Чем шире внедряются информационные технологии в работу государственных организаций и коммерческих компаний, тем значительнее становится роль информационной безопасности в обеспечении безопасности страны. И неудивительно, что традиционная ежегодная всероссийская научно-практическая конференция «Обеспечение информационной безопасности. Региональные аспекты», которая в шестой раз прошла в сентябре в Сочи, вновь собрала весьма представительную аудиторию. Сюда съехались около 400 участников, в основном руководители организаций и специалисты по информационным технологиям и информационной безопасности, представляющие различные сферы экономики, государственные и коммерческие структуры и, что особенно отрадно, многие регионы Российской Федерации, включая Дальний Восток. Организаторы из «Академии Информационных Систем» позаботились облегчить доступ на конференцию региональным представителям, осуществив большую подготовительную работу, и если на прошлогодней встрече регионы были представлены 40% участников, то на нынешней — уже около 70%.
Как и в прошлые годы, в работе конференции принимали активное участие властные структуры: помощник секретаря Совета Безопасности РФ Владислав Шерстюк, представители федеральных органов исполнительной власти, в том числе регулирующих деятельность в области защиты информации — Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Выступали с докладами и активно участвовали в дискуссиях представители Министерства юстиции, Мининформсвязи, Министерства внутренних дел, Федерального агентства по промышленности, других министерств и ведомств, а также ОАО «Газпром нефть», ОАО «Российские железные дороги», Ассоциации российских банков, Фонда социального страхования, Пенсионного фонда РФ и т. д.
Оргкомитет конференции подготовил обширную программу мероприятия — может быть, даже слишком обширную для трех дней его работы: на пленарном заседании, восьми секционных заседаниях и двух «круглых столах» прозвучало более 90 докладов. Основная задача организаторов неизменна во все годы проведения сочинской встречи: предоставить заинтересованным сторонам площадку для свободного обсуждения и взаимного выяснения проблем в сфере обеспечения информационной безопасности страны в целом и в отдельных организациях, в частности. Представители регулирующих органов рассказывали о том, что ими сделано за минувший год, а остальные участники рынка защиты информации откровенно высказывали свое отношение к ситуации и действиям регуляторов, делились опытом, сообщали о собственных достижениях и проблемах.
Дискуссии принимали порой очень острый характер. Так, ряд выступавших резко критиковали практику бессистемного и бесконтрольного приобретения дорогостоящих зарубежных средств обеспечения информационной безопасности и недостаточное внимание к российским разработкам в этой области. Оживленное обсуждение вызвал доклад заместителя председателя Фонда социального страхования Сергея Ковалевского, который посетовал, что в настоящее время импортные технологии «захватили практически 90% российского информационного рынка», и высказал связанные с этим опасения. Он представил аудитории отечественную, разработанную Фондом «Единую интегрированную информационную систему», отвечающую требованиям к обеспечению информационной безопасности.
Пожалуй, наибольший интерес участников конференции вызвала секция, посвященная проблемным вопросам нормативно-правового регулирования в области информационной безопасности — на протяжении двух дней работы она неизменно собирала более 80 слушателей. Общее пожелание участников обсуждения — как можно быстрее ввести в действие документы, позволяющие создать механизм реализации уже принятых законов РФ, регулирующих отношения в области информационной безопасности.
Столь же представительной была секция «Практические вопросы обеспечения информационной безопасности государственных ведомств и коммерческих организаций РФ». Ее участники пришли к общему мнению, что сегодня одно из наиболее актуальных направлений в сфере информационной безопасности — разработка технических и организационных решений для защиты от внутренних нарушителей — инсайдеров.
Внимание участников секции «Стандарты информационной безопасности в банковской сфере» было сосредоточено на вопросах, связанных с продвижением стандарта Центробанка РФ по информационной безопасности, и проблемах безопасности в кредитных и консалтинговых организациях. Выступавшие настоятельно рекомендовали в дальнейшем привлекать к работе секции представителей Центробанка, которые на этот раз не смогли приехать на конференцию. Впервые организованная секция «Проблемные вопросы подготовки специалистов в области технической защиты информации» хотя и не отличалась многочисленностью, но проходила оживленно и выработала целый список рекомендаций по обсуждавшимся вопросам. Ее участники отметили, в частности, необходимость организации межведомственной системы подготовки кадров в области защиты информации, совершенствования системы дополнительного профессионального образования в этой сфере, разработки квалификационных требований и системы аттестации специалистов по защите информации.
Секция «Решения в области безопасности на базе Linux и Open Source», работавшая параллельно с основными секциями конференции, тоже не была многочисленной, однако ставила перед собой весьма важные и прежде всего просветительские задачи, так же как и проведенный в ее рамках мастер-класс. Уже само по себе наличие такой секции на конференции — свидетельство растущего проникновения технологий Linux и Open Source на российский рынок.
Сколь бы насыщенной ни была официальная программа сочинской конференции, не менее значимой оказалась и ее неформальная сторона: сюда традиционно съезжаются люди, которым есть о чем поговорить и что обсудить в непринужденной обстановке, вдали от повседневной суеты и служебных дел. Участники конференции загодя договариваются о будущих контактах, а организаторы, приняв во внимание это обстоятельство, предоставляют им новую услугу — «организацию деловых встреч», выступая в них в качестве посредника. В ходе таких встреч достигаются договоренности и кипят яростные споры, здесь можно составить собственное представление о положении дел в сфере информационной безопасности и найти решение собственных проблем, выслушать совет более опытных коллег и полярные мнения и неожиданные суждения людей с самым разнообразным, зачастую уникальным опытом.
Не утомляя читателей многочисленными примерами, приведу только два ответа на мой вопрос: какие проблемы информационной безопасности можно считать сегодня самыми насущными для нашей страны? Начальник управления ФСТЭК России Юрий Лаврухин назвал в качестве таковых обеспечение защиты ключевых систем информационной инфраструктуры и защиты персональных данных, а также вопрос подготовки специалистов по информационной безопасности, который, по его мнению, сохранит свою остроту в ближайшие 10-20 лет. А генеральный директор компании Aladdin Сергей Груздев самой актуальной проблемой считает анализ трафика. По его словам, до 70% корпоративных машин зомбированы и могут быть использованы для бот-атак.
Деловая и откровенная атмосфера, характерная для сочинской конференции, импонирует многим собравшимся, и они заявляют о своем желании участвовать в дальнейших конференциях — об этом, в частности, говорили на заключительном заседании впервые приехавшие на конференцию заместитель начальника Управления по защите государственной тайны и безопасности Федерального агентства по промышленности Олег Олейников и заместитель директора департамента конституционного законодательства и безопасности Минюста РФ Татьяна Полякова.
Во время короткого брифинга в перерыве заседаний я попросил сопредседателей конференции дать оценку ее значимости и места в ряду многочисленных аналогичных мероприятий последнего времени. Юрий Лаврухин, начальник Управления ФСТЭК, ответил так: «Владислав Петрович Шерстюк в своем выступлении сказал, что мы будем поддерживать все конференции по информационной безопасности, которые проходят в нашей стране. Однако у нас была идея выделить четыре приоритетные конференции, на которые приезжают руководители первой величины: ясно, что всюду побывать они не могут, а выбирают лишь те, где интересно, где идет деловое обсуждение. Сочинская конференция — это авторитетная трибуна, где генерируются идеи, куда стремятся специалисты, и мы будем ее поддерживать наряду с несколькими другими мероприятиями, в которых также принимаем участие». Директор департамента обеспечения безопасности информации и информационных технологий аппарата Совета Безопасности РФ Анатолий Стрельцов дополнил: «Действительно, конференций много, на все попасть очень сложно, но есть среди них узловые, на которых выявляются проблемные вопросы и есть возможность донести нашу точку зрения по поводу реально существующих проблем до заинтересованных специалистов, чтобы выслушать их мнение. Мы при каждой возможности пытаемся использовать этот канал связи с общественностью, чтобы самим лучше понять, что нужно делать для усиления информационной безопасности. Данная конференция, на мой взгляд, входит в тройку самых масштабных и наиболее креативных мероприятий подобного уровня, где обсуждаются новые идеи и поднимаются острые проблемы, где интересно и полезно присутствовать».
Одна из предпосылок успеха конференции — удачно выбранное место и время проведения. В этом году, правда, море штормило и участников, которые выбирались рано утром или вечерами на морской берег, встречала табличка «Купаться запрещено». Оставалось любоваться волнами и... продолжать беседы с коллегами (порой до самого утра). Учитывая это обстоятельство, хочется пожелать организаторам в дальнейшем не слишком перегружать программу конференции, оставляя в ней побольше места для неформального общения, что составляет один из наиболее ценных аспектов традиционной сочинской встречи. В конце концов, современный бизнес (по крайней мере, в России) все еще во многом строится на личных связях и взаимном доверии, а они возникают отнюдь не в залах заседаний.
Юрий Курочкин
Вместо послесловия. Ответственный секретарь оргкомитета сочинской конференции Юрий Малинин проинформировал нашу редакцию о дальнейших планах «Академии Информационных Систем». В частности, 25-27 октября 2007 года на III Международной научной конференции по проблемам безопасности и противодействия терроризму «МАБИТ 2007» будет продолжено обсуждение затронутых в Сочи вопросов. Кроме того, проблемы информационной безопасности как составной части управления непрерывностью бизнеса и восстановления жизненно важных систем после катастроф «Академия Информационных Систем» предлагает обсудить на II Международном научно-практическом семинаре «Информационная безопасность в контексте проблем непрерывности бизнеса», который состоится в апреле 2008 года в Германии (Гармиш-Патеркирхен, Мюнхен) при поддержке аппарата Совета Безопасности РФ и при участии Европейского центра им. Джорджа К. Маршалла, Университета Кембриджа, Университета штата Нью-Йорк, программы «Россия—НАТО», Института проблем информационной безопасности МГУ имени М . В. Ломоносова и BCI.
ITnews • № 20 (93) • 23 октября 2007