Разделы

Безопасность

Технические регламенты – главная проблема отрасли безопасности

В Сочи прошла IV ежегодная всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты», собравшая около трехсот специалистов в области защиты информации. В отличие от других мероприятий, на которых внимание уделяется больше глобальным вопросам и техническим решениям, в Сочи акцент делается на проблемах регламентирования отрасли ИБ в России.

Конференция в Сочи отличается от других мероприятий тем, что в ней активно принимают участие государственные структуры, определяющие развитие отрасли. В этом году мероприятие поддержали аппарат совета безопасности, аппарат полномочного представителя президента в ЮФО, министерство информационных технологий и связи, министерство обороны, МВД, ФСБ, федеральная служба по техническому и экспортному контролю, федеральное агентство по информационным технологиям, федеральная служба по финансовому мониторингу, федеральное агентство связи, «Ассоциация защиты информации», ассоциация «ЕВРААС». Организатор конференции – «Академия информационных систем».

47% участников конференции представляли собой руководящий состав, что говорит о ее высоком статусе. Безусловно, трех рабочих дней было недостаточно, даже для того, чтобы обсудить все запланированные вопросы, но тот факт, что ежегодно увеличивается как количество участников, так и их качественный состав говорит как об актуальности проблем защиты информации, так и о том, что организаторы правильно выбирают темы для обсуждений.

Коротко о главном

Пленарное заседание впечатлило составом выступающих. Традиционно открыл конференцию Юрий Лаврухин, начальник управления федеральной службы по техническому и экспортному контролю (ФСТЭК). С приветственными словами к участникам конференции обратились Владислав Шерстюк, помощник секретаря совета безопасности, Борис Мирошников, начальник бюро специальных технических мероприятий МВД, Михаил Мусатов, заместитель председателя комитета по обороне государственной думы, Андрей Ивашко, начальник управления 8 центра ФСБ, Вячеслав Оранжереев, советник министра информационных технологий и связи.

5

Владимир Карпачев, секретарь совета по информатизации аппарата полномочного представителя президента в ЮФО и Юрий Лаврухин, начальник управления федеральной службы по техническому и экспортному контролю

В ходе заседания были определены основные векторы развития отрасли, главным из которых стало ее законодательное регулирование. Кроме того, из уст руководителей крупных государственных структур прозвучали цифры, которые они обычно стараются не озвучивать. В частности говорилось о том, что 90% всех средств защиты информации, используемых на территории России, имеет иностранное происхождение, что российские банки в прошедшем году понесли ущерб в $20 млн. от мошенничества с кредитными картами, а органы госвласти около полутора миллионов раз подвергались атакам через интернет.

Борис Мирошников отмечал, что МВД не хватает ИТ-специалистов, а компании, подвергшиеся атакам, мало сотрудничают с органами. По его словам, для решения последней проблемы МВД собирается провести анонимное анкетирование российских организаций, чтобы иметь четкое представление о возникающих у них проблемах в сфере защиты информации.

Юрий Бородакий, директор ФГУП «Концерн Системпром», член-корреспондент Российской академии наук, говорил о том, что для полноценного нормативно-правового регулирования отрасли необходим целый ряд отсутствующих в настоящий момент законов. Он приводил пример с базами данных, когда российские компании и организации, владеющие конфиденциальной информацией, не несут никакой ответственности в случае утечки.

Неурегулированная безопасность

В главной секции конференции обсуждались вопросы регулирования отрасли. В нынешнем году прошли публичные обсуждения проектов технических регламентов «О безопасности информационных технологий» и «О требованиях к средствам обеспечения безопасности информационных технологий». Данная секция стала наиболее проблемной и собрала свыше 70 участников.

9

Владислав Шерстюк, помощник секретаря совета безопасности

Больше двух лет назад вступил в силу федеральный закон № 184-ФЗ «О техническом регулировании», который охватывает практически все сферы экономической деятельности, в том числе и деятельность по защите информации. Согласно этому закону все обязательные требования должны иметь форму технических регламентов. От требований к обеспечению качества будет совершен переход к требованиям обеспечения безопасности продукции и связанных с ней процессов. Все остальные вопросы, касающиеся качества продукции или ее потребительских свойств, не связанные с обеспечением безопасности, будут решаться производителем на добровольной основе.

Марина Яловега, «Группа Астра»: Соискателям интересны амбициозные ИТ-проекты, значимые для страны
Цифровизация

Согласно закону «О техническом регулировании» к 2010 г. должен быть совершен переход от ГОСТОв, ОСТов, СНиПов, СанПИНов и др. к техническим регламентам, которые будут иметь статус законов. Сегодня в стадии разработки находятся более 100 регламентов, однако ни один их них не был утвержден государственной думой.

Необходимость этого шага определялась острой нуждой в реформировании системы технического регулирования. В частности, в области защиты информации большая часть документов была разработана более 10 лет назад, и ранее утвержденные требования к обеспечению защиты информации носили разрозненный характер. Кроме того, не было единого документа, позволяющего проводить процедуры оценки соответствия средств и систем защищенных информационных технологий.

В рамках данной реформы правительством была утверждена программа разработки технических регламентов на 2004-2006 годы, а победителем открытого конкурса на разработку технических регламентов в сфере информационной безопасности, проводившегося министерством промышленности и энергетики, выиграл в апреле 2005 г. ФГУП НИИ «Восход».

Секция, посвященная техническим регламентам, была организована ассоциацией «ЕВРААС» и ФГУП НИИ «Восход», и имела наибольший резонанс на конференции. Обсуждения данной проблемы продолжались в кулуарах на протяжении всей конференции. В секции принимали активное участие представители ФСТЭК, министерства обороны, федерального агентства по информационным технологиям, а также представители организаций, которые имеют отношение к разработке технических регламентов.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

В рамках конференции разгорелись горячие споры вокруг терминологии, используемой в документах и категорирования ущерба, согласно которому определяются требования к системам защиты. Отмечалось, что некорректно определена сфера применения и объекты технического регулирования, многие понятия сформулированы либо нечетко, либо противоречат друг другу, отдельные пункты несут в себе одно и то же содержание и т.д.

По мнению участников обсуждения, недостаточно внимания разработке регламентов уделяется со стороны владельцев автоматизированных систем. Когда регламенты вступят в силу, уже будет нельзя что-либо изменить. Сейчас, на стадии публичных обсуждений, каждый заинтересованный может внести свои замечания в части содержания разрабатываемых документов.

С проектами технических регламентов можно ознакомиться на сайте ФГУП НИИ «Восход». Там же приведены официально полученные предложения и замечания к проектам, а так же есть возможность высказать свое мнение.

Во второй части секции прошли публичные обсуждения «Стандарта предпринимательской деятельности» ассоциации «ЕВРААС». Несмотря на то, что стандарт носит рекомендательный характер и отчасти напоминает, как отметил один из участников, этический кодекс компании, он получил одобрение. Участники обсуждения неоднократно отмечали, что стандарт нуждается в значительной доработке. Однако было принято решения парафировать документ, что, по мнению его создателей, должно значительно ускорить процесс его доработки.