Основное внимание участников второго форума IT-Security, организованного учебным центром «Информзащита» в рамках декабрьской выставки ВКСС, было сосредоточено на различных аспектах обеспечения безопасности корпоративных и ведомственных систем
По сложившейся традиции пленарные докладчики говорили о проблемах правового регулирования отрасли и нехватке квалифицированных специалистов.
Сотворение законов
Заместитель начальника управления ФСБ России Александр Логачев акцентировал внимание слушателей на необходимости обеспечения информационной безопасности удостоверяющих центров (УЦ) в рамках сетей общественного пользования. По официальным данным, о готовности оказывать услуги публичных и корпоративных УЦ и центров регистрации заявили более 60 юридических лиц в 30 городах России. Органам власти предстоит решить нелегкую задачу — не только организовать и упорядочить работу этих структурных единиц, но и обеспечить комплексную защиту их информационных ресурсов.
ДИРЕКТОР УЦ «Информзащита» Зоя Попова на открытии второго форума IT-Security |
Прежде чем приступать к созданию комплексных систем ИБ для органов власти, необходимо обеспечить адекватную законодательную платформу. Игорь Калайда, заместитель начальника отдела лицензирования и сертификации ФСТЭК России (Федеральной службы по техническому и экспортному контролю, бывшей Гостехкомиссии РФ), полагает, что основой такой правовой базы должны стать технические регламенты. По его словам, первоочередные документы «О безопасности информационных технологий» и «О требованиях к обеспечению информационной безопасности информационных технологий» уже находятся в стадии подготовки. Первый из этих регламентов госорганы обещают представить в ноябре 2005 года, а второй — месяцем позже.
Интересно, что непосредственного разработчика документов властные структуры будут определять по итогам открытого конкурса в I квартале наступившего года. Заказчиками являются ФСБ, Минобороны, ФСТЭК, Мининформ-связи и другие министерства и ведомства.
В свою очередь, Александр Першов, начальник отдела Министерства информационных технологий и связи, подчеркнул, что считает данное направление деятельности стратегическим для отрасли. По его мнению, особое внимание при создании правовых актов и внедрении специальных средств защиты должно быть сосредоточено на обеспечении ИБ в широкополосных коммуникациях, взаимодействии открытых систем, управлении защитой и безопасности при работе в Internet.
Выработка регламентов, по мнению Першова, позволит организовать работу по обеспечению комплексной ИБ государственных информационных систем и снять противоречия закона «О техническом регулировании». Немаловажно, что будет сформирован перечень средств, подлежащих обязательной сертификации. Першов подчеркнул, что после утверждения Правительством и Президентом России эти документы обретут статус федеральных законов. С помощью правового инструментария госструктурам будет легче решать назревшие проблемы и бороться с преступностью в сфере ИТ.
Растущая криминализация отрасли вызывает серьезную обеспокоенность органов власти. По словам представителя ГУСТМ МВД России, действия злоумышленников наносят предприятиям ощутимый ущерб. Количество преступлений в сфере ИТ ежегодно растет примерно в 1,5—2 раза, причем, по данным МВД, в минувшем году 87% противозаконных действий были связаны с проникновением в корпоративные сети. Особенно тревожна ситуация в сфере телекоммуникаций и в банковском секторе. Хотя количество преступлений в компаниях сотовой связи несколько сократилось за счет введения стандартов безопасности, общее число противоправных действий в области телекоммуникаций продолжает расти. По сведениям МВД, за первые девять месяцев 2004 года в отрасли было зарегистрировано более 2 тыс. преступлений.
Увеличивается и число атак на информационные системы банков, особенно иностранных. Наиболее популярным видом мошенничества в этой сфере являются незаконные действия с кредитными картами: за четыре года количество таких преступлений выросло более чем вдвое. А за девять месяцев 2004 года зарегистрировано более 287 подобных фактов.
Кадровый вопрос
Разговор об основных проблемах российской сферы ИБ был бы неполным без освещения кадрового вопроса. По мнению участников форума, на сегодняшний день российская система образования не может полностью удовлетворить потребность отрасли в квалифицированных специалистах. Ситуация осложняется и тем, что (в связи с развитием рынка, ростом количества угроз безопасности информационных ресурсов, введением систем электронного документооборота и использованием электронно-цифровой подписи) в последние годы значительно расширился круг задач, которые требуется решать специалистам по защите ИТ. А значит, изменились требования к обучению таких сотрудников и повышению их квалификации.
Как сообщил Сергей Смирнов, первый заместитель начальника ИКСИ (Института криптографии, связи и информации) Академии ФСБ России, в настоящее время группа государственных образовательных стандартов высшего профессионального образования 075000 «Информационная безопасность» включает в себя семь специальностей. Более 100 вузов России осуществляют подготовку кадров по этим курсам. Тем не менее мощности государственных образовательных ресурсов не позволяют удовлетворять потребности страны в специалистах по защите информации. К примеру, по данным Минобразования РФ, в 2002 году прием студентов по группе специальностей 075000 составил 1,5 тыс. человек на бюджетные места и около 1 тыс. человек — на платные. Между тем прогнозируемая потребность в специалистах на 2003—2006 годы составляет 5 тыс. человек ежегодно.
Чтобы восполнить недостаток квалифицированных кадров, российские вузы разрабатывают специальные программы, курсы и методики обучения специалистов и повышения их квалификации. Стратегию действий в данном направлении определяют две организации — учебно-методическое объединение (УМО) по образованию в области ИБ на базе ИКСИ Академии ФСБ и учебно-методический совет Российского государственного гуманитарного университета (УМС РГГУ).
Коммерческие учебные центры предлагают многочисленные курсы в области ИБ, но на платной основе. К примеру, только УЦ «Информзащита» за шесть лет работы подготовил более 5 тыс. специалистов. Одна беда — сертификаты таких центров подходят лишь для коммерческих структур, а в госсекторе непременно требуются дипломы государственного образца. Выходит, решать общую для чиновников и бизнесменов проблему каждый опять вынужден по-своему.