In most cases, a hardware token is given to each user for each account. The increasing number of carried tokens and the cost the manufacturing and maintaining them is becoming a burden on both the client and organization. Since many clients carry a mobile phone today at all times, an alternative is to install all the software tokens on the mobile phone. This will help reduce the manufacturing costs and the number of devices carried by the client.

The following are typical benefits of a two-factor system: [9]

        Resistant to single-factor attacks including keystroke monitoring, social engineering, man-in-the middle attacks, network monitoring, password cracking and IT staff abuse.

        Difficult for a user to deny involvement in a transaction because users are held accountable for all actions resulting from a successful user authentication.

        Less likely to lead to fraudulent or unauthorized access to corporate data.

        Easy for end-users to use.

        Durable and offers a long-term security solution.

Two factor authentications also have disadvantages which include the cost of purchasing, issuing, and managing the tokens or cards. From the customer’s point of view, using more than one two-factor authentication system requires carrying multiple tokens/cards which are likely to get lost or stolen.

There are several commercial two factor authentication systems exist today such as BestBuy’s BesToken [7], RSA’s SecurID [6], and Secure Computing’s Safeword [5].

Mobile phones have traditionally been regarded as a tool for making phone calls. But today, given the advances in hardware and software, mobile phones use have been expanded to send messages, check emails, store contacts, etc. Mobile connectivity options have also increased. After standard GSM connections, mobile phones now have infra-red, Bluetooth, 3G, and WLAN connectivity. Most of us, if not all of us, carry mobile phones for communication purpose. Several mobile banking services available take advantage of the improving capabilities of mobile devices. From being able to receive information on account balances in the form of SMS messages to using WAP and Java together with GPRS to allow fund transfers between accounts, stock trading, and confirmation of direct payments via the phone’s micro browser

Installing both vendor-specific and third party applications allow mobile phones to provide expanded new services other than communication. Consequently, using the mobile phone as a token will make it easier for the customer to deal with multiple two factor authentication systems; in addition it will reduce the cost of manufacturing, distributing, and maintaining millions of tokens.

Proposal

With the background and discussion above, this contribution believe that there is a strong need for framework for two-factor authentication mechanisms using mobile devices in the mobile context. Therefore, this contribution proposes Study Group 17 Question 7 to consider initiating a study on  two factor authentication mechanisms using mobile devices in the mobile environment.

Note that Annex B provides the template for the new work item.

Proposed Structure

This Recommendation would have a following structure:

1          Scope

2          References

3          Definitions

4          Abbreviation

5          Conventions

6          Overview  of a two-factor authentication mechanism

6.1         Overview

6.2         Combination of  two-factor authentication mechanisms using mobile phones(devices)

6.3         Use scenarios for two factor authentication

6.4         Threats of two-factor authentication

6.4.1        Key Logging Attacks

6.4.2        Lost or Stolen Mobile Device& List of OTPs

6.4.3        Shoulder Surfing

6.4.4        Phishing/active/passive Man-in-the-Middle Attack

6.4.5        Session Hijacking and Parallel Session Hijacking

6.4.6        Denial of Service Attack

6.4.7        Formal Analysis of the Security Protocol

7          Security requirements for two factor authentication mechanism

9          Typical two factor authentication mechanism for mobile context:

Reference

1.    Fadi Aloul, Syed Zahidi, Wassim El-Hajj, “Two Factor Authentication Using Mobile Phones,” http://www.aloul.net/Papers/faloul_aiccsa09.pdf

2.    Roger Elrod, Two-Factor Authentication, East Carolina University, 2005, http://www.infosecwriters.com/text_resources/pdf/Two_Factor_Authentication.pdf

3.      Andrew Kemshall, Phil Underwood, Options for Two Factor Authentication, July, 2007.

4.      2-Factor authentication for mobile applications, DSWISS Ltd., 2010, http://pd.zhaw.ch/hop/528326154.pdf

5.      Aladdin Secure SafeWord 2008. Available at http://www.securecomputing.com/index.cfm?skey=1713

6.      B. Schneier, “Two-Factor Authentication: Too Little, Too Late,” in Inside Risks 178, Communications of the ACM, 48(4S), April 2005.

7.      D. Ilett, “US Bank Gives Two-Factor Authentication to Millions of Customers,” 2005. Available at http://www.silicon.com/financialservices/0,3800010322,39153981,00.htm

8.      Nima Kaviani, Kirstie Hawkey, Konstantin Beznosov, “A Two-factor Authentication Mechanism Using Mobile Phones,” Technical report LERSSE-TR-2008-03, University of British Columbia, August, 2008. http://lersse-dl.ece.ubc.ca/record/163/files/163.pdf

9.      iKey™ 1000 Series – Smart Devices for Two-Factor Authentication, Rainbow Technologies, Inc.