Rambler's Top100
Статьи ИКС № 3 2007
Галина БОЛЬШОВА  01 марта 2007

Срез отрасли ИБ: летаем, но невысоко

Сегодня с высоких трибун много говорится о приоритетах национальной безопасности РФ, составной частью которой является информационная безопасность (ИБ). Прошедший в конце января юбилейный Национальный форум ИБ сделал эти приоритеты – в духе времени – своими лозунгами, провозгласив «развитие индустрии ИБ и технологическую модернизацию страны».

А. БарановС. ПрадедовПо представительности последний форум побил, пожалуй, рекорды своих предшественников: более 1000 зарегистрированных участников, 30 министерств, 34 субъекта РФ, свыше 20 компаний-разработчиков и системных интеграторов.

Темами для обсуждения на традиционной конференции стали: инновации в ИТ для решения задач госуправления, ИБ в телекоммуникациях, проблемы комплексной защиты персональных данных и новые решения для создания защищенной информационной среды.

На выставке, развернутой в рамках форума, среди представленных средств защиты информации (СЗИ) как относительно свежие можно отметить: семейство Microsoft Antigen для защиты приложений от вирусов и спама (четыре антивирусных ядра); систему обнаружения и предотвращения вторжений StoneGate IPS от Stonesoft, получившую в декабре 2006 г. сертификат ФСТЭК как средство защиты ЛС протокола TCP/IP; Rutoken RF («Актив») – usbтокен со встроенной RFID-меткой, отмеченный первой премией «Продукт года-2006», а также маршрутизаторы Nortel IP VPN с поддержкой российских криптоалгоритмов, сертифицированные ФСТЭК.

Итоги-2006

Из всех результатов года порадовал лишь один: по словам Б. Мирошникова, начальника бюро МВД России, в 2006 г. рост киберпреступности впервые остался на уровне прошлого года – около 14 тыс. инцидентов. Основная доля (чуть более 50%) пришлась на несанкционированный доступ (НСД), но тенденция к изощренности и трансграничности атак, отмеченная в 2005 г., сохранилась. Другой положительный момент касается распространения в Интернете так называемого нежелательного контента (порно, экстремистская агитация и пр.): «в зоне .RU порядка больше», поскольку российские провайдеры следят за содержимым сайтов.

Создание федерального электронного правительства, по мнению руководителя ФАИТ В. Матюхина, невозможно без обеспечения защищенного межведомственного взаимодействия и безопасного доступа к БД бизнеса и населения. Эту задачу призван решить Федеральный информационный центр (ФИЦ), тестирование ряда компонентов которого ведется сегодня. Но один из необходимых элементов взаимодействия населения с e-правительством – социальная карта, которая и должна обеспечить получение около 3 тыс. услуг ФИЦ, – все еще в стадии разработки.

Отметив определенные «подвижки» в обеспечении конфиденциальности и доступности информации на транспортном уровне, первый замначальника центра ФСБ РФ А. Баранов, подчеркнул, что это заслуга отечественных производителей АТС и оборудования связи со встроенными россий-скими криптосредствами. Вместе с тем проблема защищенных ОС и БД, несмотря на наметившийся прогресс – появление некоторых защищенных версий Windows, выпуск Solaris («Свемел») со встроенными криптоалгоритмами и др., по-прежнему актуальна: наиболее распространенные СУБД этими качествами не обладают. В части приложений А. Баранов отметил широкое распространение защищенного электронного документооборота, но при этом заявил, что о реальном уровне защищенности можно будет судить только после тщательных проверок. Неудовлетворительной он считает и организацию распространения антивирусных продуктов, заметив при этом, что и Dr.Web, и «Антивирус Касперского» имеют сертификаты ФСБ на использование их для защиты информации, содержащей сведения, составляющие государственную тайну.

Вести с телеком-полей

Представитель Мининформсвязи А. Мишуков сообщил о завершении работ по созданию технических требований к сетям по защите от НСД и сохранению устойчивости и целостности. Сертификацию будут проводить ФСБ и ФСТЭК. К сожалению, эти требования нигде не опубликованы. А вот 25 рекомендаций МСЭ-Т по базовому уровню ИБ операторов связи, описывающих готовность и способность оператора взаимодействовать с другими «субъектами связи» (операторы, пользователи и правоохранительные органы) для совместного противодействия угрозам, приведены на сайтах МСЭ и АДЭ. В планах МСЭ – выпуск методики проверок соблюдения этого уровня.

Директор департамента КГ «Борлас» М. Емельянников заявил, что это один из самых больших вкладов России в разработку документов МСЭ по ИБ и сделан он был благодаря деятельности АДЭ. Кстати, многие участники форума считают, что обеспечение базового уровня могло бы стать условием для получения операторской лицензии.

Председатель секции, начальник Управления центра безопасности связи ФСБ РФ А. Кузьмин посетовал, что все предлагаемые на рынке продукты сертифицированы по 2-му уровню, и лишь «Инфотекс» в мае получит сертификат ФСБ на ViPNET Custom по 3-му уровню конфиденциальности. Он призвал разработчиков сертифицировать свои продукты по более высокому классу, добавив, что к концу 2007 г. ФСБ опубликует список других (кроме ГОСТ) разрешенных к использованию открытых алгоритмов.

Несколько важных проблем высветил председатель Исполкома АДЭ А. Кремер. Среди них – необходимость проработки методик создания СИБ для сетей 3G и Grid, использования средств фрод-мониторинга, а также применения на сети сертифицированных СЗИ и СИБ. МТТ порадовал завершением сертификации СИБ компании по стандарту ИСО 270012005. Данная сертификация – требование зарубежных присоединенных операторов, однако после завершения аудита выявился еще один позитивный фактор: сотрудники стали работать более эффективно.

О туманностях персональных данных

По мнению М. Емельянникова, закон «О персональных данных» таит в себе три проблемы – понимания, применения и наказания. Неясно, как работать с базами, созданными до вступления в силу закона, зачем предоставляются персональные данные спецорганам и каковы способы их обработки?

Что касается применения, то должны ли гостиницы, билетные кассы, турфирмы, кадровые агентства, ДЕЗы, ЕРЦ, налоговые инспекции, паспортные столы, МРЭО, поликлиники, наконец, защищать персональные данные, которые у них копятся? И как, если нет специалистов, нет финансирования… Цели и способы обработки наших данных у многих из перечисленных субъектов также не определены.

И о наказании. Цель этого ФЗ, как нам объясняли, – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Однако обратимся к ст. 137 УК РФ и ст. 13.11 КОАП РФ. Первая предусматривает наказание за «нарушение неприкосновенности частной жизни…», вторая – за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Нужен ли еще один закон, требующий дополнительных затрат? Не проще ли добиться соблюдения существующих?

Начальник отдела ИТ-безопасности МТС С. Прадедов убежден, что закон несет «дополнительную головную боль, не разъясняя, как и что, а порождая множество вопросов». Общие формулировки закона нуждаются в подзаконных актах и технических требованиях, которые должны были появиться в 2006 г., но… Более того, требование взаимодействия с правоохранительными органами (без утвержденных техтребований) – это дополнительные расходы оператора: одни требования – одна спецсистема, изменились – строй новую и т.д. При этом следование закону не позволяет оператору обеспечить доказательную базу при утечке данных (спецсистема становится «дырой» в СИБ).

***

Об инвестициях в отрасль мечтали участники заключительного заседания, вспоминая Индию и ее технологический феномен. А на наши грядущие технопарки «защитники» не очень-то надеялись: лучше бы льготы налоговые дали нашим разработчикам да PR-поддержку государства. Для стимулирования выхода на зарубежные рынки хотелось бы не только отмены запрещения на вывоз российских СКЗИ, но и скорейшего заключения соглашения о взаимопризнании сертификатов по «Общим критериям». По словам М. Гуриева (IBM Восточная Европа/Азия), Россия ежегодно теряет около $50 млн, которые могла бы получать, выдавая сертификаты европейским странам по этому стандарту.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!