|
|
Законодательство и регулирование отрасли ИБ
В 2005-2006 гг. правительство плотно взялось за создание и совершенствование законодательства в сфере ИТ и ИБ. Наряду с повышенным вниманием, уделяемым вопросам национальной безопасности, наблюдается медленная, но уверенная тенденция либерализации отношений с Западом.
Не первый год эксперты говорят о росте комплексности на рынке информационной безопасности. Продукты ИБ усложняются функционально и врастают в интегрированные ИТ-решения, сами разработчики и поставщики ИБ постепенно переходят к системной интеграции, естественным путем, при этом вытесняя с рынка более слабые компании. Крупные игроки успешно растут, приводя на рынок зарубежных поставщиков и беря на себя все больше направлений.. Продолжают работать давнишние и опытные поставщики отечественных решений, разнокалиберные дистрибьюторы западных фирм и др. На все эти процессы естественного рыночного отбора влияет, так или иначе, «высшая сила» российского рынка ИБ — государство.
Государство и законы
Обязательным выводом множества отчетов конца 2005 — начала 2006 года о состоянии ИТ-рынка в России было подчеркивание роли госсектора и его динамично увеличивающихся расходов на информатизацию, в составе которых в некотором количестве присутствуют и затраты на защиту данных в информационных системах. Доля госзаказов на рынке ИТ, по оценкам аналитиков, составляет около 20 %, в сфере ИБ же она превышает 50 %.
ИТ-оснащение российского госсектора в 2005-2006 годах стало во многом политическим вопросом. Уже реализуется немало масштабных государственных ИТ-проектов, среди которых ИТ-перевооружение силовых ведомств и МВД, Федерального казначейства, ФТС и ФНС; проект создания электронных «биопаспортов» и ИТ-госпрограммы ГАС «Правосудие», ГАС «Выборы» и многое другое.
Согласно проекту «Электронное правительство» («Концепции использования ИТ в деятельности федеральных органов государственной власти») к 2010 году системы электронного документооборота будут внедрены во всех федеральных органах власти, электронными станут более 70 % всех документов, автоматизацией аналитики и операций с ними займутся корпоративно-ведомственные порталы, а ведомственные ИС обретут всеобщую совместимость.
Роль ИБ во всем этом очевидна: разграничение многоуровневого доступа разнообразных пользователей, аутентификация и сохранение целостности данных с помощью ЭЦП, защита центральных хранилищ данных и каналов межведомственной связи и т.д. — и все это, разумеется, с помощью сертифицированных средств защиты, что является обязательным для любых государственных учреждений.
В 2005-2006 гг. правительство плотно взялось за создание и совершенствование законодательства в сфере ИТ и ИБ: построение «электронного правительства» должно быть обеспечено правовой основой. Отчасти на это повлияло и стремление России в ближайшее время вступить в ВТО с его уровнем информационного развития — то есть войти в общее поле с другими государствами, в котором на нас будут распространяться некоторые общие нормы информационного обмена и безопасности информации.
В сентябре 2005 в Госдуму были переданы проекты ФЗ «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и «О персональных данных», вызвав полемику не только среди экспертов, но и с участием известных правозащитников и общественных организации, а также Русской Православной церкви. И это еще одна особенность последнего времени. Можно сказать, что впервые проблемами информационной безопасности озаботилось все общество, потому что они коснулись и еще больше могут коснуться всех и каждого в самом ближайшем будущем.
Проблема использования персональных данных и ограничения доступа к ним стала темой публицистики не только специальных, но и «народных» СМИ: об урезании свободы интернета, персонификации при предоставлении ранее анонимных интернет-услуг и услуг связи, негласном просмотре личной информации и переписки госорганами или, напротив, криминальными структурами, незаконном раскрытии баз данных государственных организаций и учреждений — и, в целом, нарушении неприкосновенности частной жизни. Закон «О персональных данных» для решения этой проблемы, с одной стороны, и для всей отрасли ИБ с другой может стать неким поворотным моментом.
В январе 2006 Центральный банк РФ ввел в действие вторую, обновленную, версию своего стандарта по управлению ИБ «Обеспечение информационной безопасности организаций банковской системы РФ». Пока стандарт — рекомендательный, но есть мнение, что в скором времени его статус сменится на обязательный, и он станет еще одним нормативным регулятором для банков в области ИБ.
В основу стандарта легли несколько общепринятых иностранных законов и стандартов в области ИБ — акты Сарбейниса-Оксли (SOX, Sarbanes-Oxley Act of 2002) и GLBA (Gramm-Leach-Bliley Act), ISO 17799 и 13335, а также распространенные зарубежные методики и российские «Общие критерии» (ГОСТ Р ИСО\МЭК 15408), основанные на аналогичном западном документе.
Акт Сарбейниса-Оксли (SOX) содержит описание механизмов внутреннего финансового контроля компаний, чьи акции котируются на Нью-Йоркской фондовой бирже, и его статья 404 посвящена обеспечению ИБ, ответственностью за несоблюдение которой является исключение с биржи. Как правило, аудиторы СИБ применяют SOX, проверяя внутренние способы контроля в сфере ИТ на соответствие стандарту COBIT, а в области ИБ — стандарту ISO 17799, следуя не условиям SOX, но общепринятой практике.
ISO 17799 основан на британском стандарте управления информационной безопасностью BS 7799, который применялся далее для официальной сертификации (в версии BS 7799:2). В 2005 году на базе BS 7799:2 был создан международный сертификационный стандарт ISO 27001, пришедший ему на смену.
ГОСТ Р ИСО/МЭК 15408 (Общие Критерии) — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
|
Объединив все эти источники, стандарт ЦБ может восприниматься как сборник, однако эксперты высоко оценивают его теоретическую и практическую пользу, отмечая, что он разработан с учетом всего лучшего имеющегося мирового опыта. Цель принятия стандарта — подготовить финансовые институты России к вступлению страны в ВТО, за которым последует планируемое в 2009 году присоединение к соглашению Basel II и, в частности, к его установкам, касающимся обязательного создания банками резервного фонда для покрытия рисков, в числе которых и риски в области ИТ-безопасности. Применение распространенных в мире методов построения эффективных СИБ в соответствии с новым стандартом уже сейчас является способом поднятия рейтинга в глазах партнеров и клиентов, иностранных инвесторов и самого ЦБ.
В 2006 году в России ожидается также принятие ГОСТов, основанных на упоминавшихся выше авторитетных международных стандартах: ГОСТ 17799 (основа — ISO 17799) и ГОСТ 27001 (основа — ISO 27001, ранее BS 7799:2). О необходимости принятия этих стандартов официальные регулирующие органы РФ заговорили еще в 2004 году, отмеченном общей либерализацией рынка информационной безопасности и принятием российских «Общих критериев», а в 2005 году началась разработка проектов стандартов. В конце 2005 года был принят ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».
Последние новости на эту тему — опубликованное в мае 2006 года на сайте http://www.gost.ru официальное уведомление о разработке проекта национального стандарта ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации» и ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». На сегодняшний день завершено публичное обсуждение проектов этих стандартов, которыми занимается ФГУ ТНИИИ ПТЗИ ФСТЭК России.
Интерес к получению сертификатов соответствия этим международным стандартам уже демонстрируют российские компании — прежде всего банки, кредитно-финансовые организации и предприятия, активно работающие на зарубежных рынках. Ряд ведущих компаний начали работу по построению СУИБ в соответствии с ISO 17799 и принятию корпоративных стандартов на его базе. Для участников рынка ИБ появление новых требований к организации безопасных ИС также выгодно: появятся заказы на системы, соответствующие стандартам, и на услуги аудита существующих систем. Опыт внедрения таких проектов можно будет использовать в рекламе так же, как сейчас используются упоминания об имеющихся лицензиях и сертификатах ФСБ и ФСТЭКа.
В ближайшей перспективе — пополнение информационного права РФ новыми законами «Об электронной подписи», «Об электронном документе», «О доступе к информации».. Закон «Об электронной цифровой подписи» существует с 2002 года, и сейчас обсуждается уже 3-я его редакция. Этот нормативный акт должен был создать правовую базу для повсеместного использования электронной подписи при обмене информацией в электронном виде, но применение его на практике никак не достигнет совершенства. Так, 2-я редакция закона оставила открытыми юридические проблемы работы Удостоверяющих Центров и использования сертификатов открытых ключей, нет процедур проверки ЭЦП при судебных разбирательствах спорных случаев. Однако, за время существования закона появились «корневой» и ряд простых государственных УЦ, а многочисленные корпоративные УЦ успешно работают во внутренних системах электронного документооборота компаний.
В своей 3-й редакции закон «Об электронной подписи» вобрал в себя регулирование использования любых аналогов собственноручной подписи (не только цифровых) и предусматривает разнообразные виды самой электронной подписи — в порядке усложнения и надежности: подпись для простого указания личности подписавшего, подпись для подтверждения целостности документа, подпись с сертификатом аккредитованного УЦ. Новый закон по-прежнему относится к гражданско-правовым отношениям и не касается государственных систем обмена данными (налоговой и бухгалтерской отчетности, государственной регистрации и нотариальных операций).
Госрегуляторы рынка ИБ
Сертификация и лицензирование на российском рынке ИБ по-прежнему обеспечивает жесткие условия существования его участникам со стороны государства.
ФСБ (http://www.fsb.ru) занимается лицензированием деятельности, связанной со средствами шифрования (проектированием, производством, распространением и обслуживанием шифровальных средств или защищенных с их помощью информационных и телекоммуникационных систем и комплексов) и их сертификацией для использования государственными предприятиями или для защиты информации высокой степени конфиденциальности.
Некоторые эксперты отмечают рост влияния ФСБ, как основного регулирующего органа в сфере ИБ. Вобрав в себя ФАПСИ в ходе административной реформы, ФСБ унаследовала все полномочия этой организации в плане лицензирования и сертификации на рынке средств криптографии. Кроме того, национальную значимость прочат системе сертификации, которую ФСБ создает в рамках проекта Федеральной миграционной службы.
ФСТЭК (http://www.fstec.ru) ведает лицензированием деятельности по защите информации и сертификацией средств защиты информации вообще (в том числе средств аутентификации, межсетевых экранов и т.д.). Одно из подразделений ФСТЭК отвечает за лицензирование ввоза/вывоза средств шифрования в Россию или из нее.
Компании, постоянно работающие в области ИБ с российскими силовыми ведомствами, лицензирует также Министерство Обороны РФ (http://www.mil.ru).
Сертификация в ФСБ и ФСТЭКе проводится с предоставлением исходных кодов программных продуктов на предмет проверки корректности реализации методов защиты и отсутствия различных уязвимостей, а также отсутствия недокументированных закладок.
ФСТЭК занимает позицию сравнительной лояльности к международным стандартам и к заграничным ИБ-продуктам: его усилиями в России введен в действие ГОСТ ИСО\МЭК 15408-2002, и хотя еще нет взаимного признания сертификатов по этому стандарту, уже сделаны подвижки в сторону упрощения сертификации и лицензирования импортируемых средств ИБ.
Попытка еще более ужесточить внутреннюю политику России в области ИБ была сделана в ходе принятия закона «Об информации, информационных технологиях и защите информации». В ноябре 2005 года Государственная Дума приняла законопроект в первом чтении — как обновленный вариант существовавшего ранее закона «Об информации, информатизации и защите информации», более согласованный внутренне и приведенный в соответствие с современным развитием ИТ и актуальными проблемами ИБ, а также тенденциями ИТ-законодательств в странах Евросоюза и США. А в марте 2006 ко второму чтению закона были внесены радикальные поправки Гудкова-Хинштейна: смысл их заключался в том, чтобы в стратегических отраслях и на особо опасных (важных) объектах Российской Федерации не допускалось использование зарубежных программно-технических средств, в которых могут быть недокументированные функции — это касается и программ с закрытыми исходными кодами, и оборудования, построенного на зарубежной элементной базе. Аргументация — угроза военной несостоятельности России и выведения из строя ее программно-аппаратных средств в случае международных конфликтов.
История вопроса восходит к «Доктрине информационной безопасности» 2000 года, где закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи была предусмотрена в списке потенциальных угроз, и избежать ее предлагалось переходом на отечественные аналоги, если они не уступают по характеристикам зарубежным образцам. В полном соответствии с доктриной, силовые ведомства России уже внедряют систему управления и связи нового поколения отечественной разработки, проект этот впечатляюще финансируется из бюджета Минобороны и должен завершиться к 2015 году.
Теоретический смысл поправок Гудкова-Хинштейна в приложении к сфере ИБ сводился к резкому отделению отечественного рынка ИБ, работающего с госструктурами, от посягательств на него со стороны внешних поставщиков ИБ-решений, ставя во главу угла разработчиков и производителей отечественных средств. Большой вес государственного потребления в области ИБ делает число потребителей этого рынка не маленьким. Кроме того, к нему нужно прибавить все смежные с государственными структуры, которые правительство сочло бы стратегическими или важными — ВПК и ведомства безопасности, энергетические отрасли, транспортная система, финансовая система расчетов с государством во главе с Центробанком, и т.д. Плюс, сюда же отойдут все косвенно зависимые от государства предприятия, которые осуществляют с госорганизациями информационный обмен, а также многие, кто исторически или по опыту склонны считать государственные требования в ИБ самыми правильными и принимать государственные сертификаты на средства защиты информации, как гарантию их качества и безопасности.
С другой стороны, наложение теории на практику вызвало массу сомнений и критики у экспертов, утверждавших, что создание отечественных систем, столь же сложных, как используемые сегодня западные аналоги, требует нереальных для страны денег и времени, аналогичных затраченным на это мировыми гигантами ИТ-индустрии, при этом эффективность и защищенность отечественных систем должна быть реализована на таком же высоком уровне.
28 июня 2006 года законопроект «Об информации, информационных технологиях и о защите информации» был принят Государственной Думой во втором чтении, при этом поправки Гудкова-Хинштейна были отклонены. В частности, глава Мининформсвязи РФ заявил, что в критических системах оборонного комплекса России применяются только те программно-технические средства, которые прошли доскональную проверку в уполномоченных органах.
Таким образом, Россия продолжает поступательное движение в сторону мирового сообщества. Послужит ли это нашему ИТ-прогрессу или ИТ-зависимости, совершенствованию сферы информационной безопасности или увеличению числа информационных угроз — покажет время.
Елена Панасенко
|
|