|
|
Что мешает развитию ИБ в России?Отрасль информационной безопасности в России на протяжении последних нескольких лет развивается быстрыми темпами, демонстрируя рост более 30% и опережая по этому показателю рынок ИТ. Однако развитие могло бы стать еще более интенсивным, если бы не ряд сдерживающих факторов. К их числу в первую очередь относится неполнота и противоречивость действующего законодательства, а также вытекающие из этого проблемы стандартизации отрасли. Для такой деликатной и зарегулированной сферы, как информационная безопасность, правовые вопросы являются критичными. Любая неразбериха з десь может привести к серьезным потерям и для участников рынка, и для потребителей. К числу основных проблем отрасли также можно отнести бюджетирование по остаточному принципу, дефицит квалифицированных специалистов, неосведомленность рядовых пользователей и руководителей организаций в вопросах ИБ. Двойственность законодательства Российское законодательство в области ИБ проходит некоторую промежуточную стадию своего формирования и является еще недостаточно зрелым. Федеральные ведомства, регулирующие сферу ИБ (к их числу относятся, прежде всего, ФСБ, ФСТЭК и МО), в соответствии со стоящими перед ними задачами, до недавних пор были сосредоточены исключительно на вопросах обеспечения государственной безопасности. Применительно к ИБ речь шла главным образом о защите государственной тайны. Основным и инструмента ми регулирования здесь традиционно являются лицензирование и сертификация. Когда же речь идет о защите конфиденциальной информации, а также критичных информационных ресурсов, принадлежащих не государству, а частным лицам, то собственник информации обычно сам определяет требуемую степень ее защиты. Такой подход, с некоторыми оговорками, и применяется во многих странах. Наше государство обратило внимание на вопросы, не связанные с защитой государственной тайны, относительно недавно. Первый в стране руководящий документ Гостехкомиссии России, устанавливающий требования по защите конфиденциальной информации, — СТР-К — увидел свет в 1999 году. В качестве основных мер по защите информации он определяет сертификацию и аттестацию. Для коммерческих организаций, в отличие от государственных, требования этого документа носят рекомендательный характер, однако, это послабление компенсируется вышедшим в 2002 году Постановлением Правительства РФ № 290 "О лицензировании деятельности по технической защите конфиденциальной информации". Согласно которому лицензированию подлежат все виды хозяйствующих субъектов и все виды деятельности по защите конфиденциальной информации, а в качестве обязательных лицензионных условий — использование сертифицированных СЗИ и аттестованных АС. Тем не менее, возможность неоднозначной трактовки законодательства в свою пользу позволяет коммерческим организациям игнорировать вопросы лицензирования и сертификации, тогда как интересы государственных предприятий в сфере ИБ целиком сосредоточены на получении всевозможных лицензий и сертификатов. Любая публичная, либо приватная дискуссия с представителями государственных структур неизбежно сводится к обсуждению вопросов сертификации. Бюрократизированные процедуры Сертификация СЗИ в общем случае достаточно длительная и дорогостоящая процедура, которая далеко не всегда экономически оправдана, особенно когда речь идет о современных динамически изменяющихся информационных системах с непрерывным циклом установки программных коррекций, обновлений баз данных, внедрения новых приложений и т.п. Цикл разработки новых версий ПО зачастую короче цикла его сертификации. В то же время, стоимость сертификации и аттестации может быть сопоставима со стоимостью самой ИС. Оправдано ли такое удорожание? Сертификация в области ИБ преследует две цели: предоставление гарантий отсутствия в средствах обработки информации не декларированных возможностей и подтверждение качества (эффективности) продуктов. Первая цель достигается только в том случае, если анализу на не декларированные возможности подвергаются все программные (и аппаратные) компоненты ИС, что возможн о только для особой категории критичных систем. Для достижения второй цели требуются четко определенные критерии оценки, коими должны служить в данном случае профили защиты, которые сегодня в дефиците. Если же нет возможности анализа всех компонентов системы, а глубоко проработанные и согласованные критерии сертификации отсутствуют, как это в основном происходит на практике, то желаемого эффекта не достигается, и сертификация превращается в формальную разрешительную процедуру. Таковой она и воспринимается всеми участниками рынка и специалистами. Средства, которые необходимо было бы потратить на реализацию практических мер по защите информации, расходуются на бюрократические бумажные процедуры. Впрочем, такая бюрократизация характерна не только для России. Так, например, в отчете американской Службы м енеджмента и бюджета Конгрессу о реализации фе дерального акта по управлению информационной безопасностью 2002 г. с гордостью сообщается о том, что 85% ИТ -систем федеральных агентств были сертифицированы и аккредитованы, что на целых 19% больше по сравнению с предыдущим годом. Количество систем с протестированными планами обеспечения непрерывности бизнеса увеличилось с 57% до 61%. Департамент по делам ветеранов сообщил о том, что все 585 принадлежащий ему ИТ систем были сертифицированы и аккредитованы. Однако, проверка отчетов о сертификации, проведенная одним из агентств, показала, что все испытания выполнялись поверхностно. Многие компании, проводившие сертификации, признаются, что их отчеты и заключения, даже не читались заказчиком, а в этом случае, вряд ли можно говорить о каких- либо улучшениях. Количество выданных лицензий и сертификатов стремительно увеличивается, а безопасность остается на прежнем уровне. Миллиарды долларов американских налогоплательщиков были истрачены на бесполезную бумажную работу. Лицензирование и сертификация необходимы, но эти меры не должны подменять прочие механизмы безопасности. Необходимо сделать лицензионные требования более понятными и привязанными к реальной жизни. Сейчас участникам рынка приходится получать порядка дюжины лицензий ФСТЭК и ФСБ по существу на один и тот же вид деятельности. Требуется устранить существующие противоречия в законодательной базе, а критерии и методики сертификации связать с реальными свойствами сертифицируемых продуктов, чтобы сертификат соответствия являлся в глазах потребителей подтверждением качества продукции, ее надежности и защищенности. Запретительные меры В совершенствовании нуждается также и регулирование в области использования криптографических средств. В 1995 году указ президента № 334 запретил использование государственными организациями шифровальных средств, не имеющих сертификата ФАПСИ, а также деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, без лицензий ФАПСИ. Ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ также был запрещен. Излишне говорить, что обязательными требованиями к лицензиатам ФАПСИ (ныне ФСБ) является использование только сертифицированных шифровальных средств. Криптографические средства в настоящее время входят в состав операционных систем, телекоммуникационного оборудования, повсеместно используемых приложений, СЗИ, как отечественных, так и импортных, поэтому выполнение запрета на их использование представляется фактически невыполнимым условием. Принятие законов об ЭЦП иностранными государствами позволило сформировать юридическую базу для повсеместного применения электронной коммерции, причем никаких существенных ограничений на технологические аспекты эти законы не накладывали. Российский же Закон об ЭЦП, принятый в 2002 году, жестко регламентировал применение только сертифицированных средств. Однако, сертифицированные отечественные криптографические средства различных производителей не всегда совместимы между собой, что существенно осложняет повсеместное внедрение ЭЦП. Использование в коммерческих целях RSA, не имеющего проблем с совместимостью, могло бы продвинуть применение ЭЦП. Российские организации, без возможности использовать стандартные криптопровайдеры, входящие в состав всех ОС и достающиеся потребителям бесплатно, вынуждены за дополнительные деньги обеспечивать процедуры ЭЦП и шифрования за счет встраиваемых модулей, реализующих отечественные криптоалгоритмы, что делает системы более дорогими и тяжеловесными. Действующее российское законодательство сдерживает естественное стремление общества к саморазвитию. В условиях законодательной неразберихи совсем непросто решается стратегически важный для страны вопрос с подключением государственных организаций к сети интернет. у каз президента № 611 от 2004 г. запрещает «осуществлять включение ИС, сетей связи и автономных ПК, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения в интернет». Насчет гостайны все понятно и обоснованно, а вот с информацией ограниченного распространения дело обстоит сложнее. Хотя запрет носит вполне определенный характер, дебаты вокруг у каза не утихают. Предлагаются различные трактовки понятия «включения в состав сети», обыгрываются словосочетания «логическое и физическое, прямое и опосредованное включение», появляются сертифицированные СЗИ, предназначенные для подключения государственных организаций к интернет с соблюдением требований указа № 611 (запрещающего такое подключение). Нет смысла оспаривать необходимость таких механизмов регулирования как лицензирование и сертификация, либо преимущества российской криптографической школы, однако, навязывание исключительно сертифицированных средств не оправдано, если речь не идет о защите гостайны. Нужны стандарты Важнейшим условием развития отрасли, является использование международных стандартов и лучшего мирового опыта. В мире распространены десятки международных стандартов ИБ. В России известны в основном серии стандартов: ISO 27000, ISO 13335 и ISO 15408. Одним из наиболее востребованных стандартов является ISO 17799, вышедший в 2005 году уже во второй редакции. В России данный стандарт пока не принят. ГОСТ/ИСО МЭК 15408 введен в действие с 2004 года, что должно было бы радикально поменять существующий подход к сертификации СЗИ, однако официального реестра русскоязычных профилей защиты до сих пор не существует, а Россия еще не присоединилась к соглашению о взаимном признании сертификатов с другими странами. О стандартах серии ISO 13335, существующих в России с 1998 года, пока мало кто слышал. Прочие международные стандарты ИБ (ISO 18044, ISO 15947, ISO 15443 и т.п.) в России не известны и не применяются. Существенные изменения в области стандартизации в России должны были произойти в связи с принятием в 2002 году закона «О техническом регулировании», отменившего закон «О сертификации продукции и услуг» и закон «О стандартизации». Это вызвало определенную дезорганизацию на рынке ИБ. Прежние законы и принятые на их основании нормативные акты уже перестали действовать, а принципиально новые технические регламенты (45 и 46, "О безопасности информационных технологий" и "О требованиях к средствам обеспечения безопасности информационных технологий") еще не вступили в силу. Кроме того, статья 5 данного закона фактически выводит ИБ из области его действия, определяя, что «порядок разработки, принятия и применения документов о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, устанавливается правительством Российской Федерации» отдельно. Поэтому все прежние нормативные документы в области ИБ продолжают действовать и поныне. В России, прежде всего, надо научиться применять существующие международные стандарты, адаптация которых пока проходит крайне медленно. Практика разработки и применения отраслевых стандартов, вместо того, чтобы использовать международные, себя не оправдывает. Кадры и бюджетирование В России бюджетирование средств ИБ в процентном отношении намного ниже развитых стран. Обеспечение информационной безопасности редко является приоритетной задачей, а финансирование программ ИБ осуществляется по остаточному принципу. В организациях, как правило, не существует отдельной статьи расходов на ИБ, расходованием средств на эти цели распоряжается не отдел ИБ, а ИТ-отдел или служба безопасности. В коммерческих компаниях между ИТ и ИБ подразделениями часто возникают «битвы за бюджет», в которых ИТ обычно побеждает. Несмотря на то, что повсеместно специалисты горячо и охотно говорят об оценке информационных рисков, процессно-ориентированном подходе и экономически обоснованной безопасности, на практике ИБ остается затратной статьей для организаций. Руководство компаний, как правило, недопонимает важности вопросов обеспечения ИБ. Ситуация осложняется дефицитом квалифицированных кадров, поскольку службами безопасности часто заведуют бывшие военные или сотрудники спецслужб, которые в подавляющем большинстве случаев далеки от вопросов ИТ и ИБ. Соответственно, им часто бывает трудно обосновать руководству компании соответствующие статьи расходов. В большинстве случаев ИБ рассматривается исключительно как техническая задача, решаемая силами ИТ-специалистов — к сожалению, без привязки к бизнесу. Бывшие военные, которыми комплектуется штат отделов ИБ во многих организациях, обычно слабо разбираются в ИТ, а новое поколение менеджеров, способных видеть взаимосвязями между бизнесом, процессами ИТ и ИБ и технологиями, а также управлять ими — пока еще отсутствует. Рынок подрос, и обнаружилась острая нехватка квалифицированных технических специалистов, менеджеров, консультантов и аудиторов по вопросам ИБ, а также крайне низкая осведомленность в этих вопросах всех рядовых пользователей и руководства организации, отсутствие их обучения элементарным правилам безопасной работы. В подавляющем большинстве организаций даже не слышали о таком понятии как «программа повышения осведомленности в области ИБ». Основы системы непрерывного профессионального образования специалиста в области ИБ уже были заложены. Она опирается на Учебно-методическое объединение (УМО) по образованию в области ИБ, созданное в 1996 году на базе Института криптографии, связи и информатики Академии ФСБ России , УМО Российского государственного гуманитарного университета, а также на сеть региональных учебно-научных центров по проблемам ИБ в системе высшей школы (головной вуз — МИФИ), созданную Минобрнауки России совместно с ФСТЭК и рядом других федеральных органов исполнительной власти в 1997 году. В рамках данной системы был разработан ряд государственных образовательных стандартов и образовательных программ по специальностям: «Криптография», «Компьютерная безопасность», «Организация и технология защиты информации» и т.п. Однако ВУЗы довольно далеки от реальной практической работы, они нередко не обладают информацией, позволяющей им выбирать наиболее перспективные и продвинутые технологии. Не хватает как необходимой методической базы, так и самих средств обеспечения ИБ. Рынок не ждет В России насчитывается более 70 действующих нормативных документов регулирующих сферу ИБ, а отрасль все еще не отрегулирована. В каком направлении будет изменяться ситуация в дальнейшем? Логично было бы ожидать ужесточения требований законодательства в сфере ИБ, что вызвано угрозой кибертерроризма, необходимостью борьбы с мошенничеством, хищением конфиденциальной информации и прочими преступлениями в сфере ИТ. Кроме того, развитие рынка ИБ в немалой степени связано с возрастанием требований по ИБ в таких российских монополистах, как Банк России, РЖД, РАО ЕЭС, Газпром и пр., пытающихся создать собственную отраслевую нормативную базу в области ИБ для подконтрольных им структур. Например, в ЦБ введены в действие ряд стандартов по ИБ, которые пока носят рекомендательный для коммерческих банков характер, но в дальнейшем вполне мо гут стать для них обязательным. При недостатке действенных мер со стороны г осударства по наведению порядка в законодательстве в сфере ИБ и приведению его в соответствие с современным уровнем развития ИТ, рынок предпочитает действовать самостоятельно. Определенные надежды можно возлагать на вступление России в ВТО, в связи с которым следует ожидать положительное изменение российского законодательства в области ИБ, приближение к международным нормативам и признание иностранных сертификатов. Это особенно выгодно иностранным производителям, поскольку сейчас на российском рынке им приходится сертифицировать свои продукты дважды, а отдельные сегменты рынка для них вообще не доступны. Александр Астахов, CISA / CNews Analytics |