Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Ближайшие события

Галина БОЛЬШОВА

10 марта 2009

В ИТ кризис не виден

– столь неожиданное заявление прозвучало на 11-м национальном форуме информационной безопасности «Инфофорум-11», состоявшемся в последние дни января в Москве. Так ли это, выясняли участники форума не только на заседаниях и секциях мероприятия, но и в кулуарах.

Пленарное заседание «Информационная безопасность России: новые вызовы, угрозы, приоритеты» не полностью соответствовало своему названию: принципиально новым оказался лишь один приоритет – безопасность персональных данных (ПД). Все остальное – вызовы, угрозы и даже б'ольшая часть приоритетов – не изменилось. А в качестве основного признака кризиса все выступавшие указывали лишь на рост количества «старых» угроз: инсайдеры, кража кредиток, мошенничество и др., хотя отмечалось некоторое уменьшение числа негосударственных инфраструктурных проектов.

Приоритеты и привилегии в условиях кризиса

О. Чудов (Минкомсвязи) констатировал снижение спроса на ИТ-услуги, темпов роста ИТ, замораживание крупных инфраструктурных проектов, сокращение кадров в отрасли и другие негативные факторы кризисной ситуации и указал на ряд налоговых льгот, предоставленных Правительством РФ для поддержки инфраструктурного развития. По его мнению, также следует внести в законодательство изменения, обеспечивающие приоритет российским разработчикам, и предусмотреть меры для увеличения экспорта отечественных решений. Нужно не только вводить ценовые преференции для российских поставщиков, но и привлекать к госпроектам компании SMB, оказывая им содействие в бизнесе. В Минкомсвязи уже создана рабочая группа по повышению устойчивости cвязи и ИТ, планирующая на основе мониторинга принимать стратегические и оперативные меры по поддержанию экономической стабильности предприятий.

Однако проведенный ведомством в конце 2008 г. опрос участников рынка ИБ о кризисе выявил «полнейшее спокойствие» в рядах «безопасников». Компании не считают ситуацию на рынке ИБ кризисной.

Просить денег у государства невыгодно, говорили в кулуарах. Во-первых, бумаг нужно немерено, обоснование – инновационное (а не «на жизнь»), да и достанется (если дадут, конечно) не вся сумма (коррупция, как говорит наш президент). Большинство надеются на себя: сокращение издержек, поиск «правильного» заказчика, интенсификация предложения, иногда – снижение стоимости решения.

Заседание секции подтвердило индифферентное отношение к кризису. А проблемы экспорта российских продуктов, особенно российской криптографии, существовали и прежде. Возможно, в условиях кризиса появятся некоторые послабления в этой сфере, поскольку спрос на российские криптоалгоритмы есть и в арабских странах, и в Китае, и в Юго-Восточной Азии. Директор по ИБ Microsoft  В. Мамыкин даже предложил использовать для этой цели каналы сбыта своей компании в этих странах.

Господдержка нужна скорее не тем компаниям, которые сокращают инновационные проекты, а тем, кто реально работает в области безопасности, считает гендиректор «Свемела» С. Сальников. Нужно поддерживать не тех, кто владеет каналами связи (они без куска хлеба не останутся), а ИТ-компании, занимающиеся реальными проектами для населения. Но их-то как раз и не оказалось в списке тех, кому правительство решило помочь.

Можно было бы говорить о снижении (но не об отмене!) налогов для компаний ИТ-отрасли, но никто даже не заикнулся об этом, хотя коллега из Белоруссии рассказал, что у них для инновационных компаний и парка высоких технологий налоги практически отменены. У нас же даже сам вопрос, не будет ли полезно для бюджетных организаций при создании у них системы защиты ПД снизить им налоги, вызвал горький смех.

Знание закона не обеспечивает его реализацию

По мнению М. Гришанкова, первого заместителя председателя Комитета Госдумы ФС РФ по безопасности, наиболее актуальная задача отрасли ИБ – обеспечить соблюдение закона «О персональных данных» (ФЗ-152), поддержанного необходимыми для его исполнения техническими регламентами, методиками и постановлениями правительства.

Требования ФЗ-152 в первую очередь должны быть реализованы в субъектах РФ, в исполнительных органах федеральной и муниципальной власти. Таких систем обработки ПД насчитывается 87 тыс., и, по словам представителя ФСТЭК, все классифицированы в соответствии с требованиями ФСТЭК. Дело за малым: установить в них средства безопасности и аттестовать систему обработки ПД. Но сделать это своими силами исполнительные органы не могут: нужны специалисты ИБ высокой квалификации и обладание соответствующей лицензией ФСТЭК или ФСБ на право аттестации, результатом которой и является вожделенный сертификат соответствия системы требованиям ФЗ. Лицензиатов же в РФ немногим более 2 тыс., а определенный государством срок («время ПД») – 1 января 2009 г. – изменен не будет (таково мнение всех участников).

Как сообщил представитель одной из ИБ-компаний–системных интеграторов, построившей за полгода пять таких систем защиты ПД, в год компания может освоить не более 10. Несложные подсчеты показывают, что на реализацию ФЗ-152 во всех 87 тыс. организаций потребуется 4 года и 4 с лишним месяца. Но ведь кроме этих 87 тыс. есть медицинские и образовательные учреждения, операторы связи, поставщики услуг и другие операторы персональных данных, и имя им – легион. Так что 2 тыс. лицензиатов уж точно не хватит на всех операторов ПД и что предпримет государство после наступления «времени ПД», предсказать несложно: начнет наказывать рублем. Тем паче, что, по свидетельству регуляторов (ФСТЭК, ФСБ и Минкомсвязи), уже в III кв. 2009 г. появятся документы, определяющие методологические основы контроля работы с персональными данными.

Кстати, хотя в кулуарах все «строители» систем защиты говорили о явно завышенных требованиях ФСТЭК, согласно которым ПД приравниваются к гостайне, претензий к службе, кроме непубличности самих требований (имеют гриф «ДСП»), не выражали. Похоже, смирились, найдя выход в оптимизации систем в рамках классификации для снижения жесткости требований.

Но это всё технические проблемы. А есть и другие, финансовые например. Как известно, технически можно всё, дело – в цене. Кто заплатит за создание такой сертифицированной защищенной ИС с обработкой ПД? Кстати, на вопрос о порядке стоимости означенного проекта в местном органе власти ни одна из компаний, выступавших с «опытом реализации», ответить не пожелала.

По словам М. Коротина, первого замминистра науки, информатизации и новых технологий Республики Мордовия, где уже аттестована система для работы с электронным регистром населения на 600 рабочих мест, главные трудности связаны с финансированием проекта – в муниципалитетах нет ни денег, ни полномочий, ни специалистов, ни желания заниматься защитой ПД. Он считает, что для этого необходимо внести изменения в ряд законов, причем не только местных, но и федеральных.

Ведущий советник Комитета Госдумы по безопасности Е. Волчинская очертила минимальный круг правовых проблем, среди которых и несоответствие ФЗ-152 ряду статей ФЗ «О лицензировании отдельных видов деятельности», «Об информации, информационных технологиях и защите информации», и необходимость уточнения Постановлений Правительства № 504 (от 15.08.2006) и № 781 (от 17.11.2007), а также приведения в соответствие совместного приказа ФСТЭК, ФСБ и Минкомсвязи от 13.02.2008 и ФЗ-152. Вдобавок, несмотря на обилие документов, неясно, какова гражданско-правовая ответственность за причинение ущерба. Словом, как выразился один из участников дискуссии, «создав абсурдное законодательство, мы бросились его выполнять, не задумываясь о несуразной аксиоматике, используемой в законах». Добавим: и не зная, как преодолеть противоречия «сопряженных» законов, толкующих одну и ту же проблему (или понятие) по-разному.

  

И в заключение два тезиса, прозвучавших на форуме. Первый, основанный на собственном опыте, от системных интеграторов: «Спроса на системы защищенного электронного документооборота на рынке нет ни среди коммерческих, ни среди госкомпаний». Второй принадлежит А. Кузьмину, зам. начальника Центра ФСБ России: «Пока в стране нет ни одной системы, которую можно считать системой защищенного электронного документооборота, только системы делопроизводства». Одну из причин сложившейся ситуации участники форума видят в недостатках законодательства: не обновлен закон об ЭЦП, а закон об электронном документе бродит по Госдуме уже 8 лет.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!