21-АЯ НАУЧНО-ТЕХНИЧЕСКАЯ КОНФЕРЕНЦИЯ
МЕТОДЫ И ТЕХНИЧЕСКИЕ СРЕДСТВА
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И ИНФОРМАЦИИ

РЕШЕНИЕ КОНФЕРЕНЦИИ

Конференция отмечает рост вклада (доли) средств и методов апостериорной защиты в системах обеспечения безопасности информации – DLP-систем, online и offline мониторинг выполнения политики безопасности. Но эта тенденция, способствующая повышению эффективности обеспечения ИБ, снижению затрат на неё, слабо отражена в РД и методических материалах регуляторов. Конференция считает целесообразным активизировать необходимые исследования и подготовку изменений и пояснений РД регуляторов.

Конференция согласилась с высказанными мнениями о зарождении тенденции к использованию мобильных устройств (планшеты) для реализации доступа к информативным ресурсам по принципу «что хочу и откуда хочу». Но в части обеспечения «мобильной безопасности» прослеживается серьёзный недостаток необходимых политик, регулирующих применение новых технологий в корпоративной сети. Появляющиеся решения носят пока «кусочный» характер, не обеспечивают необходимый уровень ИБ. В этой связи растут риски утечек данных ограниченного распространения с использованием мобильных устройств. Требуется выработать типовые решения и политики безопасного мобильного доступа к корпоративным ресурсам.

Конференция с интересом рассмотрела идею создания системы единой идентификации граждан России при их обращении с информационными системами, но считает целесообразным её функционал отработать заинтересованными ведомствами.

I. Основными направлениями в области развития методов и средств защиты информации Конференция считает:

1.1. Проведение научных исследований и технических разработок в области обеспечения безопасности облачных систем, технологии виртуализации распределенных глобальных систем, управления доступом и криптографических средств защиты в этих системах, уделив особое внимание:

— разработке технических решений по применению технологии виртуализации в качестве мер защиты (мониторинг, шлюзы, управление доступом, создание контролируемой среды).

— разработке методов и средств обнаружения скрытых систем виртуализации.

1.2. Обеспечение защиты информации в государственном секторе, предоставление массовых услуг и организации инфраструктуры электронного правительства.

1.3. Совершенствование средств сетевой защиты путем интеграции высокопроизводительных вычислений в МПО.

Развитие технологии защиты мобильных платформ.

Создание специальных программно-аппаратных платформ для анализа уязвимостей.

Создание стендов для анализа средств сетевой защиты при имитации воздействий ВПО.

1.4. Подготовка и переподготовка кадров в области информационной безопасности в соответствии с реформой образования.

II. В части развития работ по п.1.2. раздела I Конференция считает целесообразным:

2.1 Развивать исследовательские работы в области динамического моделирования атак и защиты в распределённых сетях.

2.2 Одобрить концепцию динамической защиты и парадигму прогнозируемого моделирования областей сохранения целостности, доступности и конфиденциальности компьютерных систем.

2.3 Считать актуальными работы по созданию моделей контроля виртуальных сред и гибридных операционных систем, Grid-систем и облачных вычислений (сервис-ориентированных). Для решения задач интеграции систем, разработки и оценки безопасности продуктов облачных вычислений отметить высокую актуальность задачи формирования строгой понятийной базы и технологии для организации технического взаимодействия участников процесса.

2.4 В области обеспечения безопасности технологии виртуализации отметить необходимость концентрации усилий на создании отечественных средств управления виртуализацией (гипервизора) и криптографических методов защиты в «облачных» системах.

2.5 Считать целесообразным координацию усилий по ускорению внедрения новых разработок в отечественную практику и созданию отечественных систем, соответствующих современному международному уровню.

2.6 Развивать исследования в области анализа и синтеза криптографических алгоритмов, применительно к распределенным системам.

2.7 Развивать работы по анализу недекларированных возможностей программного и программно-аппаратного обеспечения с использованием современных средств анализа и верификации ПО, в том числе после обнаружения новых угроз, связанных с виртуализацией.

III. В части развития работ по п.1.3 раздела I Конференция постановляет:

3.1. Признать перспективным использование и совершенствование технологий виртуализации, особенно сконцентрировать усилия на исследовании производительности и безопасности гипервизора.

3.2. Считать актуальными работы по созданию отечественных специализированных платформ управления телекоммуникационным оборудованием (МПО), в том числе совместимым с импортным МПО.

3.3. Считать перспективными разработки шлюзовых систем контроля и управления доступом.

3.5. Развивать решения по использованию кластерных и высокопроизводительных систем для систем защиты, контроля безопасности и мониторинга.

IV. В части работ по п.1.4 Раздела I Конференция решает:

4.1. Считать перспективным проведение работ по развитию инфраструктуры предоставления массовых услуг населению, особенно сконцентрировать усилия на решении следующих проблем:

— сравнение различных решений по созданию универсального идентификатора для многопользовательских систем;

— необходимость создания общедоступного недорогого универсального криптографически защищенного эквивалента электронных карт, например, в виде мобильных телефонов, флеш-устройств, е-токенов и т.д.

— интеграции решений по идентификации абонентов с существующими платежными системами.

4.2. Продолжать работы в области создания типовых моделей угроз для отдельных элементов инфраструктуры электронного правительства в соответствии с типовыми технологиями оказания массовых услуг для населения (здравоохранения, образования, жилищный сектор, социальное обеспечение), отдавая предпочтение технологиям, упрощающим предоставление услуги. Обобщить модели угроз для некорпоративных (кросс-ведомственных) ИС.

4.3. Отметить необходимость увеличения теоретических и практических решений, способствующих реализации Федерального закона «О персональных данных».

4.4. Считать перспективным проведение работ по созданию систем для оказания массовых услуг в социальной и финансовых сферах на основании использования передовых отечественных решений.

4.5. Отметить необходимость методического обеспечения деятельности по обеспечению ИБ некорпоративных (кросс-ведомственных) ИС.

V. В части пункта 1.5 Раздела 1 участники отмечают:

5.1. Необходимость расширения работ по анализу безопасности мобильных устройств и систем электронных платежей.

5.2. Развивать исследования в части создания методов и средств обнаружения скрытых мониторов виртуальных машин.

5.3. Актуальность постановки работ созданию систем обработки информации на базе высокопроизводительных распределенных систем.

5.4. Создание практических средств контроля мониторинга конфиденциальности и целостности в распределенных и облачных системах.

5.5. Продолжить проведение разработок по обеспечению защиты систем видеоконференцсвязи и мультимедийных систем.

VI. Конференция постановляет:

6.1.Расширить обсуждение внедрения законодательной базы в облаке, цифровой подписи и безопасности оказания услуг населению и госучреждениям.

6.2.Развивать теоретические и поисковые работы в области формирования требований безопасности облачных вычислений, реализации политики безопасности, моделей угроз и архитектуры безопасности, отдавая предпочтение инновационным решениям по интеграции российских систем защиты в инфраструктуру облачных систем.

6.3.Развивать работы по созданию систем контроля правил доступа, обнаружения и предотвращения вторжений и мониторинга безопасности многопользовательских систем с распределенным ресурсом и облачных вычислений.

6.4.Считать целесообразным проведение работ по адаптации мировых стандартов безопасности в области облачных вычислений к российским требованиям.

6.5.Способствовать внедрению облачных технологий и систем коллективного использования ресурсов в различные технологии информатизации, в том числе управление производством, глобальные системы связи, электронное правительство, электронное государство.

6.6.Считать актуальным постановку работ по созданию систем авторизации и криптографической защиты информации в облачных структурах.

VII. В части подготовки кадров считать целесообразным:

7.1. Расширить обсуждение программ специальных учебных дисциплин магистров и специалитета с участием ФСТЭК России, ФСБ РФ, УМО в области ИБ и с участием фирм-потребителей.

7.2. Одобрить решение Президиума УМО о создании Северо-Западного отделения УМО на базе ФГБОУ ВПО «СПбГПУ».

7.3. Обратиться в УМО с предложением о включении вопросов защиты персональных данных в соответствующие программы учебных дисциплин.

7.4. В целях поддержки реализации Федерального проекта «Информационное общество 2011 – 2020» усилить подготовку и переподготовку специалистов в области криптографической защиты.

VIII. Опубликовать наиболее значимые и актуальные доклады конференции в журнале «Проблемы информационной безопасности. Компьютерные системы» издательства Политехнического Университета.

IX. Поручить Оргкомитету подготовить план 22-й конференции и основные направления ее работы.

Х. Выразить благодарность организациям поддерживающим конференцию и оказывающим её организаторам информационную, техническую и финансовую помощь.

Председатель

Оргкомитета конференции П.Д. Зегжда