В нашей стране государственное регулирование в области информационной безопасности (ИБ), вне сомнений, играет очень большую роль, особенно в настоящее время, когда в мире всё еще царит финансовый кризис. По этой причине те, кто так или иначе заняты в ИБ-отрасли, с пристальным вниманием следят за “Инфофорумом”, который, по определению первого заместителя председателя комитета Госдумы по делам безопасности Михаила Гришанкова (он вел пленарные заседания очередного “Инфофорума”, состоявшегося в конце января), является для государственных структур “площадкой для подведения итогов и постановки новых задач в области ИБ”.
В наступившем году наши госчиновники решили подвести итоги и обозначить задачи на будущее по таким направлениям, как глобальные проблемы ИБ; ИТ для безопасности Универсиады-2013 и Олимпиады-2014; технологии безопасности для электронного государства; ситуационные центры органов госуправления; проблемы ИБ в системе высшей школы; вопросы совершенствования и применения законодательства о персональных данных (ПД); вопросы организации и деятельности службы ИБ; международный и национальный опыт обеспечения безопасности в Интернете. Именно эти вопросы были вынесены на пленарные заседания и тематические секции “Инфофорума-12” и составили его рабочую программу.
Сразу после ознакомления с этой программой у меня возникло острое ощущение отсутствия лейтмотива данного мероприятия — программа скорее напоминала протокол работы (как говорят профессионалы, “логи администратора”) “ситуационного центра” исполнительных властных структур, отражающий их реакцию на поступившие извне в течение прошедшего года раздражители.
После завершения первого пленарного заседания (по теме “Глобальные проблемы ИБ”) это ощущение только закрепилось. Лишь некоторые докладчики вышли с выступлениями, адекватными уровню мероприятия. Однако и они, начиная “от печки”, неоправданно затягивали свои сообщения и топили в “общих местах” ту актуальную конкретику, которую хотели донести до слушателей.
Так, Валерий Зубаха, директор проекта “Электронное правительство” в “Ростелекоме”, раскрывая понимание развития государственных электронных услуг этой организации (ей распоряжением правительства отведена роль исполнителя работ по созданию технологической инфраструктуры проекта), почему-то почти через десяток лет после зарождения идеи федеральной целевой программы “Электронная Россия” решил вернуться к комментарию трактовки терминов “электронный” и “цифровой”. Наверное, это было бы уместно в 2000 г., когда программа только формировалась, при определении ее целей и задач, но не на десятом году ее реализации.
Заметно короче и содержательнее могло бы быть и выступление Владимира Мамыкина, директора по ИБ Microsoft в России, который, перегрузив свой доклад отчетом о надежности ПО Microsoft и перечнем завершивших и проходящих государственную сертификацию продуктов, озвучил важную проблему, способную загнать в тупик действующую в нашей стране систему сертификации программных продуктов. Он сообщил, что для выполнения в полном объеме проверок на отсутствие недекларированных возможностей выше, чем по четвертому классу, у таких программ, как, например, Windows Server 2008 R2, нужно, по его оценкам, примерно четыре года. “Это свидетельствует о том, что современные программные средства уже резко отличаются от тех, для проверки которых в свое время разрабатывались руководящие документы ФСТЭК, ФСБ и других российских регуляторов, — сказал он. — Структура современного ПО сложна, разветвлена, функционально разнообразна. Если мы будем проверять сервер четыре года, то за это время ему на смену придет уже новый продукт. Разработчикам и представителям органов сертификации есть смысл обсудить эту проблему”.
Ну а Виктор Буряков, директор по системным решениям Sun Microsystems в регионе СНГ, просто использовал трибуну “Инфофорума” для избыточно эмоциональной рекламы своей компании, а также для того, чтобы упрекнуть конкурентов — SAP и Microsoft — за их позицию по отношению к сделке между Sun и Oracle.
Пленарные выступления других докладчиков — таких, например, как Владимир Матюхин, занимавший еще на тот момент пост руководителя Федерального агентства по ИТ; Александр Базавлюк, заместитель генерального секретаря “Организации Договора о коллективной безопасности” (ОДКБ); Борис Мирошников, начальник бюро специальных технических мероприятий МВД России, — во многом носили характер отчетов и более уместны были бы на тематических секциях, которые, кстати, отличались от главного пленарного заседания заметно большей деловитостью, предметностью и актуальностью.
Наиболее соответствующим статусу “Инфорфорума” по затронутым вопросам было выступление Андрея Ивашко, заместителя начальника Центра ФСБ РФ. По его мнению, реальный уровень ИБ определяется человеческим фактором. “Рядовой пользователь, — сказал он, — представляет себе ИБ-угрозы поверхностно, он затрудняется лично обеспечить свои права и свободы в киберпространстве. По мере роста зависимости его жизни от киберпространства (через электронные госуслуги, социальные сети и т. д.) отношение обывателей к компьютерным преступлениям меняется. Да и провайдеры тоже начинают относиться к загрязнению трафика ответственней из-за потери качества услуг. Одна из задач “Инфорума” заключается в пропаганде правильного и безопасного применения гражданами инфотелекоммуникаций, в повышении культуры ИБ в информационном обществе”.
Самой животрепещущей, как выразился г-н Гришанков, в области ИБ для России остается проблема защиты персональных данных, точнее, реализация закона “О персональных данных” (ЗоПД). “Ситуация обострилась настолько, что Госдума провела 20 октября 2009 г. парламентские слушания на тему “Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных”. Их результатом стало утверждение тремя комитетами Госдумы рекомендаций, направленных руководству страны (они опубликованы на сайте комитета Госдумы по безопасности), и двух законопроектов, касающихся уточнения ЗоПД. Один законопроект уже подписан президентом (ФЗ № 363 от 27 декабря 2009 г. “О внесении изменений в ст. 19 и 25 федерального закона о ПД” в части исключения требований об использовании криптографических средств защиты персональных данных), и на один год продлен срок, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с ЗоПД ”, — сообщил он.
Вывод о доминирующей ныне роли ЗоПД подтвердило второе пленарное заседание, темой которого были “Вопросы совершенствования и применения законодательства о персональных данных”. Переполненный зал, четкие, конструктивные выступления большей части докладчиков, в первую очередь представителей бизнеса, свидетельствуют о том, что у организаций есть шанс воспользоваться предоставленной правительством отсрочкой для приведения своих информационных систем в соответствие с требованиями ЗоПД.
“Инфофорум-12” продемонстрировал, что государством и ИБ-сообществом за прошедший год проделано немало. Однако чтобы это мероприятие не теряло своего статуса, нужно ответственнее относиться к его организации. Форум не должен превращаться в трибуну победных реляций министерств и ведомств — мы знаем, что с отчетами, рапортами, статистикой наши госчиновники традиционно справляться умеют. Программа форума должна отражать его ведущее значение в обсуждении проблем обеспечения ИБ при построении информационного общества, в поиске их решений, в реализации стратегии национальной безопасности. Он также должен стать трибуной, с которой государство отчитывается перед обществом за реализацию своих планов по этим направлениям.
Трудно возразить г-ну Гришанкову, который заключил: “«Инфорфорум” стал сообществом ИБ-профессионалов, имеющих зачастую разные позиции по насущным проблемам ИБ. Это приводит порой к жестким столкновениям, но тем не менее это сообщество способно обсуждать любые аспекты существующих ИБ-проблем и нацелено на поиск оптимальных решений. Оно обеспокоено не только сохранением своих бизнесов или управленческих мест, но радеет за свою страну, которую его члены желают видеть равноправным и уважаемым партнером в глобальном информационном мире. Подчас на наших мероприятиях идут острые дискуссии, критикуются проекты государственных решений, документов. Это нормально. Обсуждения для их выработки полезны ”.
Очень важно, чтобы мы все понимали, какова же конечная цель этих решений, каков план ее достижения, важно, чтобы мы могли контролировать его выполнение.
