Консолидация усилий бизнесменов и представителей власти для обеспечения информационной безопасности выгодна и тем и другим
Для игроков разных рыночных сегментов степень защищенности информации зачастую определяет уровень жизнеспособности их бизнеса, а госучреждения стремятся не только сохранить свои секреты, но и обезопасить граждан страны от масштабных противоправных действий. А посему уже никого не удивляет частота мероприятий, посвященных проблемам защиты информации, которые проводятся совместно государственными и коммерческими организациями. Всевозможные форумы, выставки, конференции и семинары организуются в нашей стране практически каждый месяц и со временем становятся традиционными.
Одним из мероприятий, с каждым годом привлекающих все большее число участников, можно назвать Всероссийскую конференцию «Обеспечение информационной безопасности. Региональные аспекты». Если в работе первой конференции (она состоялась в сентябре 2002 года в Сочи) приняли участие 60 человек, то через год их количество перевалило за сотню, а нынешней осенью на Черноморское побережье приехали 250 специалистов по защите информации. Представители госструктур, коммерческих организаций и научно-исследовательских учреждений третий год собираются для обсуждения различных аспектов комплексного обеспечения безопасности информационных систем и нормативно-правового регулирования в этой сфере.
Неразборчивая ЭЦП
Нынешняя конференция прошла при участии и поддержке аппарата Совета безопасности РФ, Гостехкомиссии при Президенте РФ, Федеральной службы безопасности РФ, различных министерств и ведомств, Ассоциации российских банков, Ассоциации защиты информации, Академии информационных систем и многих других организаций. Как и на последнем «Инфофоруме», состоявшемся в июне в Москве, одной из основных тем сочинского мероприятия стали правовые основы информационной безопасности (см. Сети, 2004, № 9, статья «Государство сохранит свои секреты»). Признана необходимость совершенствования законодательства в данном направлении. Представители органов власти вновь разводили руками, сознавая наличие множества нерешенных проблем при использовании технологий электронно-цифровой подписи.
Высокопоставленный представитель ОАО «Газпром» отметил, что процесс внедрения ЭЦП идет недопустимо медленно. В частности, руководство этой крупной корпорации недовольно отсутствием гарантий финансовой ответственности за возможные убытки со стороны фирм, предлагающих услуги удостоверяющих центров (УЦ). Вдобавок возникают проблемы с лицензированием деятельности таких организаций, что делает невозможным их нормальное функционирование.
По мнению руководителя Федерального агентства по информационным технологиям Владимира Матюхина, повсеместное использование ЭЦП представляется нереальным до тех пор, пока не будет создана четко структурированная система удостоверяющих центров. По данным государственных органов регистрации, с 2002 по 2004 год о готовности оказывать услуги УЦ (публичных и корпоративных) и центров регистрации заявили более 60 юридических лиц, «прописанных» в 30 городах России. Основная их масса была образована стихийно, а потому возникают сложности с координацией работ. Владимир Матюхин предложил создать рабочую группу, основными задачами которой станут определение типовой модели УЦ и формирование административно-правовой базы для обеспечения четкого функционирования системы электронного документооборота.
Бреши в государственной защите
Несмотря на усилия ведущих специалистов отрасли, по-прежнему острой остается проблема защиты государственных информационных систем. Как столичные, так и региональные органы власти беспокоятся по поводу возможных утечек конфиденциальных сведений и нарушения целостности ИС.
Координируя деятельность в сфере обеспечения ИБ, специалисты из госсектора и коммерческих организаций не только формируют административно-правовое поле, но и ведут поиск перспективных технологий для разработки и внедрения. В связи с этим интересно отметить, что на сочинской конференции почти не говорилось о биометрической технологии идентификации пользователей, тогда как на июньском форуме эта тема стала своеобразным хитом и вызвала много споров. Участники сентябрьского мероприятия сфокусировались на традиционных средствах защиты информации (межсетевых экранах, шифраторах и т. д.), разработанных отечественными производителями, такими как «Атлас» и «Голлард».
Активно обсуждалась необходимость проведения качественного аудита перед построением системы информационной безопасности. Технические возможности решений ведущих производителей достаточно высоки, но инциденты в корпоративных сетях все же происходят. Видимо, именно поэтому об аудите информационных систем говорили так много, причем уже не только представители коммерческих организаций, но и специалисты Гостехкомиссии РФ и Федерального агентства по техническому регулированию. Была специально организована секция «Проблемные вопросы нормативно-правового регулирования в области сертификации, аудита и аттестации безопасности информационных технологий», на которой докладчики обстоятельно освещали принципы исследований информационных систем разного профиля.
Обсуждение этой проблематики достигло апогея в последний день конференции, на заседании секции «Обеспечение информационной безопасности в банковской и экономической сфере», спонсором которой стала известная консалтинговая компания Pricewaterhouse-Coopers. Заместитель начальника главного управления безопасности и защиты информации Банка России Андрей Курило подчеркнул, что безопасность — это не продукты и решения, а системный процесс, в котором большую роль играют не столько внешние факторы, сколько внутренние. В данном случае имелось в виду преобладание внутренних угроз утечки информации над внешними, что и определяет расстановку акцентов при построении банковских систем ИБ.
Для крупных финансовых предприятий огромное значение имеют не только обеспечение конфиденциальности информации, но и непрерывность доступа к ресурсам 24 часа в сутки 7 дней в неделю. Курило напомнил слушателям, что сейчас активно прорабатываются стандарты информационной защиты для Банка России. Отмечалось, что следование этим параметрам в принципе не обязательно для участников коммерческого банковского сегмента, но весьма желательно для повышения общего уровня безопасности.
Завеса секретности
Нельзя не отметить, что особый интерес к работе конференции в Сочи проявили предприятия нефтегазового комплекса, а ОАО «Газпром» даже стало генеральным спонсором мероприятия. Это неудивительно, поскольку единая система газоснабжения страны имеет сложную, территориально-распределенную инфраструктуру, и ее элементы чувствительны к воздействию внешних угроз. В связи с этим руководство газового монополиста уделяет пристальное внимание анализу защищенности автоматизированных систем, оценке и прогнозированию угроз в сфере ИБ.
Специалисты по защите информации, работающие в нефтегазовом сегменте экономики, составили примерно треть общего числа участников мероприятия. Однако «газовики» держались особняком, и на заседание их секции другие специалисты допущены не были. Видимо, представление «Газпрома» о защите информации связано прежде всего с ограничением доступа к любым корпоративным сведениям.
Итак, приходится констатировать: несмотря на обилие предложений на рынке средств защиты информации, по-прежнему наблюдаются значительные затруднения при выборе заказчиком поставщика или технического решения. Это характерно и для крупных коммерческих организаций, и для госструктур. Кроме того, правильный выбор системы вовсе не гарантирует 100-процентную защищенность информационных ресурсов.
Путей выхода из своеобразного «кризиса» индустрии предлагается множество, но самое сложное — определить, какой из них окажется эффективным. Над этим и пытаются сообща работать бизнесмены и государственные деятели. Такое объединение усилий может принести определенные плоды — главное, чтобы цели и мотивы действительно оказались общими, а не такими, как в известной басне про лебедя, рака и щуку. А для этого необходимо, чтобы разрабатываемые правовые основы не ограничивали свободную деятельность игроков ИТ-рынка и способствовали развитию отрасли.