Национальный форум информационной безопасности

(Редакционный материал)

(«Информационное право», 2007, N 1)

НАЦИОНАЛЬНЫЙ ФОРУМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

25 — 26 января 2007 г. в Москве состоялся 20-й юбилейный Национальный форум информационной безопасности (ИНФОФОРУМ).

В рамках форума прошли 9-я Всероссийская конференция «Информационная безопасность России в условиях глобального информационного общества», 4-я церемония награждения лауреатов профессиональной премии в области информационной безопасности «Серебряный кинжал» и 1-я церемония награждения лауреатов премии оргкомитета ИНФОФОРУМа для журналистов и СМИ «За освещение в прессе тематики развития информационного общества и проблем информационной безопасности».

Организаторами форума выступили: Комитет Государственной Думы по безопасности, Аппарат Совета Безопасности Российской Федерации, Федеральное агентство по информационным технологиям, Правительство Москвы, некоммерческое партнерство «ИНФОФОРУМ».

Открытие форума приветствовал председатель Комитета по безопасности В. А. Васильев. Со вступительным словом выступил заместитель председателя Комитета по безопасности, сопредседатель оргкомитета ИНФОФОРУМа В. В. Дятленко, он же вел пленарное заседание конференции вместе с руководителем Федерального агентства по информационным технологиям В. Г. Матюхиным и заместителем начальника Управления информационной безопасности Аппарата Совета Безопасности РФ А. А. Стрельцовым.

Всего в ИНФОФОРУМе приняли участие около 750 специалистов, из них:

представители органов государственного управления (разного уровня) — 304 чел., представители коммерческих организаций — 211 чел., представители учебных заведений — 220 чел., представители НИИ и научных центров — 14 чел.

Представлено было большинство федеральных министерств, служб и агентств. Очень показательно, что проблемами информационной безопасности сегодня интересуются не только силовые структуры, но и ведомства, занимающиеся медициной и культурой, промышленностью и недвижимостью, транспортом и финансами.

На форуме присутствовали представители администраций пяти федеральных округов: Центрального, Северо-Западного, Приволжского, Сибирского и, впервые, Южного. Приняли также участие делегации 52 субъектов Российской Федерации.

Достаточно широко в этом году были представлены вузы Российской Федерации, поскольку мероприятия нынешнего ИНФОФОРУМа приурочены к 10-летию Учебно-методического объединения вузов Российской Федерации в сфере информационной безопасности.

В работе форума приняли участие делегации Республики Казахстан, Республики Беларусь, Республики Узбекистан, представители Госспецсвязи Украины.

Для освещения работы ИНФОФОРУМа было аккредитовано 59 представителей СМИ.

Главное мероприятие форума — конференция — проходило под девизом «Развитие индустрии информационной безопасности и технологическая модернизация страны — приоритеты национальной безопасности Российской Федерации».

Помимо пленарного заседания в рамках конференции были проведены шесть секционных заседаний по следующим темам:

— «Инновации в информационных технологиях для решения актуальных задач государственного управления»;

— «Информационная безопасность в телекоммуникациях»;

— «Проблемы образования в области информационной безопасности»;

— «Новые программные и технологические решения для создания защищенной информационной среды»;

— «Проблемы комплексной защиты персональных данных»;

— «О государственном стимулировании развития отрасли информационной безопасности».

Последние два мероприятия готовились и проводились при непосредственном участии Комитета Государственной Думы по безопасности.

Целью секционного заседания «Проблемы комплексной защиты персональных данных» (ведущие — В. В. Селин, начальник управления ФСТЭК России, и Е. К. Волчинская, ведущий советник Аппарата Комитета Государственной Думы по безопасности) было обсуждение проблем применения Федерального закона «О персональных данных», вступающего в действие в конце января, уточнение степени готовности нормативных правовых актов Правительства РФ и уполномоченного органа по защите прав субъектов персональных данных. На заседании выступили более 10 участников, в том числе: заместитель руководителя Россвязьнадзора С. А. Мальянов, заместитель начальника Управления ФСТЭК России А. А. Бажанов, заместитель начальника Управления ЦИБ ФСБ России Д. Б. Фролов, заместитель начальника Управления Федерального архивного агентства Т. Ф. Павлова. Выступающие констатировали, что необходимые подзаконные акты пока не приняты, нормы Закона требуют конкретизации и пояснений, необходимо привести в соответствие с данным Федеральным законом иные законодательные акты, в противном случае при создании крупных информационных систем эта рассогласованность будет препятствовать эффективной защите персональных данных. Большие надежды возлагаются на деятельность уполномоченного органа по защите прав субъектов персональных данных — Россвязьнадзор, который пока не укомплектован кадрами и не имеет всех необходимых полномочий. В Государственной Думе идет подготовка к рассмотрению во втором чтении проекта федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О персональных данных», который призван устранить коллизии законов.

«Круглый стол» «О государственном стимулировании развития отрасли информационной безопасности» (ведущие — В. В. Дятленко, заместитель председателя Комитета Государственной Думы по безопасности, и В. Г. Матюхин, руководитель ФАИТ) готовился по решению Комитета Государственной Думы по безопасности. Решение о проведении «круглого стола» было продиктовано тем, что члены Комитета Государственной Думы по безопасности заинтересованы в укреплении национальной безопасности, развитии отечественной науки, усилении конкурентоспособности российского производителя, особенно в части обеспечения информационной безопасности, которая становится неотъемлемым элементом любой сферы жизнедеятельности гражданина, общества и государства.

Целью «круглого стола» был обмен мнениями по поводу перспектив развития отечественной индустрии информационной безопасности, целесообразности ее поддержки со стороны государства и форм такой поддержки.

Выступили 14 участников «круглого стола», в том числе директор Департамента построения информационного общества Мининформсвязи России О. В. Бяхов, вице-президент Лиги содействия оборонным предприятиям В. А. Рубанов, А. С. Кремер (АДЭ), О. А. Беззубцев (АЗИ), А. В. Соколов (АП КИТ), А. А. Солдатов (РНЦ «Курчатовский институт»), С. Г. Антимонов (ОАО «Диалог-Наука»), С. А. Сальников (МВП «СВЕМЕЛ»), А. С. Пискарев («Атоминформзащита»).

Констатировалось, что информация становится все более дорогим важным ресурсом. Глобализация информационных процессов стимулирует развитие электронного документооборота, которое невозможно без соответствующей защиты транзакций. Помимо разработки технологий защиты, необходимо создать правовые условия для внедрения электронного документооборота, в том числе внести изменения в кодексы (прежде всего, Налоговый кодекс, процессуальные кодексы) и федеральные законы (О. В. Бяхов). Чтобы стать конкурентоспособными, российские компании должны научиться работать в зарубежными клиентами, правильно ориентироваться на их потребности. «Вырастить» такие компании можно в технопарках, которые создаются сейчас в России в соответствии с государственной программой. Правительство РФ пока недостаточно использует возможности заключения так называемых офсетных соглашений, когда производители не просто ввозят в Россию свое оборудование, технологию (в том числе программное обеспечение), а в обмен на это покупают российские продукты либо инвестируют в перспективные продукты. Развитие программ «электронного правительства», расширение электронных коммуникаций между правительством и гражданами также формирует потребительский стимул для развития средств и систем защиты таких коммуникаций как для правительства, так и для граждан. О. В. Бяхов заверил, что Министерство информационных технологий и связи в рамках общей программы содействия развитию и внедрению информационно-коммуникационных технологий готово специальное внимание уделить средствам информационной безопасности.

Создаются венчурные фонды для поддержки инноваций: Российская венчурная компания (которая находится в ведении Министерства экономического развития и торговли) и Российский инвестиционный фонд информационно-коммуникационных технологий (которым занимается Мининформсвязи). «Сообщество специалистов в сфере информационной безопасности может собрать информацию о различных перспективных проектах, которые нуждаются в поддержке, и передать ее менеджменту фонда для экспертизы», — предложил О. В. Бяхов.

Вопрос выхода отечественных производителей средств обеспечения информационной безопасности на внешние рынки — это вопрос политический, в рамках решения которого необходимо определиться, в какие регионы мира и какие продукты целесообразно продавать (В. Г. Матюхин, В. А. Рубанов).

Рынок защиты информации, как правило, в значительной мере регулируется государством, поскольку информационная безопасность — это составная часть государственной безопасности. Многие ведомства занимаются информационной безопасностью, но нет пока государственной системы информационной безопасности. Представитель администрации Липецкой области В. Д. Ростряков с горечью констатировал: «Нет «дирижера в этом оркестре», который бы строил вертикаль информационной безопасности, хотя бы в органах государственной власти».

О задачах органов государственной власти в сфере обеспечения информационной безопасности говорил также А. С. Кремер, указывая, что правовое регулирование информационной безопасности наиболее эффективно, когда в целом сформулированы правовые основы информационного общества. Для выработки четкой законодательной программы и адекватного развития информационных технологий правового регулирования необходимо объединение усилий юристов и специалистов в области информационных технологий. Государственные органы могут и должны играть решающую роль в координации действий субъектов в сфере обеспечения информационной безопасности. Для решения данной задачи следует создавать межведомственные структуры, наделенные контрольными полномочиями в сфере информационной безопасности, сделать более открытым и демократичным процесс выработки стандартов, правил обеспечения информационной безопасности, разработать меры по предупреждению угроз сетям электрической связи (создать координационный центр, выполняющий функции контроля, анализа и оповещения об угрозах).

Участники «круглого стола» отмечали, что в России есть достаточно высокие достижения в области информационной безопасности, известны и продукты, и компании. Однако, не будучи востребованными, российские специалисты в области информационной безопасности уезжают за рубеж, вывозят технологии. В результате российский потребитель вынужден покупать готовые продукты иностранного производства, а российские продукты недостаточно активно выходят на международные рынки.

Проблему защиты критически важных для национальной безопасности объектов необходимо решать, как считает В. А. Рубанов, учитывая сложившуюся систему сертификации используемых зарубежных программных и программно-технических средств, в том числе средств защиты информации, в процессе которой оценивается как надежность этих средств, так и защита от недекларированных возможностей. Наличие альтернативных этим средствам отечественных технологий должно быть подтверждено результатами их испытаний на практике. Создание отечественной операционной системы может быть проектом только национального масштаба, поскольку требует громадных затрат. В создании прикладных программ российские компании преуспели. Эти продукты надо продвигать как на российском рынке, так и на международных. По его мнению, для того чтобы эти продукты были конкурентоспособны, необходимо готовить управленцев, способных правильно поставить задачи перед программистами, создавать консалтинг для развития инновационных компаний, создать условия для возвращения программистов в Россию, искать ниши, где потенциал российских специалистов достаточно велик и где они наиболее востребованы (например, создание сервисно-ориентированных архитектур).

Россия по уровню электронной готовности многие годы находится в 5-м десятке стран в мировом рейтинге. А по уровню российских программистов в течение 15 лет Россия находится, по мнению М. А. Гуриева (IBM), на первом месте с большим отрывом от всех других стран. Эта диспропорция и способствует оттоку квалифицированных кадров за рубеж.

О. А. Беззубцев напомнил, что развитие индустрии информационной безопасности надо рассматривать в контексте всей информационной политики государства. Для стимулирования развития отрасли информационной безопасности достаточно навести порядок у себя «в доме». Прежде всего, необходимо определиться с объектом защиты. К сожалению, отсутствует правовое регулирование информации, составляющей служебную тайну, и ряда других видов тайн, нет открытых и ясных правил защиты информации, правил ввоза и вывоза средств защиты информации. Принятые федеральные законы работают плохо или не работают (например, Федеральный закон «Об электронной цифровой подписи») из-за того, что Правительством РФ или уполномоченными органами исполнительной власти не приняты необходимые подзаконные акты. Стимулирование экспорта наших продуктов возможно не только путем предоставления некоторых преференций отечественным производителям, но и принятием симметричных правил для ввоза и вывоза аналогичных по назначению изделий.

С. Г. Антимонов призвал органы государственной власти гордиться российскими производителями, использовать отечественные продукты в органах государственной власти и везде это указывать, стимулировать их участие в международных выставках, создавать условия для возвращения специалистов в Россию. К нему присоединился В. Н. Мамыкин (Microsoft). Он привел в пример страны (Корея, Япония, США), которые вывозят свои молодые компании для рекламы за рубеж, чтобы просто показать: государство доверяет этим компаниям, их решения используются в государстве. Это уже много значит для продвижения IT-компаний за рубежом. Одна из главных задач по выращиванию рынка, по его мнению, — это поддержание режима, когда государство, прежде всего, как локомотив, покупает продукты у своих же домашних компаний, а не берет их просто так. Важнейшим условием стимулирования отечественного рынка информационной безопасности В. Н. Мамыкин считает создание условий для коммерциализации этих продуктов. Он подчеркнул, что американский IT-рынок вырос благодаря тому, что и в Америке, и в Европе эти продукты всегда были в хозяйственном обороте, они всегда учитывались отдельной строкой и на них были отдельные нормы амортизации.

Ряд участников (А. В. Соколов, М. А. Гуриев, В. Н. Мамыкин, А. С. Пискарев) указали на необходимость решить вопрос о присоединении России к Международному соглашению по признанию сертификатов Общих критериев (Common Criteria Recognition Arrangement — CCRA). Этот вопрос готовился в МВК по информационной безопасности Совета Безопасности Российской Федерации, но работа не получила завершения. В присоединении есть и плюсы, и минусы, которые необходимо спокойно взвесить, но решение о присоединении даст толчок развитию рынка информационной безопасности, в том числе разработке профилей безопасности и сертификации на соответствии требованиям международного стандарта ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий», более известного в мировом сообществе как «Общие критерии» (ОК). Общие критерии признаны сегодня во многих странах мира. К Международному соглашению о признании сертификатов на основе оценки по Общим критериям присоединилось уже 24 страны мира, в том числе развивающиеся, и готовятся присоединиться еще несколько.

А. С. Пискарев привел интересные факты. США с января 2002 г. полностью перешли на оценку безопасности IT по ОК. В Канаде Общие критерии приняты в качестве национального стандарта. Во многих странах Европы оценка безопасности IT также проводится по ОК. В CCRA в последние годы вступили такие страны, как Чехия, Венгрия, Турция, Япония, Корея, Сингапур и др.

В Японии в апреле 2006 г. был принят Закон о снижении налогообложения на продукты IT, сертифицированные по ОК. Принят стандарт о том, что продукты IT для всех электронных правительственных систем должны быть сертифицированы по ОК.

Эта информация свидетельствует о внимании, уделяемом мировым сообществом, проблемам информационной безопасности, и об интересе к решению этих проблем на основе подходов и методологии Общих критериев.

Во всей Восточной Европе единственная Россия располагает ресурсом сертификационных лабораторий, сертификационных центров. Это деньги, которые могут прийти в Россию. По мнению М. А. Гуриева, из-за неприсоединения к Соглашению по Общим критериям Россия уже к настоящему времени потеряла порядка 400 млн. долларов и будет терять каждый год еще по 50 млн. Опасение по поводу недекларируемых возможностей иностранных продуктов могут быть сняты в результате сертификации, поскольку многие зарубежные производители предоставляют исходные коды программ, проектную документацию. А. С. Пискарев рассказал, что российские специалисты пять лет работали над проблемой признания Общих критериев: подготовлено большое количество нормативных документов, сертифицировано по ОК значительное количество продуктов, но из-за неприсоединения признание наших сертификатов вряд ли будет иметь место. Он подчеркнул, что только при наличии единых критериев оценки безопасности IT могут существовать доверие к разрабатываемым распространяемым отечественным продуктам, а также признание результатов сертификации продуктов IT, проведенной в Российской Федерации».

Несколько иная тема была предметом выступления А. В. Шевченко (РАГС), которая обратила внимание присутствующих на гуманитарную составляющую информационной безопасности, а именно: отношение власти к общественному мнению. В ряде государств такой паритет утвержден законом. Например, в Португалии нормы об общественном мнении как одном из основных элементов политики управления закреплены в Конституции. Основным механизмом формирования общественного мнения по поводу власти является система средств массовой информации, которая представляет собой весьма существенную часть отрасли информационной безопасности. Слабо осуществляется государственный контроль за СМИ в производстве рекламы, соблюдении тиражной политики, предоставлении субсидий и т. д. В целом законодательство о СМИ нуждается в существенном совершенствовании. Среди угроз информационной безопасности А. В. Шевченко поставила на первое место отсутствие четко сформулированной государственной информационной политики. Государство также не в полной мере реализует свои обязательства перед обществом в отношении соблюдения гарантий информационно-психологической безопасности.

А. А. Солдатов говорил о безопасности как элементе услуги, а также о новой крупной услуге, которая разовьет возможности Интернета, — о ГРИД-технологиях, т. е. технологиях управления распределенными ресурсами (вычислительными или информационными ресурсами), обязательным элементом которых является безопасность. Сегодня эта технология разрабатывается учеными для своих целей, и вопросы безопасности стоят не на первом месте, так как эта проблема требует больших средств, а они на фундаментальную науку и так отпускаются далеко не в достаточном количестве. Учитывая перспективность таких технологий, о вопросах безопасности нужно думать уже сейчас и финансировать соответствующие разработки.

С. А. Сальников привел примеры взаимодействия с органами исполнительной власти, которые свидетельствуют о понимании ими проблемы обеспечения информационной безопасности (ФАИТ). Также он указал на необходимость закладывать расходы на обеспечение информационной безопасности при разработке любых проектов, особенно для органов власти, и выразил уверенность, что при разумной постановке задачи сертификации зарубежных продуктов и их использовании в совокупности с отечественными российские специалисты будут востребованы и незаинтересованы в отъезде.

Определенный скептицизм прозвучал в выступлении А. С. Галицкого (IBM), который сказал, что «без создания условий для интенсивного развития IT-рынка в стране остальные меры могут оказаться неэффективными или недостаточными, создание IT-парков и соответствующих венчурных фондов не приведет заведомо к желаемому результату». Так, существование подобных парков в Индии, Франции, Ирландии не привело к созданию известного в мире программного продукта. Протекционизм также не всегда ведет к спасению (пример — отечественный автопром). Важнее и эффективнее — снятие ограничений или создание юридических условий для интенсивного внедрения отечественных информационных технологий в самые разные сферы.

С. С. Жихарев (Российский федеральный ядерный центр) сказал о проблемах создания систем, обрабатывающих информацию, составляющую государственную тайну. «Самая животрепещущая проблема — это отсутствие хорошо разработанной операционной системы, которая способна работать в этих сетях для защиты гостайны». Вместе с тем можно на базе открытой системы «Линукс» (Linux) сделать систему, но нужно начинать с разработки заданий на безопасность. Он также поблагодарил организаторов обсуждения: «Это совещание действительно накипело, нагорело, оно жизненно необходимо».

А. И. Смирнов, директор Кризисного центра МИД России, предложил рассматривать в качестве «дирижера» МВК при Совете Безопасности РФ, которая призвана выполнять функции координации. Ему возразили ряд участников, которые привели примеры, когда МВК не играла позитивную роль в решении насущных проблем.

В завершение обсуждения выступил В. Г. Матюхин, который подтвердил, что стране не хватает крупномасштабных проектов в области IT-технологий, финансируемых государством (подобно проектам освоения космоса). «Без крупномасштабных проектов резкого стимулирования не будет. При множестве мелких проектов, которые сейчас ведутся, никто о защите не думает, средства выделяться не будут. Будет использовано то, что есть, или то, что продают на Западе».

Е. К. Волчинская связала многие из упомянутых в процессе обсуждения проблем с недостатком культуры информационной безопасности у представителей власти и коррупцией, в результате которой отечественные разработки не находят применения в России, вместо них покупаются более дорогие продукты за рубежом. Очевидно, что все действия общества и государства должны быть не только согласованы, они должны быть системны, научно обоснованы, ориентированы на геополитические и геоэкономические интересы страны. Для этого должны быть установлены очевидные и артикулированные экономические приоритеты государства. Причем приоритеты стратегические, чтобы была возможность подготовиться к решению поставленных задач.

В. В. Дятленко уточнил, что Закон «О безопасности», в котором определены функции Совета Безопасности РФ, фактически устарел. Нового проекта пока нет. Межведомственная комиссия, членом которой он тоже является, вряд ли способна стать оперативным органом, который мог бы все эти проблемы решать. Она в большей степени вырабатывает концептуальные подходы. Он поблагодарил участников обсуждения и заверил, что на основе стенограммы будет подготовлен проект рекомендаций для утверждения на заседании Комитета Государственной Думы по безопасности. После утверждения они будут направлены во все ведомства, которые реально имеют отношения к этой проблематике.

Информация подготовлена ведущим советником аппарата

Комитета Государственной Думы по безопасности

——————————————————————