версия для печати


Михаил Емельянников

Государство и рынок информационной безопасности: регулятор, движущая сила и заказчик

О влиянии государства на построение и развитие системы информационной безопасности страны в целом и конкретных предприятий и организаций написано и сказано достаточно много. Очевидно, что российское государство на рынке средств защиты информации и решений по обеспечению информационной безопасности выступает одновременно в трех ипостасях: регулятора, одной из главных движущих сил рынка и крупнейшего заказчика. Анализируя тенденции изменения положения госорганов в каждой из этих ролей в последние годы, большинство экспертов сходится во мнении, что госрегулирование в России усиливается, перспектив снятия ограничений (в виде обязательных сертификатов и аттестатов) на использование тех или иных решений и продуктов не видно, а органы власти остаются наиболее интересными и привлекательными заказчиками работ в области защиты информации.

Регулятор

В последние годы государство неуклонно и последовательно увеличивает свою регулирующую активность в части информационной безопасности. Наличие в стране «Доктрины информационной безопасности», последовательное принятие федеральных законов «Об информации, информационных технологиях и о защите информации», «О коммерческой тайне», «О персональных данных», «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», четвертой части Гражданского кодекса, большого количества указов Президента РФ и Постановлений Правительства, конкретизирующих требования к обеспечения ИБ, однозначно говорит о самом пристальном внимании к вопросам защиты информации.

Кроме определения обязательных для исполнения норм, законы устанавливают и сроки проведения работ по ИБ для организаций, предприятий разных форм собственности и даже для физических лиц. Так, например, произошло при принятии ФЗ «О персональных данных», который определил срок до 1 января 2010 года для приведения всех информационных систем, где есть персданные граждан, в соответствие с новым законодательством, и в первую очередь — их подсистем информационной безопасности, так как именно к ним выдвигаются конкретные требования.

В 2008 году подписан новый Указ Президента РФ от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена», в области инфор­матизации органов государственной власти были приняты такие документы, как «Концепция формирования в РФ электронного прави­тельства до 2010 года». «Стратегия развития информационного общества», также затрагивающие проблемы обеспечения безопасности функционирования автоматизированных систем госорганов.

Справедливости ради следует отметить, что требования законодательства не всегда последовательны и непротиворечивы, а по целому ряду отраслей российской экономики, например, таким, как промышленность и транспорт, пока не приняты какие-либо нормативы, регламентирующие сферу информационной безопасности. Например, в прошедшем году в Государственной Думе РФ был снят с дальнейшего рассмотрения проект федерального закона «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры». В перечень таких объектов входили почта, крупные промышленные предприятия, компании водо- и энергоснабжения, бизнес по добыче и транспортировке нефти и газа и т.п. Из-за недостатка подзаконных актов «буксует» исполнение Федерального закона от 9 февраля 2007г. 16-ФЗ «О транспортной безопасности».

Существенным сдерживающим фактором обеспечения информационной безопасности в госсекторе является отсутствие закона о служебной тайне, без которого реализация упоминавшегося выше ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» будет практически невозможной. Законом определена норма, в соответствии с которой доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается только в тех случаях, когда информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну. В настоящее время, после утраты силы ст.139 Гражданского кодекса РФ, понятия служебной тайны в российском законодательстве вообще отсутствует, а рассматриваемый закон четко устанавливает, что перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом. Закон существует же лишь в виде непринятого проекта.

Движущая сила

Само по себе государственное регулирование и выдвижение требований, обязательных для выполнения в различных организациях и предприятий уже значительно стимулирует рынок. Наличие у регуляторов и органов государственного контроля и надзора возможностей наложения санкций на владельцев информационных систем за невыполнение установленных в части ИБ требований так или иначе заставляет последних принимать меры к реализации предусмотренных регуляторами мер.

Кроме того, увеличение объема работ, связанных с ин­форматизацией федеральных и региональных органов власти и автоматизацией деятель­ности компаний с государственным участием, очевидно, влияет на рост сегмента по информационной безопаснос­ти, в котором при выполнении практических работ по защите информации сочетаются меры четырех уров­ней: законодательного, административного, процедурного и программно-технического.

Принятые нормативные акты в области информационной безопасности, в первую очередь, связанные с обязательным прохождением процедуры оценки соответствия (сертификацией, аттестацией, подтверждением корректности встраивания криптографических средств), причем во многих случаях – с подтверждением отсутствия недекларированных возможностей, требующих предоставления исходного кода, позволяют сделать вывод о том, что государство заинтересовано в импортозамещении, особенно в сегодняшней ситуации. С одной стороны — это возможность, с другой — проблема. Возможность состоит в том, что если быстро ликвидировать технологический отрыв от ведущих иностранных компаний, поставляющих современные решения на российский рынок, можно существенно их на рынке потеснить. Проблема же заключается в том, что в более благополучное время этого сделать не удавалось, поэтому есть обоснованное сомнение в том, что удастся и на этот раз.

Раскрывать исходные коды западные и восточные вендоры не спешат, обоснованно опасаясь несанкционированного использования их секретов российскими разработчиками. Ситуация близка к тупиковой: заменить операционные системы и прикладной софт в виде ERP, CRM, OSS/BSS и т.п. зарубежных решений на российские нельзя, поскольку последних соответствующего уровня и качества просто нет, а использовать недоверенные приложения для обработки секретов госорганов и госкомпаний нельзя. Выход из тупика – проблема скорее политическая, чем техническая. Необходимо будет преодолеть многие стереотипы мышления, как у нас, так и за рубежом, переходя от терминологий противостояния и соперничества к поискам путей построения доверия, языку партнерства и единых стандартов требований к безопасности.

Кроме оценки соответствия и создаваемой проблемы импортозамещения, существует еще целый пул проблем, вызванные мировым экономическим кризисом, каждая со своим следствием и возможным решением. Выделим четыре главные, на взгляд автора.

Первая – это снижения объема заказов системным интеграторам и отечественным производителям программных и программно-аппаратных средств из-за сокращения финансирования всех видов работ и перехода к политике тотального сокращения затрат. Следствием этого является сокращение штатов, в некоторых случаях — даже банкротство отечественных интеграторов и производителей, в том числе — и в области ИБ, тесно связанных с ИТ-сектором, прекращение инновационных исследований и повышения квалификации персонала, общее сокращение рабочих мест, значительное снижение конкурентоспособности российских компаний. Решением проблемы могло бы стать размещение государственного заказа на выполнение работ по построению информационных систем и обеспечению безопасности у российских компаний. Это предусматривало бы ориентирование на отечественное программное обеспечение и средства защиты информации для нужд органов государственной власти и органов местного управления, государственных предприятий, проведение работ по аттестации и сертификации информационных систем госорганов по требованиям безопасности. Однако, выдвигая обязательные требования к безопасности, скажем, информационных систем персональных данных, и, назначая сроки завершения работ, государство не спешит выделять на такие работы соответствующие бюджеты и требовать от госорганов и органов местного самоуправления доклада о выполнении законодательных требований.

Вторая проблема — это низкое качество поддержки информационных систем в государственных органах из-за недостатка специалистов, особенностей штатного расписания госорганов, неконкурентоспособной заработной платы для ИТ- и ИБ-специалистов. Следствием является неэффективность процессов автоматизации в госорганах, слабое использование функционала информационных систем, снижение уровня информационной безопасности. Выполнение госслужащими несвойственных им функций, высокая текучесть кадров специалистов, обслуживающих критичные информационные системы приводит к общему снижению уровня защищенности. Решением могла бы стать передача вопросов обслуживания ИТ и обеспечения информационной безопасности органов государственной власти на аутсорсинг специализированным отечественным компаниям с целью освобождения госорганов от непрофильной деятельности, сокращения их штатной численности и фонда заработной платы, повышения уровня безопасности за счет выполнения работ высококвалифицированными специалистами и создания дополнительных рабочих мест в российских компаниях. Но и здесь государство молчит.

Третья проблема связана в неравными условиями налогообложения для производителей программного обеспечения, работающих и не работающих на экспорт. Как следствие — высокая налоговая нагрузка на производителей ПО для внутреннего потребления, снижение их конкурентоспособности, сокращение рабочих мест и социальных программ, банкротство. Выход видится в уравнивании в налогообложении компаний, разрабатывающих ПО, в том числе и средства защиты информации, на экспорт и внутри РФ с целью уменьшения налоговой нагрузки на ФОТ.

И, наконец, четвертая проблема. Низкая конкурентоспособность отечественных программных и программно-аппаратных продуктов, в том числе – систем безопасности, противодействие ведущих стран и вендоров увеличению их экспорта из России. С неизбежным следствием из этого в виде технологического отставания от ведущих производителей, сокращения дальнейших перспектив вывода продуктов на мировой рынок и, как результат — проигрышем в конкурентной борьбе с западными производителями.

Для выхода из сложившегося положения необходимо лоббирование экспорта программных и программно-аппаратных продуктов, в том числе — средств защиты информации отечественных производителей, в зарубежные государства (в первую очередь — Латинскую Америку, Азию и Африку) в ходе межгосударственных переговоров различного уровня, так, как это происходит с вооружением и военной техникой; создание дополнительных преимуществ отечественным производителям конкурентоспособных продуктов (снижение налогов, упрощение процедуры вывоза, гранты на создание систем в экспортном исполнении, дотирование); стимулирование переноса производства средств защиты западных производителей на российские предприятия, в случае противодействия — жесточайший контроль за обязательностью прохождения процедуры оценки соответствия.

Заказчик

Является ли государство основным заказчиком решений в области информационной безопасности, и если да, как можно оценить объем заказа госсектора? К сожалению, конкретной статистики по ИБ нет, но вполне допустимо в данном случае использовать данные из сектора информационных технологий в целом. По различным оценкам, от 50 до 60% оборота российского ИТ-рынка обеспечивает именно госсектор. По данным CNews, в 2008 году на ИТ в госуправлении, образовании и здравоохранении было потрачено 4,1 млрд. долл. (рост 28%) , из них 2,96 млрд. долл. затратили на ИТ российские структуры государственного управления. Ключевыми заказчиками многих ИТ-компаний (и ИБ тоже) являются министерства, ведомства и другие крупные организации, получающие  финансирование из госбюджета.

Чем же вызван такой интерес госорганов к проблемам информационной безопасности? Помимо очевидной необходимости реализации в госорганах требований федеральных органов исполнительной власти, уполномоченных в тех или иных вопросах информационной безопасности — ФСБ, ФСТЭК, Роскомнадзора, а, с недавних пор — и Минсвязи, необходимо выделить и вполне актуальные, ненадуманные риски для государственных информационных систем. Среди главных можно отметить следующие: сбои в работе информационной системы, потеря, кража и искажение информации, ха­латность и неподготовленность (недостаточная квалификация) сотрудников, проникновение вредоносного контента, блокирование деятельности сайтов госорганов и их информационных систем. Постоянные атаки на сайт Президента РФ, об успешном отражении которых постоянно докладывает ФСБ, ситуации, возникшие в ходе обострения отношений с Эстонией, военного конфликта с Грузией, деятельность информационных сайтов так называемой Ичкерии дали немало примеров критичности вопросов информационной безопасности для органов госвласти. Усиливает драматизм ситуации вопрос о создании системы оказания населению государственных информационных услуг с использованием сетей связи общего пользования и Интернета. Решение последней задачи невозможно без обеспечения надежной идентификации и аутентификации пользователей, защиты ресурсов от несанкционированного доступа, модификации и уничтожения данных. Учитывая взаимосвязь структур власти и необходимости реализации принципа «одного окна», решения должны быть не просто эффективными, надежными и масштабируемыми, но и технически совместимыми, что для удостоверяющих центров различных производителей, является задачей крайне непростой задачей.

Возвращаясь к упомянутым выше четырем уровням мер по информационной безопасности — законодательному, административному, процедурному и программно-техническому, необходимо в рамках оценки госорганов как заказчиков отметить следующее.

Законодательный уровень обеспечения информационной безопас­ности регламентирует общие вопросы использования информационных технологий в деятельности органов государственной власти. А в проектах построения сетей передачи дан­ных, систем обработки информации и других инфраструктурных решений, реализуемых в интересах органов власти, госкорпораций, госпредприятий неизбежно возникают дополнительные требования, опи­санные в нормативных документах ФСБ и ФСТЭК России. Для повышения общего уров­ня безопасности систем, используемых в орга­низациях и на предприятиях госсектора, в со­ответствии с законодательством, в большинстве случаев необходимо применять исключительно сертифицированные средства защиты. И этих требований придержи­ваются конкретные исполнители работ — систем­ные интеграторы и интеграторы систем безопасности, работающие в госсекторе.

Информационные системы современных госорганизаций постоянно модернизируются и усложняются. Это неизбежно приводит к появлению все новых уязвимых мест в информационной системе и возникновению дополнительных рисков их недобросовестного использования. Поэтому в каждой организации должен существовать определенный набор правил работы с информационными ресурсами, а также система контроля их выполнения. Эту задачу нужно решать в рамках единой политики информационной безопасности. Главная цель мер административно-процедурного уров­ня — сформировать программу работ в области информационной безопасности и обеспе­чить ее выполнение. Основа этой программы — политика безопасности, отражающая подход организации к защите своих информационных активов.

Можно обозначить три основных направления программно-технической защиты информационных ресурсов в госорганах. Это защита внутренней сети, защита выхода в Интернет и защита взаимодействия с удаленными подразделениями. При этом в госструктурах и государственных организациях, как уже отмечалось, использу­ются только сертифицированные во ФСТЭК или ФСБ России средства обеспечения информа­ционной безопасности, что неизбежно сужает спектр возможных технических решений.

Для защиты внутренних ресурсов федеральные и регио­нальные органы власти чаще всего используют встроенные в операционные системы механизмы аутентификации и авторизации пользователей. Лишь некоторые ведомства применяют специальные сертифицированные системы защиты от несанкционированного доступа и электронные замки. Для защиты рабочих станций и серверов внутренней сети от вредоносных программ абсо­лютное большинство государственных орга­низаций использует лицензионное (а иногда — и сертифицированное) антивирусное програм­мное обеспечение. За­щиту от спама и злоупотреблений в Интернете обеспечивают различные системы мониторин­га электронной почты и веб-трафика.

Системы обнаружения и предотвращения атак, равно как и системы контроля политики безопасности, пока внедрены в очень немногих государственных органи­зациях. Для защиты периметра сети госучреж­дения обычно используют сертифицированные межсетевые экраны. В каналах связи с удаленными подразделени­ями применяются только российские систе­мы криптографической защиты информации и VPN.

Во многих случаях, ввиду отсутствия подготовленных специалистов и бюджетных ограничений, подсистемы информационной безопасности госорганов и госпредприятий достаточно далеки от современных подходов к ее обеспечению, находятся на низшем уровне зрелости и технического оснащений. Наличие системы идентификации типа «логин-пароль» и антивирусной защиты — зачастую, это все, чем может похвастаться госзаказчик. Хотя есть и примеры противоположные. Иерархическая структура удостоверяющих центров Федерального казначейства на базе наиболее передовых решений российских и западных разработчиков или VPN, охватывающая всю территорию страны, для предоставления документов таможенными декларантами в ФТС — именно такие системы.

Конкретным инструментом для оценки готовности государства выполнять свои же собственные требования к системе защиты информации будет приведение систем обработки персональных данных органов власти, местного самоуправления и государственных предприятий в соответствие требованиям Постановления Правительства РФ от от 17 ноября 2007г. №781

"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Пока особого рвения ЗАГСы, органы ФМС и пограничной службы, государственные медицинские учреждения и т.п. в деле защиты персональных данных граждан не проявляют, хотя вся обработка информации в них давно автоматизирована и производится на компьютерах. То же самое касается и неизбежно грядущего предоставления государственных информационных услуг, с 1 января 2010 года — в виде обязательного размещения на сайтах госорганов и органов местного самоуправления информации об их деятельности, защищенной от блокирования доступа и несанкционированной модификации.

Заключение

Подводя итоги изложенному, необходимо отметить, что в вопросах государственного регулирования информационной безопасности четко прослеживаются некоторые тенденции. К основным из них можно отнести следующие.

1.

Государственное регулирование в целом усиливается, вводятся, в том числе, различного рода дополнительные ограничения и условия на деятельность по защите информации и применение средств защиты.

2.

В условиях отмены в стране системы обязательной сертификации продукции и услуг, переходе вместо нее на техническое регулирование, в отношении средств защиты информации система сертификации (и шире — обязательно оценки соответствия) не только не отменена, но и происходит расширение сферы ее применения.

3.

Ограничение доступа к информации допускается только на основании федеральных законов, при этом устранить противоречия в них и имеющиеся пробелы законодатели не спешат.

4.

Для обладателей информации ограниченного доступа обязательным является наличие особого правового режима доступа к сведениям и обращение с ними в зависимости от конкретного вида сведений (коммерческая - служебная - банковская - налоговая - таможенная и др. виды тайн) при неизменности статуса персональных данных, а также создание перечней сведений ограниченного доступа и их обязательная пополняемость как условие ограничения доступа к новым видам сведений.

Требования госрегуляторов являются весьма технологичными, а ответственность предусмотрена не только за возникновение инцидентов, наносящих ущерб обладателям сведений ограниченного доступа, но и за невыполнение технологических требований по защите информации.

Тем не менее, государство не торопится каким-либо образом стимулировать выполнение выдвинутых требований — ни в части бюджетирования соответствующих работ в госорганах и на госпредприятиях, ни в части изменения их штатного расписания и введения в него соответствующих специалистов по информационной безопасности, ни путем создания каких-либо преференций отечественным производителям средств защиты и поставщикам услуг по безопасности.

В этих условиях реализация требований законодательства, построение эффективной системы защиты, имеющей подтверждение соответствия требованиям (сертификат или аттестат), для многих органов власти, государственных и муниципальных предприятий и особенного органов местного самоуправления является задачей сложной как с точки зрения финансирования, так и с точки зрения технической реализации.

Облегчить их участь может в какой-то степени аутсорсинг технической защиты конфиденциальной информации, в том числе — путем передачи управления средствами защиты во внешние центры информационной безопасности (SOC) и размещения информационных систем, обрабатывающих конфиденциальные сведения, в специальных, защищенных и аттестованных центрах обработки данных.

Михаил Емельянников, директор по развитию бизнеса компании «Информзащита»

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS