КОНФЕРЕНЦИИ
Российских специалистов в области информационной безопасности (ИБ) можно поздравить с появлением нового места общения - в Москве с 4 по 6 декабря в рамках 6-й международной выставки "Ведомственные и корпоративные сети связи" (ВКСС) прошел первый IT Sequrity Forum, организованный учебным центром "Информзащита". Сразу хотелось бы отметить: мероприятие оказалось успешным - количество участников превысило 200 человек, а дискуссии и обсуждение проблем не прекращались даже в перерывах.
В программе форума значились пленарное заседание руководителей департаментов информатизации и ИБ министерств, ведомств и корпораций, семинар "Технологии обеспечения ИБ ВКСС", секции по продуктам и решениям, предлагаемым поставщиками, учебные мероприятия для руководителей подразделений и специалистов ИБ (консультации с производителями средств защиты - участниками выставки). И все это - за три дня.
Участники конференции
Но насыщенность программы только повысила активность обсуждения поднятых проблем. Так, уже на пленарном заседании с участием представителей ФСБ, Гостехкомиссии, Минсвязи, МВД, Ассоциации защиты информации, ОАО "Связьинвест" и др. возникла серьезная дискуссия на тему нормативной базы в области ИБ и сертификации средств защиты. При этом практически все выступавшие вынуждены были признать, что состояние дел в данной области оставляет желать лучшего: фактически отсутствует нормативная база по безопасности документооборота, нет ясности в вопросе создания и регистрации удостоверяющих центров, не существует также однозначного определения по сертификации средств защиты. И хотя новый ГОСТ/ ИСО МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий" уже принят и разработаны и опубликованы необходимые "Руководящие документы" (РД), определяющие профили и требования к защите, его внедрение (намеченное на 2004 г.) должно проходить на основании закона "О техническом регулировании", внесение изменений в который еще только планируется. Как заметил представитель Гостехкомиссии Юрий Попов, для воплощения всех принципов "Общих критериев" и РД необходимо принять не менее девяти федеральных законов.
Нельзя было не согласиться, что в действующем законодательстве отсутствуют многие определения, например нигде нет определения типов тайны и степеней секретности, а в законе "О связи" нет пункта о правилах передачи секретной информации. Кроме того, в одних документах указано на необходимость применения только сертифицированных продуктов для построения информационных систем, а в других написано, что собственник информации может самостоятельно принимать решения о степени защиты своих данных и используемых для обеспечения их безопасности средств. Все это, несомненно, указывает на несовершенство нормативной базы. Не зря многие участники дискуссии считают, что сегодня (до тех пор, пока не появятся те самые девять законов) полноценная защита информации - целиком и полностью забота самих департаментов безопасности компаний, поскольку регламентирующие документы попросту отсутствуют.
И специалисты этих департаментов вынуждены сами решать, какие средства защиты необходимы и достаточны для их сетей, руководствуясь лишь предложениями рынка и собственными опытом и знаниями, поскольку практически нет различий между продуктами, имеющими и не имеющими сертификат. Часто производитель выдает за сертифицированный продукт совсем не ту версию, которая выпускается и продается сейчас, или умалчивает о сроке действия сертификата. Кроме того, подавляющее большинство средств защиты производится массовым тиражом с одной копии на мастер-диске. Поэтому отличие сертифицированного продукта от несертифицированного заключается лишь в том, что у первого есть сертификат с голограммой, подтверждающий, что именно данный экземпляр (читай: компакт-диск) соответствует некоторому множеству требований, предъявляемых к средствам защиты данного класса.
Способы достижения этой самой "необходимости и достаточности" стали предметом обсуждения на семинаре "Технологии обеспечения ИБ ВКСС". Здесь было немало интересных выступлений, многие из которых не оставили без внимания и модные сегодня методики ранжирования угроз, базирующиеся на минимизации рисков ("Открытые технологии", KPMG, "Информзащита" и др.), и актуальные вопросы защиты Web-сервисов (Demos). Однако хотелось бы отметить два сообщения, посвященные не конкретным фирменным решениям, а общим подходам к проблемам, тесно примыкающим собственно к технологии ИБ. Название первого - "Правовые и технические аспекты мониторинга работы со средствами телекоммуникации сотрудников компании" (Юрий Емельянников, "Связьинвест"), а второго - "Российская специфика расследования компьютерных инцидентов" (Игорь Собецкий, "Информзащита").
О необходимости защищать периметр сети не только снаружи, но и изнутри упоминали многие участники форума, поскольку ущерб фирм от действий собственного персонала (по оценкам и российских, и зарубежных аналитиков) практически равен ущербу от атак "отказ в обслуживании" и немногим больше потерь от компьютерных вирусов.
Но все аспекты скользкой темы мониторинга работы сотрудников решился обсудить только представитель телекома. Такой мониторинг позволяет контролировать использование каналов связи для неслужебных целей и предупреждать потери рабочего времени (например, на вольный Web-серфинг), не говоря уже о предотвращении утечки конфиденциальной информации. И недостатка в технических средствах, способных обеспечить такой контроль, нет. В выступлении Михаила Емельянникова подробно рассматривалась одна из возможных схем организации мониторинга за электронной почтой и доступом в Интернет. Однако здесь возникает другая проблема - правомерности контроля использования ресурсов компании работодателем. По мнению Михаила Емельянникова, она возникает лишь при отсутствии в организации четкого регламента использования средств коммуникации и доступа в Интернет.
Что же касается расследования компьютерных инцидентов в нашей стране, то здесь "фирменный" рецепт Игоря Собецкого прост - изучайте уголовное и гражданское право РФ. Только правильное использование российских законов поможет привлечь к ответственности компьютерных террористов или воров. При этом Игорь Собецкий предостерег присутствующих: переводная литература и зарубежные рекомендации по данной проблеме не помогут в розыске злоумышленника, а возможно, и навредят пострадавшей фирме. Причина не только в различии законов, но и, что более важно, в разных правовых принципах, действующих в родном отечестве и в иных государствах: наше право не относится к прецедентным и отличается следственными процедурами.
В заключение вместо приличествующих краткому обзору выводов хотелось бы выразить сожаление, что организаторы не подготовили сборник докладов и выступлений на семинарах и секциях IT Sequrity: многие материалы стали бы настольной книгой специалистов по ИБ, по крайней мере до следующего форума.
