В Сочи состоялась ежегодная конференция «Обеспечение информационной безопасности. Региональные аспекты»
Андрей Курило: «Безопасность — это не продукты и решения, а системный процесс, в котором большое значение имеют не столько внешние факторы, сколько внутренние» |
Количество атак на информационные системы крупнейших отечественных компаний ключевых отраслей экономики продолжает расти. По сведениям МВД, в прошлом году было зафиксировано 11 тыс. преступлений в сфере ИТ, 70% которых связаны с несанкционированным доступом к данным. Особенно тревожно выглядит статистика нарушений целостности информационной безопасности в финансовой и телекоммуникационной отраслях. Так, число случаев незаконного получения и разглашения сведений, составляющих коммерческую и банковскую тайну, увеличилось в 2003 году втрое, а преступность в сфере телекоммуникаций возросла на 39%.
Эта ситуация вызывает обеспокоенность не только представителей коммерческих организаций, но и госструктур, что способствует их объединению перед лицом «общего врага» и вынуждает сообща искать пути разрешения проблем. Взаимодействие чаще всего происходит на тематических форумах, выставках, конференциях, семинарах, многие из которых уже стали традиционными.
Одно из таких мероприятий, с каждым годом привлекающих все больше участников, — Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты». В нынешнем году в Сочи приехали 250 специалистов по информационной безопасности. Третий год подряд представители госструктур, коммерческих организаций и научно-исследовательских учреждений собираются вместе, чтобы обсудить различные аспекты комплексного обеспечения безопасности информационных систем, а также нормативно-правового регулирования в этой сфере.
Проблемно-правовой аспект
Одной из основных тем мероприятия стало обсуждение правового аспекта обеспечения информационной безопасности и необходимости совершенствования законодательства в данном направлении. Представители властных структур вновь развели руками, признавая наличие большого числа неразрешенных проблем с использованием технологий электронно-цифровой подписи. Представитель «Газпрома», выступая с докладом на пленарном заседании, отметил, что процесс внедрения ЭЦП идет недопустимо медленно. В частности, руководство крупной промышленной компании не устраивает отсутствие гарантий финансовой ответственности за возможные убытки со стороны фирм, предлагающих свои услуги удостоверяющих центров. Существуют определенные проблемы также с лицензированием данных структурных единиц, что делает невозможным их нормальное функционирование.
По мнению Владимира Матюхина, руководителя Федерального агентства по информационным технологиям, повсеместное использование ЭЦП представляется нереальным до тех пор, пока не будет создана четко структурированная система удостоверяющих центров. По данным государственных органов регистрации, в период с 2002-го по 2004 год в Internet о своей готовности оказывать услуги публичных и корпоративных удостоверяющих центров и центров регистрации заявило более 60 юридических лиц в 30 городах России. Основная масса этих структурных единиц была образована стихийно, и теперь возникают сложности с координацией их работ. Для разрешения трудностей Матюхин предложил создать рабочую группу, задачей которой, в частности, станет определение типовой модели удостоверяющего центра и формирование административно-правовой базы для обеспечения четкого функционирования системы электронного документооборота.
По-прежнему острой остается проблема защиты государственных информационных систем. Как столичные, так и региональные органы власти серьезно обеспокоены возможной утечкой конфиденциальных данных и нарушением целостности систем информационной безопасности. Координируя свою деятельность, специалисты из госсектора и коммерческих организаций не только формируют административно-правовое поле для дальнейшей деятельности, но и ведут поиск перспективных технологий для разработки и внедрения. В связи с этим интересно отметить, что на сочинской конференции почти не говорилось о технологии защиты информации, основанной на уникальных биометрических параметрах и предназначенной для идентификации пользователей, а ведь на июньском «Инфофоруме» эта тема стала своеобразным хитом, вызвав немало споров. Вероятно, обсуждение этого вопроса было отложено до лучших времен из-за трудностей, возникающих уже на стадии разработки и проектирования электронных удостоверений личности (не только правовых, но и финансовых).
Участники последнего мероприятия гораздо больше внимания уделили так называемым «традиционным» средствам защиты (межсетевым экранам, программно-аппаратным комплексам, шифраторам и т. д.), разработанным отечественными производителями.
Еще раз об аудите
Широко обсуждалась также необходимость проведения качественного аудита перед построением системы информационной безопасности. Ведь технические возможности решений ведущих производителей средств защиты достаточно высоки (и сопоставимы), а инциденты тем не менее происходят. Видимо, поэтому об аудите информационных систем говорилось так много, и теперь уже не только представителями коммерческих организаций (как на предыдущих мероприятиях), но и специалистами из Гостехкомиссии России и Федерального агентства по техническому регулированию и метрологии. Для обсуждения «горячей» темы была специально организована секция «Проблемные вопросы нормативно-правового регулирования в области сертификации, аудита и аттестации безопасности информационных технологий».
Обсуждение этой темы достигло апогея в последний день конференции, на заседании секции «Обеспечение информационной безопасности в банковской и экономической сфере», спонсором которой выступила компания PricewaterhouseCoopers, предоставляющая услуги аудита и консалтинга, в том числе и в сфере информационной безопасности. Один из ведущих, Андрей Курило, заместитель начальника главного управления безопасности и защиты информации Банка России, подчеркнул, что безопасность — это не продукты и решения, а системный процесс, в котором большое значение имеют не столько внешние факторы, сколько внутренние. Специфика обеспечения информационной безопасности различна для разных сегментов рынка. Так, для крупных финансовых предприятий огромное значение имеют не только непрерывность и доступность информации 24 часа в сутки, но и обеспечение ее конфиденциальности. Кроме того, сегодня для российских банков в большей степени актуальны не внешние, а внутренние угрозы, что определяет расстановку акцентов при построении систем безопасности. Кроме того, Курило напомнил слушателям, что активно ведется разработка стандартов информационной безопасности Банка России. Отмечалось, что следование этим параметрам в принципе необязательно для участников банковской сферы, однако желательно в целях повышения общего уровня их информационной безопасности.