Мнение эксперта: заметки с «Инфофорума»

Источник материала:

В конце января в Москве прошел 12-й российский форум информационной безопасности «Инфофорум» – крупнейший на пространстве СНГ. В мероприятии участвовало около 900 человек, на его заседаниях и секциях представлено более 100 докладов и презентаций. В «Инфофоруме-12» участвовали делегации 7-ми стран СНГ, наиболее крупные из них были из Беларуси и Казахстана.
 
Безусловно, на подобном масштабном форуме можно найти для себя много нужного и полезного, узнать об опыте других, обсудить насущные вопросы. На Инфофоруме, как нигде более полно, представлен срез нынешнего уровня развития российского общества в сфере информационной безопасности. Но цель данной публикации рассказать не об этом, а попробовать взглянуть на белорусские проблемы и успехи в данной области через призму «Инфофорума», поскольку сравнительный анализ помогает сделать это предметнее.

Об электронном государстве и информационной безопасности

Прежде всего, хочется отметить определенные успехи РФ в развитии технологий безопасности электронного государства (ЭГ), поскольку информационная безопасность, по убеждению участников форума, является ключевым фактором при создании ЭГ. Почему? То, что входит в понятие «электронное государство» можно кратко описать как информационное взаимодействие госорганов и граждан посредством ИТ-технологий. Понятно, что без развитой системы безопасности для всех этапов этого взаимодействия обойтись невозможно – от идентификации граждан (пользователей) для доступа к тем или иным государственным информационным ресурсам (базам данных), защиты самих баз данных и сетей госорганов от хищения, модификации, перехвата и, наконец, защиты используемых при взаимодействии открытых каналов связи.

Об удостоверяющих центрах

В РФ создано главное идентификационное звено, с которого начинается ЭГ – общегосударственный удостоверяющий центр, причем на самом современном компьютерном оборудовании с дублированием и параллельной обработкой информации. Если раньше в российской ИТ-отрасли наблюдался почти что хаос из примерно трехсот местных удостоверяющих центров (УЦ), несовместимых между собой, то сейчас создается полноценная иерархичная структура. Кроме того, созданы порталы государственных услуг, закупок и продаж. Согласно указанию российского президента, через два года 60% государственных услуг будет оказываться населению в электронном виде.

У нас в Беларуси внешне ситуация складывалась более благоприятно – на рынке представлено всего 4-5 местных удостоверяющих центров. Но это только внешнее благополучие. УЦ у нас хоть и немного, но они также несовместимы между собой, как и российские триста. Кроме того, распространение технологий УЦ-ЭЦП в республике незначительное – подавляющее большинство белорусских министерств и ведомств их попросту не имеют. И, наконец, сроки создания белорусского общереспубликанского удостоверяющего центра (его официальное название – государственная система управления открытыми ключами – ГосСУОК) неизвестны, а решение проблемы потребует немало времени. Согласно закону № 113-З «Об электронном документе и электронной цифровой подписи», принятом в декабре 2009 года, ответственным органом за создание ГосСУОК определен Национальный банк. Конечно, не банковское это дело – создавать ГосСУОК, но обеспечить организационные и финансовые аспекты в его становлении – поступок нужный и заслуживающий уважения.

О комплексном подходе к безопасности

Что представилось наиболее значимым из российских реалий? Это, пожалуй, комплексный подход к проблемам ИБ: имеются методики сертификации, аттестации объектов информатизации, весьма значителен перечень норм, стандартов, инструкций и положений, описывающих весь процесс от начала проектирования защищенных ведомственных (корпоративных) сетей до практической реализации и проведения проверок контролирующими органами.

В Беларуси нормативная база в сфере ИБ находится в начальном состоянии, а несовершенство имеющегося законодательства дает возможность лазейкам. К примеру, сертифицировать средства защиты информации (СЗИ) у нас можно на что угодно. Можно взять из профиля защиты (стандарт безопасности) произвольно какие-либо функции безопасности и сертифицировать на их наличие, хотя сам профиль защиты делать подобное запрещает – только все или ничего. Можно сертифицировать многофункциональное устройство на какую-либо малозначительную функцию – и все, его можно поставлять, как якобы полноценное средство защиты. Законодательство обуславливает в качестве необходимого условия поставки средств защиты лишь наличие сертификата или положительного экспертного заключения, но вовсе не требует соответствия защитных функций поставляемого СЗИ реальным угрозам безопасности, как должно быть на самом деле. И даже регулирующий орган в сфере информационной безопасности – Оперативно-аналитический центр ничего не может поделать с подобной практикой подмены функционала СЗИ (сертифицируемого и задействованного на практике), а также с формальными сертификациями – законодательство делать этого не запрещает.

Представляется, что не случайно в перечне сертифицированных продуктов на сайте ОАЦ отсутствует описание области применения этих средств – имеется только информация на соответствие чему они прошли сертификацию. Разобраться в этом сложно, как впрочем, и спросить с тех, кто поставляет и покупает сертифицированные «дырки от бублика». Можно, конечно, представить разочарование тех, кто приобрел эти «дырки» для защиты, когда время расставит всё на свои места. Ведь, следуя теории комплексного подхода к ИБ, вначале формируется перечень угроз для защищаемого объекта информатизации (ОИ), затем подбираются сертифицированные средства защиты. Аттестация ОИ призвана проконтролировать правильность и корректность примененной защиты. Но теория интересна лишь немногим специалистам, а на практике пока можно вовсе не защищать – никто за это не накажет, и даже не укорит. И когда начнут спрашивать за исполнение законодательства по защите информации, тоже никто не берется сказать.

Об исполнении законодательства по защите информации

С момента вступления в силу закона №455 «Об информации, информатизации и защите информации» и Постановления №675 «О некоторых вопросах защиты информации» исполнится скоро год, а случаи приобретения сертифицированных средств защиты информации в республике как были единичными, такими и остались. Можно констатировать, что законодательство еще не начало реализовываться.

Немногочисленные тендеры, в которых где-то строкой присутствует упоминание о СЗИ (их всего-то было за этот период 4-5), на практике заканчиваются ничем – на средствах защиты экономят деньги. Хотя факты закупок несертифицированных, либо формально сертифицированных СЗИ имели и имеют место. Даже Национальный банк в конце прошлого года не удержался от соблазна и закупил сетевое оборудование с несертифицированными средствами защиты для межбанковской расчетной системы, которые для него затем быстро сертифицировали по второстепенному функционалу. А на запрос некоторых участников этого закупочного конкурса – как же это без белорусской криптографии? – банк сделал пояснения, что «функции шифрования в данном случае не предусматриваются». То есть, следуя пояснению, электронные платежи в банковской системе страны будут проводиться в открытом виде и по открытым каналам связи?! Трудно в это поверить. Конечно же, средства криптографической защиты информации (шифрования) будут задействоваться, только несертифицированные. На фоне подобной практики возникли даже разговоры о том, что, мол, белорусская криптография слишком дорогая. Но это не белорусская криптография дорогая – она не дороже российской, или испанской, а дешево бывает тогда, когда применяется ни та, ни другая, а что попадется. При построении ЭГ нужны совместимость СЗИ, унификация технологий безопасности, и если действовать непродуманно и недальновидно, то последствия будут вовсе не «дешевыми» – переделывать придется.

Как результат, в Беларуси на практике пока не находят применения сертифицированные сетевые СКЗИ, которые как раз и предназначаются для электронного государства. Если в РФ эксплуатируются и создаются десятки и сотни защищенных территориально распределенных ведомственных (корпоративных) IP-сетей на базе сертифицированных СКЗИ, то у нас подобных сетей нет. В единичных случаях имеющихся защищенных ведомственных сетей используются не сетевые, а персональные СКЗИ. Такие специализированные АИС не вписываются в архитектуру ЭГ – они несовместимы, их трудно и затратно развивать, не говоря уже об организации межведомственного взаимодействия.

О защите персональных данных

Что удивило на форуме больше всего – это то, что в России практически всей страной взялись за защиту персональных данных – как предписывает Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 1981 года (и принятый в РФ в ее развитие закон №455 ФЗ). Уже четвертый год продолжается подобная работа в финансово-кредитной сфере, медицине, отраслях связи – повсюду, где есть персональные данные (ПД). В острой дискуссии на форуме со стороны операторов персональных данных (а это банки, операторы связи, провайдеры и пр.) основные упреки к представителям госорганов заключались в несовершенстве применяемого законодательства, а также в сжатых сроках реализации закона о защите персональных данных (это на четвертом году его применения!) – в сравнении с Европой, которая эволюционно занимается этим уже почти 30 лет. А ведь Беларусь к указанной Конвенции еще даже не присоединилась, что с позиций имиджа республики выглядит не лучшим образом, поскольку персональные данные – одна из незыблемых ценностей развитых стран (почти сорок европейских стран выполняют Конвенцию!).

Если и далее не присоединимся, законодательство и Европы, и России содержат ограничения по трансграничному обмену данными со странами, не обеспечивающими защиту ПД. Так что начинать, вероятно, все же надо. Причем желательно учесть в этом вопросе опыт России, в том числе негативный. В частности, постараться избежать практики расширительного применения Конвенции. Кроме того, целесообразно начинать защиту не всех ПД сразу, а в приоритетных отраслях (финансово-бюджетная, медицина и пр.), опираясь на отраслевые стандарты (рекомендации) по защите данных. Например, Центральный банк РФ дает соответствующие рекомендации по применению сертифицированных СКЗИ для всех российских банков.

О белорусско-российском защищенном взаимодействии

Нельзя не упомянуть о том, что, по мнению представителей российских банков, работающих на белорусском рынке, отсутствие стандарта безопасности в кредитно-финансовой сфере Беларуси, неизбежно повышает риски, связанные с утечкой информации и данных, снижает инвестиционную привлекательность отрасли в целом. Так, по словам представителя Сбербанка, при покупке БПС предполагалось распространить на него тот же корпоративный стандарт безопасности, который используется в Сбербанке. Однако выяснилось, что российские стандарты не признаются в Беларуси, а обеспечить соответствующий уровень безопасности через белорусские стандарты невозможно – в нашей кредитно-финансовой сфере не имеется ни стандарта, ни подобной практики. В этом контексте неудивительно, что некоторые российские банки предпринимают меры по ввозу в свои представительства и филиалы в Беларуси российских сетевых СКЗИ – для защиты межсетевого трафика и удаленного доступа.
Аналогичная ситуация складывается и в других сферах белорусско-российского взаимодействия. К примеру, представитель российского Минсоцразвития посетовал, что они завалены бумажными делами пенсионеров – миграционный поток между странами значительный, а никакой автоматизации при взаимодействии с белорусским министерством нет. Они хотели бы предложить белорусским коллегам применить в этих целях российские сетевые СКЗИ и надеются на их положительную реакцию. Однако, на самом деле, выбора – ставить российские СКЗИ или продолжать бумажную работу, у нашего Минтруда нет – первое нельзя, своего решения нет, остается последнее…

С развитием и насыщением рынка ИБ в России сетевыми СКЗИ как-то сами по себе прекратились на форуме дискуссии о возможности введения третьих стандартов для межгосударственного взаимодействия (например, белорусско-российской и союзной собственности) – в этой сфере «по умолчанию» понемногу начинают применяться российские средства защиты. Характерно, что казахские коллеги на «Инфофоруме-12» посоветовали нам, белорусам, поступать как они – признать российские стандарты и сертифицировать СЗИ на их соответствие. Так что наше заметное и прогрессирующее отставание от россиян в сфере ИБ, скорее всего, приведет к ситуации, когда и в Таможенном союзе, а также и в ЕврАзЭС в качестве межгосударственных будут применяться исключительно российские средства защиты. Хотя вполне достойно могли выглядеть решения с созданием буферных зон, где осуществлялась бы полная перекодировка передаваемых данных (информации) с одних национальных стандартов на другие. Современные средства защиты в подобных случаях – при незначительном удорожании проектов, позволяют избежать задержек по времени, как и возможных потерь информации при любых условиях эксплуатации, включая защищенную видеоконференцсвязь.

Некоторые выводы

Можно констатировать некий парадокс – законодательство о защите информации не только не придало импульс развитию рынка ИБ, но и из-за своего несовершенства в чем-то даже ухудшило ситуацию. Например, в условиях отсутствия комплексного подхода система сертификации средств защиты вместо того, чтобы стимулировать, фактически губит отечественного производителя, выпуская на рынок с сертификатом СЗИ фактически все, что захочет купить заказчик.

Белорусский рынок ИБ сравнительно небольшой по объемам, поэтому очень зависим от факторов регулирования. Представляется неверным делать расчет на принятие новых (или реанимацию старых) программ и проектов по разработке различных СЗИ, ведь опыт говорит об их неэффективности. Тем более, сейчас, когда государственный кошелек пуст, просто необходимо поддержать и стимулировать разработки отечественных производителей, поставив заслон всяческим исключениям и лазейкам. На рынке немало платежеспособных субъектов хозяйствования, в том числе с иностранным капиталом, способных его оживить и способствовать динамичному развитию. Ведь у себя дома и европейские, и российские компании активно используют согласно законодательству национальные СЗИ, заботясь о безопасности европейских (российских) вкладчиков, клиентов и потребителей, и почему бы так же не относиться к безопасности белорусских граждан?! В этом контексте трудно понять специалистов Национального банка, не использующих белорусскую криптографию (стандарты, определяющие национальную криптоархитектуру), в том числе для защиты межбанковской расчетной системы, и не предлагающих рекомендаций по применению отечественных СЗИ другим банкам, как, например, поступает Центробанк РФ.

Александр Сапрыкин

член Оргкомитета «Инфофорума-Евразия»,
директор компании «С-Терра Бел»