Перспективы развития законодательства и совершенствования нормативно-технического обеспечения в сфере информационной безопасности обсуждались на «круглом столе», прошедшем в рамках выставки «ИнфоКом 2003». В ходе мероприятия были заслушаны доклады высших должностных лиц Совета безопасности России, Министерства связи и информатизации, Гостехкомиссии и других правительственных организаций.
Защитить абонентов
Открывая дискуссию, первый заместитель министра РФ по связи и информатизации Борис Антонюк заявил: «Проблема обеспечения информационной безопасности в нашей стране приобретает, наконец, нормальную законодательную основу». В этой связи докладчик отметил важность принятия новой редакции Закона «О связи» и Закона «Об электронно-цифровой подписи (ЭЦП)».
Новые законодательные акты рассматриваются в министерстве прежде всего с позиций защиты интересов потребителей. Так, новый Закон «О связи» содержит несколько положений, касающихся данного вопроса, в частности регулирует решение проблемы несанкционированного подключения к абонентским телефонным линиям. Сегодня законодательно закреплено, что обеспечение безопасности использования линий связи является обязанностью операторов, на которых возлагается вся ответственность за организацию защиты соединений на всем пути до квартиры каждого абонента.
Кроме того, новая редакция Закона устанавливает основные требования к обеспечению информационной безопасности во всех сегментах единой сети электросвязи РФ — в сетях связи общего пользования, выделенных, технологических и сетях специального назначения. В каждой из них должны применяться сертифицированное ПО и средства защиты от несанкционированного доступа, что, в конечном счете, позволит всей инфраструктуре связи функционировать в безопасном для пользователей режиме.
Хотя Закон «О связи» является руководящим документом прямого действия, в нем невозможно прописать все необходимые нормы. В настоящее время Минсвязи РФ готовит несколько подзаконных нормативных актов, в том числе положение, регламентирующее вопросы информационной безопасности и правила ее обеспечения в сетях общего пользования. Как сообщил заместитель министра, разработка данного документа может закончиться уже в декабре, после чего он будет обсуждаться и дорабатываться при участии всех заинтересованных сторон.
Опасная информация
По мнению первого заместителя секретаря Совбеза РФ Владислава Шерстюка, проблематика информационной безопасности включает в себя множество аспектов, учитывающих возможную угрозу не только отдельным гражданам, но и важнейшим социальным и государственным институтам России. «Наиболее серьезной угрозой для общества является расширение возможностей манипулирования сознанием человека, формирование вокруг него индивидуального информационного пространства и влияние информационных технологий на психическую деятельность», — заявил Шерстюк. Человечество вплотную подошло к рубежу, за которым информационная инфраструктура станет основным источником знаний для каждого гражданина и начнет оказывать на него непосредственное воздействие. Таким образом, информация превращается в один из опаснейших рычагов формирования социального поведения.
Другая опасность кроется в нецелевом использовании персональных данных, накапливаемых различными структурами, в том числе государственными органами. Противоправное разглашение сведений, составляющих личную тайну, скрытый сбор и незаконное применение конфиденциальной информации облегчаются из-за внедрения все более сложных информационных технологий. Кроме того, их свободное распространение позволяет заинтересованным субъектам несанкционированно вмешиваться в работу телекоммуникационных систем. Актуальность проблемы подтверждается значительным увеличением числа преступлений в сфере информации. Так, по данным МВД, за последние три года оно выросло в нашей стране более чем в 150 раз.
Деятельность государства совершенствуется
Начальник управления Гостехкомиссии РФ Юрий Лаврухин сообщил, что в России уже реализован определенный комплекс мер по совершенствованию государственной деятельности в части защиты информации. На федеральном уровне развернута работа по определению основных направлений политики государства в этой области. Завершается создание нормативно-правовых актов, уточняющих состав, структуру и функции государственных органов защиты информации. На региональном уровне проанализировано состояние дел в сфере защиты информации, развернута деятельность по обеспечению исполнения соответствующих законов, указов и постановлений правительства, формируется региональная система защиты информации.
Лаврухин отметил положительные тенденции в этом направлении. В частности, во всех федеральных округах созданы коллегиальные координирующие органы по проблеме защиты информации при институте полномочных представителей Президента РФ. В их состав входят руководители местных органов власти и силовых структур. Работа идет очень интенсивно, и специальные комиссии по информационной безопасности уже появились более чем в 70% субъектах РФ.
Гостехкомиссия России приступила к реализации положений Закона «О техническом регулировании», в связи с чем запланирована разработка ряда технических регламентов в области защиты информации. Кроме того, в данном ведомстве приступили к созданию основ системы аудита в сфере информационной безопасности. С этой целью разрабатываются методики аудиторских проверок, процедуры их проведения и критерии оценки защитных систем. Для информирования населения о деятельности Гостехкомиссии создан специальный Web-сайт.
Нужно больше стандартов
Первый заместитель директора ВНИИ «Стандарт» Валерий Гришкевич рассматривает нормативное обеспечение информационной безопасности в двух аспектах. Первый состоит в оценке безопасности информационных технологий (в их широком толковании). Второй касается защиты данных в автоматизированных системах управления, особенно в телекоммуникационных. Решение этих двух проблем может и должно быть обеспечено путем стандартизации используемых средств.
Существующая в стране система нормативно-технической документации, которая обеспечивает решение задач информационной защиты, включает в себя 22 государственных и негосударственных стандарта, восемь руководящих документов Гостехкомиссии и свыше 40 отраслевых стандартов, используемых преимущественно в оборонной сфере. Как заявил представитель ВНИИ «Стандарт», таким образом действующая отечественная нормативная база позволяет в целом решать проблемы защиты информации в автоматизированных системах управления, информационных системах и вычислительных и телекоммуникационных сетях.
В целях совершенствования отечественной нормативной базы с 2001 года Гостехкомиссия и Госстандарт России совместно с другими заинтересованными министерствами и ведомствами реализуют новые инициативы в этом направлении. В частности, утверждены три государственных стандарта, определяющих критерии оценки безопасности информационных технологий. Они устанавливают требования к формированию заданий по оценке безопасности в соответствии с положениями международных стандартов. По линии Гостехкомиссии созданы несколько руководящих документов, в том числе «Руководство по разработке профилей защиты», «Руководство по регистрации профилей защиты», «Методология оценки безопасности информационных технологий» и «Автоматизированный комплекс разработки профилей защиты».
Перечисленные документы по сути представляют собой прямую трансляцию положений международных стандартов ISO на российскую нормативно-техническую базу. В дополнение к ним создаются еще шесть спецификаций на защитные профили для операционных систем, межсетевых экранов, систем управления базами данных, автоматизированных систем учета и контроля ядерных материалов и др. Утвержден государственный стандарт РФ, определяющий процессы формирования средств проверки ЭЦП, и сейчас идет работа по переводу данного стандарта в категорию межгосударственного.
Утвержденная в 2002 году «Программа комплексной стандартизации в области защиты информации на 2002—2010 годы» предусматривает создание 38 новых государственных стандартов в данной сфере. Кроме того, ВНИИ «Стандарт» разрабатывает проект «Программы комплексной стандартизации в области защиты информации, составляющей государственную тайну». В ее рамках планируется принятие 42 национальных стандартов и других нормативных документов.
В свою очередь, Госстандарт разработал и представил на утверждение в Правительство РФ проект «Программы по разработке технических регламентов на 2003—2010 годы». В ходе ее выполнения планируется создать следующие документы: «Общий технический регламент безопасности информационных технологий», «Общий технический регламент требований к системам безопасности информационных технологий», «Общий технический регламент требований по защите информации, обрабатываемой на объектах информатизации» и «Специальный технический регламент требований по защите информации в оборонной промышленности». Их разработка будет завершена в 2004—2005 годы.
В 2003 году Госстандарт разработал проект классификатора техники и средств защиты информации, требований к контролю за эффективностью средств защиты информации и соответствующих систем управления. Создан проект государственного стандарта, включающего в себя общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации. Внедрение этих нормативных документов обеспечит единую классификацию механизмов и техники защиты информации, позволит определить основные характеристики систем качества техники защиты информации. Благодаря этому уменьшится разобщенность разработчиков и изготовителей, повысится уровень координации производителей специальной аппаратуры.
За либерализацию и общественное саморегулирование
Участники «круглого стола», представлявшие негосударственные организации, дипломатично оценивали меры по защите информации, которые принимаются правительственными структурами. Председатель совета «Ассоциации защиты информации» Геннадий Емельянов считает одним из наиболее острых вопросов определение роли государства в разработке, производстве и обращении средств защиты информации. Он считает процедуру ввоза в страну подобных средств чрезмерно зарегулированной, хотя и отмечает позитивные сдвиги в этом направлении. К примеру, ослаблен государственный контроль за производством и обращением средств криптозащиты невысокого уровня стойкости.
Докладчик дал положительную оценку новой редакции «Закона о техническом регулировании». По его словам, он снижает нагрузку на государственные органы, связанную с регулированием обращения средств защиты информации, и переводит эти вопросы в плоскость саморегулирования, например через механизм добровольной сертификации. Но в целом Емельянов поддержал предыдущих ораторов, заявив, что формирование нормативно-технической базы еще не закончено. Он высказался в пользу дальнейшей либерализации контроля за этой деятельностью — по мере достижения готовности всех заинтересованных сторон.