В конце марта эстафету конференций по проблемам информационной безопасности подхватила Ассоциация документальной электросвязи (АДЭ).
БОРИС АНТОНЮК сообщил, что шесть документов, направленных на согласование в Правительство РФ, вернулись обратно в связи с реорганизацией последнего |
По традиции она привлекла к своей работе представителей Минсвязи, МВД, Совбеза и Гостехкомиссии РФ, а также более 200 сотрудников государственных и коммерческих учреждений из сфер правоведения и ИТ. На волне растущего внимания российского бизнеса к теории и практике защиты информации конференция имела большой успех, о чем и было объявлено на пресс-брифинге, посвященном этому мероприятию.
Главным спикером на брифинге стал Борис Антонюк, который все еще выступал в роли первого заместителя министра по связи и информатизации РФ. По-видимому, устроителям конференции пришлось поломать голову над тем, как корректно представить публике замминистра расформированного министерства, но в конце концов выход был найден. Его озвучил сам Антонюк, сообщив, что, согласно распоряжению Правительства РФ от 9 марта 2004 года, само Министерство связи и все его должностные лица выполняют свои обязанности вплоть до официального назначения правопреемников. Вместе с тем, подчеркнул Антонюк, Минсвязи уже не может принимать полномочные решения и занимается лишь правоприменительной и надзорной деятельностью в своей отрасли.
Кстати, начавшаяся в марте реформа системы исполнительной власти затормозила вступление в силу множества подзаконных актов, которые должны были пояснить ряд положений утвержденного в 2003 году ФЗ «О связи». Борис Антонюк сообщил, что шесть документов, направленных в январе/феврале Правительству РФ на согласование, недавно вернулись обратно, поскольку ответственные ведомства находятся в процессе расформирования. Та же участь постигла законодательные нормы, регламентирующие деятельность по защите информации: их принятие перенесено на более поздний срок, поскольку они требуют изменений в других областях государственного права.
Как бы то ни было, работа по законодательному и методологическому обеспечению информационной безопасности в нашей стране не стоит на месте. По данным Антонюка, примерно пятая часть сегодняшних ИТ-бюджетов в российском бизнесе (0,5 млрд долл. в год) направляется именно на закупку и эксплуатацию систем информационной защиты. Спрос, по известному сценарию, порождает предложение товаров и услуг, а они (поскольку относятся к столь деликатной сфере) нуждаются в особой опеке со стороны государства.
Председатель исполкома АДЭ Аркадий Кремер отметил, что квинтэссенцией четвертой конференции АДЭ по информационной безопасности стала пропаганда комплексного подхода к решению соответствующих задач. Раньше в этой области ИТ преобладал «лоскутный» метод. Большинство коммерческих компаний и госучреждений считали, что уязвимости информационной среды можно ликвидировать за счет покупки и инсталляции отдельных средств защиты, без единого централизованного управления ими. Сейчас у заказчиков появилось реальное понимание того, что надежную защитную стену от угроз и вторжений можно выстроить лишь благодаря тщательной подгонке отдельных «кирпичиков» (компонентов системы ИБ) друг к другу.
Работа над документами
Верная своему принципу основательной проработки вопроса, АДЭ взялась за дело «с азов». В 2004 году на обсуждение ассоциации был вынесен проект документа «Система обеспечения информационной безопасности сетей связи общего пользования (ССОП). Термины и определения». Этот документ призван привести к единому знаменателю все многообразие существующей терминологии, которая определяет отношения между заказчиками систем ИБ и поставщиками продуктов и услуг.
Второй проект, который курирует сам Аркадий Кремер, подразумевает доработку «Концепции обеспечения информационной безопасности ССОП России», представление ее на коллегию Минсвязи РФ и создание программы претворения в жизнь данной концепции. Пожалуй, этот проект — наиболее важная и критичная часть работы АДЭ в области правового обеспечения ИБ. В его рамках участники ассоциации пытаются сформулировать базовые требования к информационной безопасности в ССОП. Таким образом, к перечню условий присоединения операторов к взаимоувязанной сети связи (ВСС) России вскоре может добавиться новый пункт.
Комментируя значимость проекта, Аркадий Кремер сказал: «Уровень безопасности ВСС России определяется ее наиболее слабым звеном, то есть может зависеть от одного оператора, который не желает тратить деньги на комплексную защиту ресурсов своей сети». Понятно, что от такого звена страдает вся цепочка провайдеров услуг и их непосредственных клиентов. Поэтому АДЭ хочет предусмотреть рычаг воздействия на нерадивых операторов, который будет состоять в широком использовании механизмов страхования информационных рисков. Операторским компаниям, которые не удовлетворяют базовым требованиям к безопасности, будет отказано в заключении страховых договоров.
Третий ключевой документ, создаваемый в стенах АДЭ, называется «Меморандум противодействия распространения вредоносных программ и спама». Ответственным за его разработку является генеральный директор «ДиалогНаука» Сергей Антимонов. Меморандум уже подписали несколько десятков представителей фирм, создающих антивирусное и антиспамерское ПО, системных интеграторов и провайдеров Internet-услуг. В документе говорится о серьезности угрозы от сетевых вирусов и спама, но затем следует: «Нет необходимости в принятии отдельного законодательного акта, предметом регулирования в котором был бы спам». По мнению инициаторов меморандума, «было бы достаточным внесение изменений и дополнений в действующие федеральные законы и нормативно-правовые акты иного уровня». В данном случае речь идет об усовершенствовании ФЗ «О рекламе» и ФЗ «О почтовой связи».
Однако предложенные методы не кажутся слишком действенными, что и подтвердил на пресс-брифинге Борис Антонюк. Он сообщил, что формально спам должен регулироваться ФЗ «О рекламе», но Министерство по антимонопольной политике (к компетенции которого относится контроль за соблюдением этого закона) бездействует. Поэтому в Минсвязи ищут другие методы легитимного воздействия на спамеров и их сообщников, например в рамках формирующегося законодательства о защите информации.