Ключевыми проблемами, затронутыми на прошедшем 25-26 января в Москве национальном форуме по ИБ "Инфофорум 2007", стала война государственных структур с киберпреступностью, повышение квалификации кадров и разработка новых моделей защиты информации. Тем не менее, остается неясным, какой путь поддержки ИБ выберет власть.

По официальной информации, на мероприятии присутствовали около тысячи специалистов из различных регионов страны. На "Инфофорум" приехали представители более 30 федеральных министерств и ведомств, а также 6 федеральных округов. Мероприятие проводилось при поддержке Комитета Государственной Думы РФ по безопасности, Совета Безопасности РФ, ФАИТ и других госструктур.

Выступление последних вызвало повышенное внимание участников форума, так как позволяло понять, куда "дует ветер" государственных ожиданий, и соответственно, инвестиций. По мнению большинства участников, пока он вполне попутный.

Повышенный интерес и серьезные дебаты были вызваны докладами по секциям, затронувшими такие вопросы, как ИБ в телекоммуникациях, проблемы комплексной защиты персональных данных, необходимость государственного стимулирования развития отрасли безопасности. Открывал форум председатель комитета Государственной Думы по безопасности Владимир Васильев.

В рамках мероприятия состоялось также вручение призов лауреатам профессиональной премии "Инфофорума" в области информационной безопасности. Приятно отметить, что CNews стал лауреатом в номинации "освещение в прессе проблем информационной безопасности".

Рунет: киберприступников стало меньше?

Один из докладов на пленарном заседании "Инфофорума" был посвящен проблемам современной компьютерной преступности в Рунете. По словам главы бюро специальных технических мероприятий МВД России Бориса Мирошникова, темпы роста киберприступонсти в российской сети замедлились. "Если несколько лет назад темпы были весьма высокими, а количество преступлений удваивалось, то сейчас обстановка заметно изменилась к лучшему", - констатировал г-н Мирошников.

По данным генерал-полковника, количество подобных преступлений, совершенных в 2006 году, осталось практически на уровне позапрошлого года, то есть порядка 14 тыс. "Чаще всего имеют места нарушения закона, подпадающие под статью 214 УКРФ, то есть "Неправомерный доступ к компьютерной информации, - сказал г-н Мирошников. – Доля таких преступлений составляет около 50%. Дело в том, что подобные виды злодеяний служат воротами для получения любой другой информации, например к данным банковских структур".

Одна из наиболее важных тенденций в сфере информационной безопасности, по убеждению г-на Мирошникова, связана с трансграничным характером совершаемых преступлений. "В связи с этим преступники находят новые способы избежать правосудия, в том числе используя лазейки в несовершенстве нормативно-правовой базы. Поэтому эффективная борьба с киберприступниками возможна лишь при условии активного международного сотрудничества и, соответственно, обмена методиками раскрытия таких преступлений. В частности, наше ведомство уже выдвинуло ряд соответствующих инициатив".

Кроме того, чиновник высказал возмущение огромным количеством контента экстремистского и порнографического характера в российском интернет-пространстве. "Правда, - сказал в заключение Борис Мирошников, - не может не радовать то обстоятельство, что порядка в рунете все-таки больше, нежели во многих других странах. И не в последнюю очередь это является заслугой телекоммуникационных операторов и провайдеров, которые пытаются осознанно подходить к решению столь серьезной проблемы".

Госсектор не отстает Атаки на информационные ресурсы государственных органов, как внешние, так и осуществляемые усилиями штатных сотрудников, становятся все более изощренными, а их число год от года растет, сетует первый заместитель начальника Центра ФСБ России Алексей Баранов. Это ставит на повестку дня поиск новых механизмов защиты от обоих типов атак.

Как подчеркнул г-н Баранов, в настоящее время в органах госвласти реализованы основные компоненты защиты информации. Причем в последние годы роль отечественного оборудования стало играть все большую роль. "В частности, на телекоммуникационном уровне специалистами освоены основные протоколы и созданы шифровальные средства. Есть также и отечественные разработки, например мультиплексоры. В последние годы также мы добились создания программных функций защиты операционных систем, а также СУБД, в частности применительно к разработкам Microsoft", - отметил чиновник.

Об опыте использования систем информационной безопасности в органах исполнительной власти г. Москвы рассказал начальник управления экономической безопасности правительства Москвы Александр Корсак. Как отметил г-н Корсак в своем выступлении, в соответствии с ГЦП "Электронная Москва" в столице в настоящее время поэтапно создаются и внедряются комплексные системы информационной безопасности, включающие организационные, нормативно-методические и технологические аспекты.

"В соответствии с концепцией "Информационной безопасности органов исполнительной власти города", утвержденной мэром Москвы в 2005 г., созданы и развиваются технологические компоненты инфраструктуры обеспечения информационной безопасности города, а именно: система мониторинга событий информационной безопасности, обеспечивающая анализ и выявление критических событий в автоматизированных системах, система удостоверяющих центров, обеспечивающая потребность органов госвласти в сертификации электронных цифровых подписей, защищенный центр резервного хранения данных, обеспечивающий гарантированную сохранность данность в случае возможных аварий", - заметил г-н Корсак.

Кроме того, в рамках ГЦП "Электронная Москва" создаются подсистемы ряда ключевых городских информационных систем, такие как автоматизированная информационная система единого реестра контрактов и торгов города, автоматизированная информационная система управления ЕИРЦ, автоматизированная информационная система управления бюджетными процессами.

"В настоящее время в исполнительных органах государственной власти внедрены первоочередные нормативно-методические документы, регламентирующие вопросы обеспечения информационной безопасности Москвы, - подчеркнул чиновник. – В ноябре 2006 года мэром были утверждены основные направления политики информационной безопасности Москвы до 2010 года. Они включают в себя: создание служб информационной безопасности в органах исполнительной власти города и разработку системы подготовки специалистов, соблюдение единой технической политики соблюдения информационной безопасности города. Кроме того, формируются и новые информационные ресурсы, обеспечивающие реализацию такого аспекта информационной безопасности как гарантированное право на безопасность, например АИС реестра деловой репутации партнеров правительства Москвы".

Впрочем, как подчеркнул в своем выступлении помощник полномочного представителя президента в Поволжском Федеральном Округе РФ Владимир Татарчук, говоря о региональном опыте обеспечения ИБ критически важных объектов, существует ряд проблем, препятствующих созданию эффективных систем защиты. И главная из них, по его мнению, связана с несоответствием уровня подготовки специалистов в данной области современным требованиям.

"Почти 60% сотрудников, занимающихся вопросами защиты информации, являются людьми пенсионного и околопенсионного возраста, - с неудовольствием констатировал г-н Татарчук. – Лишь 16% - это сотрудники в возрасте от 25 до 30 лет. Несмотря на то, что 88% руководителей имеют высшее образование, около 2/3 из них обучались в те годы, когда такого понятия, как "информационная безопасность", фактически не существовало. Многие из них никогда не проходили курсы повышения квалификации. Это же, к сожалению, касается и молодых специалистов. В то же время мы имеем слабую методическую базу и явную нехватку учебных пособий".

Поиск новых моделей защиты  По словам директора Nortel СНГ по маркетингу Максима Киселева, минувший год оказался очень важным для развития отечественной отрасли ИБ, прежде всего, в плане принятия законодательных инициатив, таких как закон "Об информации, информационных технологиях и защите информации" и закон "О персональных данных".

"Нам, как телекоммуникационной компании, внушает особую надежду то обстоятельство, что впервые на законодательном уровне прописаны такие понятия, как "информационно-телекоммуникационная сеть" и "информационно-телекоммуникационное пространство", - сообщил менеджер. – То есть государство, наконец, официально признало существование такого пространства, которое требует соответствующего регулирования. Остается верить, что шаги в этом направлении будут осуществляться с опорой на международный опыт".

Вместе с тем, подчеркнул докладчик, ссылаясь на отчеты ряда аналитических агентств, основные риски информационной безопасности в 2006 году остались примерно теми же, что и ранее. Общее количество атак также осталось на уровне прошлых лет. "Однако, - добавил представитель Nortel, - есть одна позитивная тенденция. Если в 2004-2005 годах мы неоднократно слышали об утечках конфиденциальной информации из крупнейших организаций, то сейчас такие инциденты встречаются реже. Мы уже не так часто слышим о криминальных утечках информации".

В то же время понимание корпоративными клиентами того, что средства защиты информации являются необходимым элементом ИТ-инфраструктуры каждого предприятия, увеличивается, несмотря на то, что уровень таких систем нередко оставляет желать лучшего, заметил в свою очередь начальник отдела информационной безопасности и планирования непрерывности бизнеса "Техносерв А/С" Михаил Романов.

"На сегодняшний день можно смело сказать, что внешние атаки связаны не только с нападениями на сервера, но и на базы данных, и становятся все более криминализированными, - рассуждает о текущих тенденциях г-н Романов. – Системы управления информационной безопасностью становятся все более сложными и изощренными, но вредоносное ПО (прежде всего шпионское) становится более хитрым, а компьютерные преступники успешно преодолевают механизмы разного рода барьеров".

Исследования ведущих аналитических агентств иллюстрируют высокую озабоченность компаний такой проблемой, как неавторизованное использование персональных компьютеров. Около 60% респондентов признало, что в минувшем году им приходилось сталкиваться с подобной проблемой. Кроме того, все большую угрозу предоставляют так называемые инсайдеры. Примечательно, что потери некоторых фирм от таких преступлений составляют до 20% оборота и даже больше.

"Тем не менее, стало уделяться больше внимания новым средствам борьбы с утечками данных, - в заключение сказал г-н Романов. - Например, все более востребованными становятся системы расследования инцидентов. Теперь существенным становится вопрос, а что же именно происходит с информационной системой, ведь до 70% нарушений происходит по вине своих же сотрудников. В связи с этим на передний план выступают новые модели защиты информации".

Наталья Горобец: Pоссийские телекоммуникационные компании приближаются к мировому уровню ИБ  На вопросы CNews ответили генеральный директор BSi Management Systems Наталья Горобец и Василий Носаков, начальник отдела консалтинга систем безопасности компании "Инфосистемы Джет".

CNews: В этом году "Инфосистемы Джет" выступают в тандеме с BSi. В чем причина? Наталья Горобец: Компания "Инфосистемы Джет" является одним из ведущих системных интеграторов рынка, предлагающим своим клиентам эффективные решения в области построения информационной инфраструктуры. Весь 2006 год "Инфосистемы Джет" плотно работали с BSi, в том числе постоянно повышая квалификацию своих специалистов на тренингах, чтобы понимать методику проведения аудита, минимизировать риски появления существенных несоответствий в ходе реализации консалтинговых проектов.

Василий Носаков: Компания "Инфосистемы Джет" является сертифицированным партнером BSi - разработчика международной версии известного британского стандарта в области информационной безопасности BS7799-2:2002 - стандарта BS ISO/IEC 27001:2005 (BS 7799-2:2005) (далее по тексту cтандарт). Мы оказываем консалтинговые услуги по созданию СУИБ, а BSi как независимый орган предлагает услуги в области сертификации СУИБ на соответствие требованиям cтандарта. Для нас такой тандем важен не только с маркетинговой точки зрения, но и с методической. Компании-партнеры проходят достаточно жесткий отбор BSi. В результате выполнения партнерской программы в настоящее время мы имеем обученных квалифицированных специалистов, знаем требования и подходы BSi к созданию СУИБ.

CNews: Информационная безопасность в телекоммуникациях: почему именно на это направление делает упор "Инфосистемы Джет"?

Василий Носаков: Телеком является в настоящее время одной из наиболее быстро развивающихся на российском рынке. В начале 2006 года сразу несколько крупных телекоммуникационных компаний получили лицензии на оказание услуг междугородной и международной телефонной связи, что способствовало расширению их бизнеса и абонентской базы. Это косвенно способствовало и тому, что многие телекоммуникационные компании стали выделять больше ресурсов для обеспечения выполнения требований законодательства по защите сведений об абонентах и оказываемых им услугах. Возникла также и необходимость эффективного сотрудничества с зарубежными операторами связи. Одним из ключевых факторов, способствующих такому сотрудничеству, безусловно, можно считать наличие в компании СУИБ, сертифицированной по требованиям cтандарта.

Наталья Горобец: В целом BSi не старается применять некую целевую политику, расставляющую акценты на какую-либо специфическую отрасль. Безусловно, говоря о телекоммуникационных компаниях, важно отметить, что в число клиентов BSi входят такие брэнды, как Vodafone, Verizon, Nippon Telegraph and Telephone, Mobile Telecommunications Company, Japan Telecom, British Telecom, KDDI, KPN, China Mobile Group и многие другие. Следует отметить, что российские, равно как и телекоммуникационные компании стран СНГ, проявляют достаточно высокий интерес к cтандарту, причем ряд ведущих игроков на этом рынке уже приступил к внедрению СУИБ. Некоторые компании не только завершили проекты по внедрению, но и успешно прошли сертификационный аудит в BSi.

Cnews: Что бы вы назвали своим ключевым предложением для телекомрынка на данный момент?

Василий Носаков: "Инфосистемы Джет" давно работает с российскими телекоммуникационными компаниями, в том числе и в области информационной безопасности. Мы наблюдаем на телекоммуникационном рынке следующие тенденции: все большее значение начинает играть не применение набора тех или иных средств и технологий защиты информации в компании, а эффективная система управления этими технологиями, функционирующая в контексте общей системы управления организации. Такая система должна обеспечить активное вовлечение высшего руководства компании в решение вопросов обеспечения информационной безопасности и четкое разделение полномочий и ответственности за обеспечение информационной безопасности.

Поэтому нашим ключевым предложением в настоящий момент являются консалтинговые услуги по созданию СУИБ на основе модели BS ISO/IEC 27001:2005. Именно на базе данной модели мы предлагаем заказчику внедрение комплекса конкретных организационных и технических решений по защите информации.

Наталья Горобец: С точки зрения BSi, наиболее правильной тактикой, причем не только для компаний телекоммуникационного рынка, является обучение своих специалистов, которые вовлечены в процессы внедрения, функционирования и развития СУИБ. Поскольку основная ценность любой системы управления – это специалисты и их знания, которые позволяют не только поддерживать работоспособность системы, но и постоянно совершенствовать ее. Все это применимо к принципам построения и других систем менеджмента, таких как система управления качеством, система экологического менеджмента, система управления ИТ сервисами, система пищевой безопасности и т.д.

Cnews: Расскажите, что примечательного произошло на рынке ИБ в 2006 году? Василий Носаков: Можно сказать, что весь 2006 год прошел в мире ИБ под эгидой стандарта. Со стороны многих российских компаний, работающих в различных отраслях, наблюдался и наблюдается в настоящее время интерес к этому документу, так как соответствие ему стало важным фактором коммерческого успеха организации.

Компания "Инфосистемы Джет" активно начала развивать направление консалтинга по внедрению СУИБ в соответствии с требованиями Стандарта еще в начале 2005 года. Тогда специалисты "Инфосистемы Джет" одними из первых успешно прошли курсы ведущего аудитора СУИБ в BSi.

Наталья Горобец: Для компании BSi MS CIS 2006 год стал годом укрепления позиций на рынках услуг России и стран СНГ по аккредитованной сертификации СУИБ на соответствие требованиям нового для России стандарта ИБ. В продолжение тенденции прошлого года в наступившем 2007 году все больше и больше компаний нуждаются в сертифицированном обучении.

Алексей Кравцов: Мы заинтересованы в дальнейшем развитии наших отношений с госсектором  На вопросы CNews отвечает генеральный директор компании Kraftway Алексей Кравцов CNews: Какова цель вашего участия в "Инфофоруме"?

Алексей Кравцов: Главная цель нашего участия - показать, что в России существует серьезные производственные ИТ-компании, инвестирующие большие средства в исследования и разработки. Иногда мы делаем разработку, не имея заказа, а потом показываем ее нашим потенциальным заказчикам. Могу сказать, что у нас есть определенный успех на этой ниве. Мы стараемся проанализировать потребности государственных структур и создаем на свой страх и риск какие-то решения, которые в дальнейшем могут быть востребованы. Для нас участие в форуме – это, в первую очередь, получение дополнительной информации о задачах и проблемах, которые стоят перед государственными предприятиями.

CNews: Какова значимость "Инфофорума" для отечественного рынка ИБ?

Алексей Кравцов: Достаточно высокая, учитывая представительный состав участников. Думаю, что мы будем участвовать в форуме и впредь.

CNews: Какую вы себе отводите роль среди других компаний, работающих в секторе ИБ?

Алексей Кравцов: На сегодняшний день Kraftway это единственная компания, которая имеет сертификат ФСТЭК на производство. Это достаточно важный момент, так как наличие у Kraftway сертификата на производство оборудования с использованием сертифицированных ОС, СУБД и приложений полностью решает проблему поставки защищенных аппаратно-программных комплексов для государственных нужд.

CNews: Можете ли вы это назвать своим конкурентным преимуществом по сравнению с западными компаниями?

Алексей Кравцов: По сравнению с западными компаниями я вижу много конкурентных преимуществ, в частности, при закупке импортной техники существует риск попасть в определенную зависимость от иностранного производителя, связанный с поддержкой, сервисом и.т.д. Мне хотелось бы подчеркнуть, что при наличии в России достойного производства и научно-исследовательской базы нет никакой необходимости в закупке готовых систем у западных производителей.

Некоторые говорят: что такое российское производство, если все компоненты делаются за границей? Они делаются "за границей" (в том же Китае) для всех компаний. Компонент рассматривается просто как сырье, которое мы перерабатываем и выпускаем свою оригинальную продукцию.

Михаил Романов: Внимание государства к форуму говорит о важности ИБ для развития страны  На вопросы Cnews ответил Михаил Романов, начальник отдела информационной безопасности и планирования непрерывности бизнеса компании "ТехноСерв A/C" Cnews: Безопасность в финансовой сфере - это, пожалуй, наиболее критичная область ИБ. На что способны современные системы?

Михаил Романов: На сегодняшний день системы и технологии безопасности финансовых организаций находятся на достаточно высоком уровне. Однако, говорить об "универсальной таблетке", которая снимет все проблемы банка, нельзя. Построение любой системы безопасности - это конвергенция различных систем и их сопряжение с правильно выстроенными, с одной стороны, бизнес-процессами, а с другой – с процедурами безопасности. Корректно было бы говорить о построении комплексной и надежной системы безопасности организации.

Cnews: Ваш доклад был посвящен комплексным системам управления ИБ. Компании удалось продвинуться в этом направлении?

Михаил Романов: "ТехноСерв А/С" обладает серьезной компетенцией в этой области. За последние несколько лет мы выполнили ряд уникальных проектов с распределенными СУИБ. А в прошлом году были проведены исследования различных систем управления безопасностью в разрезе конкретных задач заказчиков из различных отраслей. Основываясь на результатах анализа, мы качественно переработали наши предложения в области мониторинга и управления и существенно повысили их уровень.

Cnews: Как вы считаете, удается ли Инфофоруму достичь главной цели – наладить прямое общение между бизнесом и государством? Чувствуется ли влияние этого мероприятия на ход реформ в области ИТ?

Михаил Романов: Заинтересованность и активное участие представителей государства в подготовке и работе форума свидетельствуют о значимости вопросов ИТ-безопасности для развития страны.

Cnews: Что побудило вашу компанию стать официальными партнерами Инфофорума?  Михаил Романов: "ТехноСерв А/С" всегда стремилась не только принимать участие в мероприятиях такого масштаба и уровня, но и поддерживать их по мере возможности. Отмечу, что мы рассматриваем партнерство не как спонсорство, а как активное участие во взаимодействии между всеми сторонами, представленными на мероприятии: организаторами, заказчиками, СМИ и нашими коллегами из отрасли ИТ.

CNews.ru
Антон Рожной
6 февраля 2007