В Москве в рамках выставки ВКСС прошел первый IT-Security Форум, организованный учебным центром «Информзащита».
Форум открылся пленарным заседанием, на котором обсуждались проблемы обеспечения потребителей эффективными средствами защиты информации, говорилось о несовершенстве правовой основы деятельности на рынке и недостатке квалифицированных кадров.
Начальник Центра безопасности связи ФСБ РФ Виктор Горбачев считает, что по своим темпам разработка средств защиты информации в России существенно отстает от развития информационных технологий. Скажем, сейчас в нашей стране начинается активное внедрение беспроводных технологий передачи данных, однако на рынке практически нет надежных средств защиты радиотрафика. Бурными темпами растет применение технологий электронного документооборота и механизмов электронно-цифровой подписи (ЭЦП), но несовершенство законодательства препятствует развертыванию общенациональной инфраструктуры удостоверяющих центров ЭЦП.
ЮРИЙ ПОПОВ: «При создании информационных или телекоммуникационных систем о способах обеспечений их безопасности у нас думают на завершающем этапе» |
Представителя ФСБ поддержал начальник отдела лицензирования и сертификации Гостехкомиссии РФ Юрий Попов. Он отметил, что в сфере защиты информации Россия регулярно делает шаг вперед и два шага назад. «При создании информационных или телекоммуникационных систем, — сказал он, — о способах обеспечения безопасности у нас думают на завершающем этапе. Что же касается действующих систем, вопросы защиты данных нередко решаются по остаточному принципу».
«Российский бизнес начинает осознавать необходимость повсеместного внедрения систем информационной защиты», — полагает руководитель департамента безопасности ОАО «Связьинвест» Михаил Емельянников. Однако формирование нового мировоззрения осложнено «болезнью самодостаточности» структур, обеспечивающих безопасность данных. Их функционирование зачастую не соотносится с конкретными бизнес-процессами предприятий, а особенности взаимодействия таких служб с ИТ-департаментами и другими подразделениями компаний не учитываются. В результате вся деятельность по защите конфиденциальных сведений воспринимается организациями не как подспорье, а как помеха бизнесу. Ответственность же за инциденты возлагается исключительно на специалистов системы безопасности.
Емельянников убежден, что все сотрудники компании, включая руководство, должны иметь необходимую подготовку в этой области, а механизмы ответственности за потерю важных сведений следует строить по распределенному принципу. Емельянников рекомендует формировать корпоративную систему информационной безопасности в два этапа. Сначала на основе стандартных механизмов и средств защиты периметра, разграничения прав доступа и прочих мер реализуется базовый уровень защиты. Затем проводится тщательный анализ защищенности конкретных бизнес-процессов, соответствующих им рисков и размеров ущерба от нарушения целостности конфиденциальных сведений. На этом этапе базовая система подлежит реконфигурированию и дополнению для усиления защиты наиболее уязвимых объектов информационной среды.
Заместитель начальника управления Минсвязи Александр Першов обратил внимание участников форума на существующее недопонимание самого определения информационной безопасности. «Это не только целостность и конфиденциальность данных, но и надежность телекоммуникационных систем, и обеспечение постоянной доступности услуг с заявленными характеристиками качества», — сказал он.
Для связистов чрезвычайно важны предложения участников рынка в области гарантированной доставки информации. Представитель Минсвязи считает, что Россия может похвастаться великолепно организованной системой защиты государственных секретов. В этой сфере действуют специалисты высочайшей квалификации, и многие наработки компетентных ведомств могли бы найти применение и в гражданских целях. Першов посетовал на закрытость подобных разработок и на то, что даже средства, применяемые в сетях связи общего пользования, не всегда прозрачны для гражданских связистов. Следовательно, они не могут в полной мере гарантировать устойчивость функционирования систем передачи информации.
Задача обеспечения рынка эффективными средствами защиты взаимоувязана с необходимостью совершенствования правового обеспечения в сфере информационной безопасности. В этой связи Горбачев заявил: «Для защиты информации, содержащей государственную тайну, допустимо использовать только сертифицированные отечественные средства и разработки».
В функционировании отлаженной системы сертификации заинтересованы и гражданские потребители. Как положительные примеры упоминались вступление в силу нового стандарта ГОСТ/ИСО МЭК 15408-2002 «Общие критерии оценки безопасности информационных технологий» и принятие важнейшего для отрасли закона «О техническом регулировании». В соответствии с положениями нового закона при поддержке и непосредственном участии Гостехкомиссии недавно зарегистрирована «IT-Сертифика» — общественная организация по добровольной сертификации средств защиты данных. Об этом сообщил председатель Ассоциации защиты информации Геннадий Емельянов. По его словам, сейчас решаются вопросы создания руководящих и исполнительных структур, методического и нормативного обеспечения деятельности сертифицирующего органа.
Несмотря на упоминания о положительных сдвигах в области правового обеспечения, участники форума с сожалением констатировали, что «Общие критерии», которые регламентируют оценку надежности систем защиты, еще не ратифицированы российской администрацией связи на международном уровне. Последнее обстоятельство существенно ограничивает область применения нового стандарта.
В свою очередь, закон «О техническом регулировании» содержит ряд глубоких противоречий. Для того чтобы он начал работать в полную силу, требуется внести множество поправок в действующее законодательство. Позитивно оценив закон в целом, Попов заявил, что в нашей стране еще нет специалистов, способных понять все юридические тонкости данного документа, поэтому Правительство РФ поручило Гостехкомиссии подготовить необходимые изменения и поправки к недавно принятому законодательному акту. Несовершенство правовой базы стало «общим местом» в выступлениях участников форума, в том числе тех, кто по долгу службы отвечает за формирование нормативов в области информационной безопасности.
Пленарное заседание завершилось обсуждением вечной для России проблемы недостатка квалифицированных кадров. По сведениям Александра Толстого, замдекана факультета информационной безопасности Московского инженерно-физического института, только восемь российских ВУЗов готовят специалистов в области защиты информации. Кроме того, в различных регионах страны действуют 25 курсов соответствующей направленности. Всего российская система образования ежегодно подготавливает 1600 специалистов различных категорий, хотя только в государственном секторе экономики каждый год образуются 2400 вакансий для специалистов по информационной безопасности. Масштабы кадрового голода в коммерческом секторе никто не оценивал, но очевидно, что здесь спрос на таких специалистов еще выше.