VII Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты», прошедшая в Сочи с 9 по 13 сентября, продемонстрировала растущее внимание к этой актуальной теме и со стороны общественности, и со стороны государства. В числе более чем 400 ее участников были руководители регулирующих органов, первые лица и ведущие IT- специалисты крупных промышленных предприятий и компаний, представители различных ветвей центральной и региональной власти. Параллельно генеральный спонсор конференции, ОАО «Газпром», провел закрытое отраслевое совещание по вопросам ИБ, собрав на него свыше 150 участников. Седьмой год конференции отмечен значительным повышением ее статуса: теперь в качестве ее организатора выступает Совет безопасности Российской Федерации.
Работа конференции была построена по уже стандартной схеме: в первый день — пленарное заседание с вступительным словом председателя, помощника секретаря Совета безопасности РФ Владислава Шерстюка, обзорные доклады, выступления спонсоров, награждения. Затем — секционные заседания и круглые столы, а главное — встречи участников в кулуарах, которые, по общему мнению, составляют одну из наиболее привлекательных сторон конференции.
Выступления первого дня оставили неоднозначное впечатление: наряду с насыщенными и динамичными, такими как сообщение начальника Бюро специальных технических мероприятий МВД РФ Бориса Мирошникова, доклады директора по информационной безопасности ООО «Майкрософт Рус» Владимира Мамыкина и ряда других специалистов, прозвучало несколько вялых, формальных докладов с множеством ненужных деталей. Вот что сказал об этом начальник отдела ИБ банка «Банк 24.ру» из Екатеринбурга Андрей Ерин: «Я как будто вернулся в старые времена — услышал некоторые доклады, которые зачитывались по подготовленному кем-то много лет назад шаблону. Такие речи сегодня слабо воспринимаются. Например, у нас в банке внедрен тайм-менеджмент, и на совещаниях пустым выступлениям нет места. А здесь пришлось сидеть и слушать 3040 минут то, на что хватило бы и 10 минут. Хотелось бы, чтобы организаторы подходили к этому вопросу строже. Но несколько выступлений меня очень заинтересовали, я их законспектировал, в том числе Бориса Мирошникова — его одного хватит, чтобы считать, что время потрачено не зря».
Самому же Андрею Ерину было чем поделиться с коллегами. По его словам, «Банк 24.ру» первый в России банк, где внедрен международный стандарт информационной безопасности ISO 27001:2005. С 1 июля здесь начали использовать для управления доступом клиентов к услугам банка так называемые токены — микрокомпьютеры, позволяющие эффективно защитить счета клиентов от несанкционированного доступа. Причем используется токен российской разработки, в котором все криптографические функции сертифицированы по ГОСТу. Все новые клиенты подключаются теперь исключительно с использованием токена, а скоро и всех старых клиентов переведут на эту технологию. «Мы готовы даже к тому, — говорит Андрей, — что часть клиентов может из-за этого от нас уйти. Но потом они вернутся — когда потеряют деньги в других банках, где не так строго относятся к вопросам ИБ. Дело в том, что клиенты практически не знают о той мощной волне мошенничества, которая наблюдается в последние полгода. Например, у нас в Екатеринбурге со счетов юридических лиц мошенники похищают до 2 млн рублей еженедельно — эта цифра прозвучала на совместной пресс-конференции с отделом «К» и ОБЭП Свердловской области в конце августа. А ведь многие юридические лица, оказавшись в подобной ситуации, не заявляют о краже, чтобы сохранить свою репутацию. Можно предположить, что в других регионах и в центре положение нисколько не лучше. И мы очень довольны, что сертифицировали по ИБ 18 подразделений, более 100 человек, — это придает нам уверенности в работе».
Генерал-полковник Мирошников в своем выступление привел многочисленные примеры правонарушений в области информационной безопасности, с которыми приходится бороться его ведомству, и отметил, что в последние годы резко выросло количество уголовных дел в этой сфере. В перерыве конференции я спросил его, много ли дел заканчивается обвинительным приговором. «Мы прилагаем все силы, чтобы поступающие в суд дела не возвращались на доследование, — ответил он. — Доля обвинительных приговоров резко увеличивается и сегодня приближается к 100%. Однако возможности силовых органов не безграничны, важна активность самого интернет-сообщества, нужна большая разъяснительная работа среди пользователей Сети. Кстати, наши специалисты проанализировали типовые проблемы, связанные с использованием Интернета и систем электронных платежей, и подготовили рекомендации для граждан, как не стать жертвой мошенничества в этой сфере». Спрашиваю, наказывают ли злостных спамеров. «На бытовом уровне мы понимаем, что спам это плохо, — говорит Борис Николаевич, — но юридической формулировки пока еще не имеем, нет и закона, который бы это явление называл преступлением. И правоохранительные органы, особенно их силовая часть, ждут, пока у них в руках появится «мерная линейка», которая позволила бы отличать здесь зону доступную от зоны преступной. Свои предложения мы вносим постоянно — и в отношении спамеров, и в плане наших взаимоотношений с операторами связи и провайдерами Интернета в части создания условий, способствующих расследованию правонарушений и розыску преступников».
Первый заместитель начальника 8-го центра ФСБ России Александр Баранов в беседе с журналистами призвал общество к повышению ответственности. Не надо, говорит он, ожидать, что государство все предоставит гражданам на блюдечке с голубой каемочкой, гражданское общество должно само объяснить государству свои нужды, потребовать от него соответствующих действий и проконтролировать их результаты. «Но и сами граждане должны иметь чувство ответственности: каждый пользователь, каждая организация должны защищать свой компьютер и этим способствовать порядку в Интернете, — считает Александр Баранов. — Вот мы сертифицировали антивирусные программы «Лаборатории Касперского» и «Доктора Веб» — авторы года три их дорабатывали, чтобы они удовлетворяли нашим требованиям. Мы их протестировали и рассылаем обновления для госорганов, предварительно проверив их на корректность и подписав своей электронной подписью. А банки зачастую предпочитают ставить у себя программы зарубежных фирм, не прошедшие сертификации в России, получают откуда-то обновления, а потом жалуются, что у них утечки информации. Слава богу, сейчас банковское сообщество озаботилось защитой информации, и этот процесс взяли под контроль ЦБ и Ассоциация российских банков. Мы это приветствуем и будем им помогать. Кстати, западным производителям антивирусных программ мы рекомендовали пройти у нас сертификацию, но они этого не сделали — видимо, у них есть основания избегать нашей проверки, или они не хотят дорабатывать свои системы, чтобы удовлетворить нашим требованиям».
В этом году к участию в конференции впервые привлечена Общественная палата РФ в лице ее члена политолога Елены Дьяковой, которая была одним из модераторов секции «Реализация стратегии развития информационного общества». «Для меня было большим открытием, насколько серьезен уровень конференции, сколь авторитетных профессионалов здесь удалось собрать, — сказала она. — У нас очень хорошие законы, но правоприменительная практика оставляет желать лучшего. Мне было очень приятно, что на этой конференции присутствуют генералы и чиновники из наших силовых и регулирующих структур, которые видят и понимают имеющиеся проблемы и готовы их решать. Конструктивность мышления, продемонстрированная ими на заседаниях конференции, внушает надежды».
Встретившись в фойе с «отцом- основателем» сочинской конференции Юрием Лаврухиным, спрашиваю, не жалко ли ему передавать свое детище в другие руки. «Нет, — ответил он. — Можно только порадоваться, что конференция приобретает все большее значение. Я думаю, в ближайшее время это будет одна из основных российских конференций по информационной безопасности».
Начальника ГНИИ ПТЗИ ФСТЭК России Владимира Герасименко, модератора секции по защите персональных данных, прошу оценить ее работу. «Секция вызвала большой интерес, собрала более 100 участников, — рассказывает он. — Это важно, однако дискуссия шла фактически между двумя сторонами: операторами или заказчиками систем обработки персональных данных и регуляторами. Увы, не многие пока понимают, что не ФСБ или ФСТЭК России будут принуждать оператора к каким-то решениям, а субъект закона — человек, чьи данные лежат в базе. Вот я разговаривал с одним губернатором и сказал ему, что у него в области два миллиона населения, и если даже 50 тысяч самых грамотных из них потребуют от него отчета о том, как он защищает их персональные данные, ему придется туго. И знаете, какой был ответ? «Владимир Григорьевич, а вы их не учите!» Большой интерес вызвал вопрос об ограниченности ресурсов, и финансовых в том числе, у компаний, которые занимаются хранением и обработкой персональных данных. Рассмотрение закона о персональных данных в Думе сопровождалось горячими дебатами по этому поводу. Установлен порядок, предоставляющий операторам довольно широкую свободу в принятии решений. Вы можете отнести свою информационную систему к типовой, а можете — к специальной, но нужно разработать модель угроз, согласовать ее, проработать свои риски и принять решение. Предстоит большая работа, многое нужно усовершенствовать. Скажем, не нужно создавать лишние базы на местах и все их защищать, лучше построить систему так, чтобы с периферии можно было получить контролируемый доступ в центральную базу и получить там нужные сведения. В ходе заседания были высказаны и критические замечания в адрес разработчиков нормативных документов, но ведь это еще самое начало процесса, никто из операторов еще не прошел на практике все этапы оформления информационных систем персональных данных и не выполнил все наши требования. Однако дело сдвинулась с мертвой точки, и уже более 16 тысяч операторов зарегистрировались как операторы таких систем. В общем, работой секции я в целом доволен».
Алексей Марков, генеральный директор ЗАО «НПО «ЭШЕЛОН», тоже считает работу секции по персональным данным актуальной: «По существу регуляторы — ФСТЭК и ФСБ — впервые прокомментировали свою позицию. А что касается конференции в целом, то, на мой взгляд, ее основное назначение — собрать вместе руководителей большинства компаний и структур в области информационной безопасности, чтобы обсудить назревшие проблемы. Это традиционная и одна из самых крупных летних российских конференций по ИБ. Что касается минусов, то в нынешнюю программу были включены коммерческие доклады, некоторые из которых были откровенно слабыми: не содержали сравнительного анализа, а просто пропагандировали разработки вендора. Мало времени оставалось на обсуждение докладов — это можно было бы компенсировать, если бы организаторы открыли на своем сайте форум для участников. Не лишним было бы раздать сборник докладов. Тем не менее конференция очень позитивная, это редкая возможность встретиться с представителями всех заинтересованных структур и в деловой, и в неформальной обстановке. Я, к примеру, встретился с коллегами из регионов и уже многие вопросы с ними решил».
ЗАО «Аладдин Р. Д.» участвует в конференции все семь лет, и тем интереснее было узнать мнение о ней заместителя генерального директора компании Алексея Сабанова. «Основные цели нашего участия здесь — встретиться с коллегами, с партнерами, с регуляторами, с заказчиками, обсудить актуальные темы, — говорит он. — Самая насущная из них сегодня — защита персональных данных. Честно говоря, соответствующей секцией я не очень доволен: ее работа прошла как-то по ускоренной программе, без обсуждения, без вопросов. Я ожидал большего. Мы сейчас готовим свою конференцию — три дня всесторонне будем обсуждать, как именно защищать персональные данные. Хотим поднять все проблемы, в том числе те, которые не были по ряду причин озвучены здесь. Надо отметить, что ожидания рынка в отношении нормативной документации на сегодня удовлетворены. То, что вышло, немножко разочаровало участников рынка, но основную задачу наши регуляторы выполнили — рынок всколыхнулся: по нашим оценкам, свыше 30 тысяч операторов к концу года зарегистрируются официально. В то же время рынок средств защиты информации насыщен, предложений очень много, каждый производитель хвалит свой продукт. Оценить, насколько предлагаемые средства отвечают требованиям, достаточны ли они, могут только профессионалы. Это означает, что наконец-то всколыхнется и рынок услуг. Правда, хотелось бы избежать монополии известных фирм, чтобы на этой волне поднялись и другие компании, способные предложить услуги по подготовке систем к классификации и аттестации».
«Но ведь, — замечаю я, — тогда встанет вопрос о сертификации этих компаний, об оценке их компетенции....»
«Радует, что мы продвигаемся в нужном направлении, — говорит Алексей. — Сделан хоть и небольшой, но революционный шаг: введены в действие требования к разработчикам систем обработки персональных данных. Но вопросов остается еще много. Вот сегодня прозвучало, что закон о государственной тайне стоит государству миллиард рублей в год. А на реализацию закона о персональных данных якобы от государства денег не потребуется. Этого не может быть! Представьте, что вы коммерческая организация, которая обрабатывает персональные данные, к вам пришли надзирающие органы и обнаружили нарушения: они приостанавливают деятельность вашей системы и изымают данные. А дальше — государство должно гарантировать, что изъятые данные правильно хранятся, что доступ к ним строго ограничен и они будут возвращены. Это обязательно потребует государственных вложений, регламентации всех процессов, определения ответственности — а об этом пока вообще ни слова не было сказано. Что же до общего впечатления о конференции, то я ею удовлетворен. Хотелось бы, конечно, видеть здесь больше представителей госструктур, в частности Федеральной таможенной службы и Федеральной налоговой службы. Не мешало бы также больше внимания уделить условиям общения участников».
Николай Зезюлинский, директор по развитию бизнеса ООО «ФОРС — Центр разработки», на конференцию приехал впервые — его компания только недавно начала заниматься специализированными ИБ-про- дуктами, хотя обеспечение информационной безопасности в рамках внедрения комплексных решений на основе технологий Oracle давно является предметом их деятельности. «Здесь очень интересно, — делится он, — палитра предлагаемых решений существенно шире, чем в той нише, которой мы занимаемся. Есть интересные партнеры, с которыми нам, как разработчику и интегратору бизнес-приложений, было бы интересно поработать совместно, и мы даже договорились здесь о возможных альянсах. Есть и интересные заказчики: уже виден уровень проработки проблем — начиная с нормативно-правовой базы и заканчивая конкретными решениями. Мне очень понравился, например, доклад представителя группы ПИК. Теория — это, конечно, хорошо, но реальные дела — это вдвойне интересно».
Елену Сучкову, коммерческого директора ЗАО «ИнфоВотч», тоже порадовала возможность встретиться с партнерами-заказчиками и обсудить некоторые вопросы. «С другой стороны, — говорит она, — хотелось бы получить помощь в организации встреч с новыми людьми.
Можно было бы в первый день дать слово гораздо большему количеству докладчиков, чтобы они обозначили кратко свои интересы, а потом уже подробно продолжить обсуждение на круглых столах. Общие слова никого не интересуют — хотелось бы больше выступлений практиков, заказчиков и вендоров: мы постоянно с кем-то сотрудничаем и все время должны думать о том, с кем будем интегрироваться в следующем году или через год». Коллега Елены, заместитель генерального директора ЗАО «ИнфоВотч» Рустэм Хайретдинов, добавляет: «На эту конференцию мы приехали впервые — по рекомендации наших клиентов, для нас это своеобразная разведка. В отличие от коммерческих конференций в Подмосковье или выездных конференций за рубежом здесь много представителей регулирующих органов. Мы редко сталкиваемся с ними, при сертификации наших продуктов действуем по стандартной процедуре, не пользуясь личными связями. Тем интереснее было посмотреть в лицо людям, которые определяют техническую политику, и высказать им некоторые пожелания. Ведь некоторые тактические тонкости, с которыми мы встречаемся в практической работе, им, может быть, не очень заметны. На конференции мы нашли как минимум пять новых потенциальных клиентов, которые пришли к нам после консультаций с присутствующими здесь нашими заказчиками».
Для Дмитрия Ефанова, заместителя директора Центра базовых информационных технологий ВНИИ автоматизации управления в непромышленной сфере им. В. В. Соломатина, модератора секции по свободному ПО, участие в конференции интересно по-своему: «У нас часто обсуждаются концепция ИБ, правовые нормы, но пользователи-то работают за реальными компьютерами, на которых в нашей стране практически повсюду установлена только одна операционная система — Windows. А в Минобороны уже почти 10 лет успешно используются системы на базе Linux и продуктов с открытым исходным кодом. И наша цель — донести накопленный нами опыт до тех участников конференции, которые непосредственно занимаются разработкой защищенных информационных систем. Если информационная система должна строиться на основе сертифицированной во ФСТЭК операционной системы, то сегодня на российском рынке представлены только два продукта масштаба предприятия: это либо Windows, либо дистрибутив Red Hat Enterprise Linux, производство сертифицированной версии которого налажено у нас в институте. Причем пользователь получает в дальнейшем еще и сертифицированные обновления. При этом Red Hat Enterprise Linux сертифицирован по значительно более высокому уровню доверия, чем Windows, и его исходный код прошел проверку на отсутствие недекларированных возможностей, так называемых «закладок», чего нет у Windows. К теме Linux и свободного ПО на конференции мы обращаемся уже второй год подряд, и я думаю, что такая секция станет постоянной. Дело в том, что свободное ПО по своей природе намного лучше отвечает требованиям наших руководящих документов, так как изначально является полностью открытым и, что важно для специалистов, несет в себе технологию сборки исполняемых файлов. Это делает его идеальной основой для создания защищенных систем самого разного назначения, и об этом мы говорили на нашей секции».
Комментируя по моей просьбе итоги встречи, ректор Академии информационных систем, ответственный секретарь оргкомитета Юрий Малинин отметил, что начиная с этого года Совет безопасности взял на себя роль основного куратора конференции. Это дало возможность официально пригласить к участию в ней представителей субъектов РФ — они участвовали в работе пленарного заседания, выступали с докладами: из 400 собравшихся более 200 — представляли регионы. «Одна из основных задач нашей конференции — пропаганда идей, решений и перспектив в области ИБ на региональном уровне, — говорит Юрий. — Секции поработали эффективно, представители компаний получили информацию о новостях в нормотворчестве в области ИБ, практике их реализации. Важно, что участники конференции получают информацию из первых уст, общаются на уровне первых лиц, решают стратегические вопросы. За три дня участникам здесь порой удается решить такой объем вопросов, на который в Москве потребовалось бы несколько месяцев. В этом году мы пошли на то, чтобы включить в программу коммерческие доклады, — в основном на секциях по практике обеспечения ИБ на предприятиях, которые и предназначаются для того, чтобы познакомить участников с предлагаемыми на рынке решениями. Эксперимент показал, что к рекламным докладам нужно относиться более требовательно. Докладчики должны учитывать уровень, статус и компетенцию нашей профессиональной аудитории и готовить соответствующие выступления».
В заключение своих слов Юрий Малинин отметил еще один важный аспект: «Наряду с сильной практической составляющей конференция имеет еще и гуманитарную направленность. Нам нужно знать, какие цели мы перед собой ставим, куда движемся, только тогда мы сможем определить курс: какие нужны решения, что нужно делать в первую очередь. Это касается, в частности, информационного обеспечения Олимпийских игр в Сочи. Здесь пока еще нет речи о каких-то конкретных решениях — на секции обсуждалась лишь постановка проблем, то есть та самая гуманитарная составляющая. В отличие от прежних лет, на этот раз мы решили не печатать доклады конференции, а издать их в электронной форме — они будут доступны на сайте www.vipforum.ru.
Чем более значима конференция, тем выше предъявляемые к ней требования, и при общей высокой оценке сочинской конференции ее участники высказали ряд конструктивных замечаний в адрес организаторов. Это хороший признак, говорящий о намерении и в дальнейшем участвовать в этой конференции и способствовать ее совершенствованию.
Юрий Курочкин
IT News | 18 | 115 | 30 сентября 2008