Елена Панасенко

В 2005-2006 гг. правительство плотно взялось за создание и совершенствование законодательства в сфере ИТ и ИБ. Наряду с повышенным вниманием, уделяемым вопросам национальной безопасности, наблюдается медленная, но уверенная тенденция либерализации отношений с Западом.

Не первый год эксперты говорят о росте комплексности на рынке информационной безопасности. Продукты ИБ усложняются функционально и врастают в интегрированные ИТ-решения, сами разработчики и поставщики ИБ постепенно переходят к системной интеграции, естественным путем, при этом вытесняя с рынка более слабые компании. Крупные игроки успешно растут, приводя на рынок зарубежных поставщиков и беря на себя все больше направлений. Продолжают работать давнишние и опытные поставщики отечественных решений, разнокалиберные дистрибьюторы западных фирм и др. На все эти процессы естественного рыночного отбора влияет, так или иначе, «высшая сила» российского рынка ИБ — государство.

Государство и законы

Обязательным выводом множества отчетов конца 2005 — начала 2006 года о состоянии ИТ-рынка в России было подчеркивание роли госсектора и его динамично увеличивающихся расходов на информатизацию, в составе которых в некотором количестве присутствуют и затраты на защиту данных в информационных системах. Доля госзаказов на рынке ИТ, по оценкам аналитиков, составляет около 20%, в сфере ИБ же она превышает 50%.

ИТ-оснащение российского госсектора в 2005-2006 годах стало во многом политическим вопросом. Уже реализуется немало масштабных государственных ИТ-проектов, среди которых ИТ-перевооружение силовых ведомств и МВД, Федерального казначейства, ФТС и ФНС; проект создания электронных «биопаспортов» и ИТ-госпрограммы ГАС «Правосудие», ГАС «Выборы» и многое другое.

Согласно проекту «Электронное правительство» («Концепции использования ИТ в деятельности федеральных органов государственной власти») к 2010 году системы электронного документооборота будут внедрены во всех федеральных органах власти, электронными станут более 70% всех документов, автоматизацией аналитики и операций с ними займутся корпоративно-ведомственные порталы, а ведомственные ИС обретут всеобщую совместимость.

Роль ИБ во всем этом очевидна: разграничение многоуровневого доступа разнообразных пользователей, аутентификация и сохранение целостности данных с помощью ЭЦП, защита центральных хранилищ данных и каналов межведомственной связи и т.д. — и все это, разумеется, с помощью сертифицированных средств защиты, что является обязательным для любых государственных учреждений.

В 2005-2006 гг. правительство плотно взялось за создание и совершенствование законодательства в сфере ИТ и ИБ: построение «электронного правительства» должно быть обеспечено правовой основой. Отчасти на это повлияло и стремление России в ближайшее время вступить в ВТО с его уровнем информационного развития — то есть войти в общее поле с другими государствами, в котором на нас будут распространяться некоторые общие нормы информационного обмена и безопасности информации.

В сентябре 2005 в Госдуму были переданы проекты ФЗ «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и «О персональных данных», вызвавшие полемику не только среди экспертов, но и среди известных правозащитников и общественных организаций, а также Русской Православной церкви. И это еще одна особенность последнего времени. Можно сказать, что впервые проблемами информационной безопасности озаботилось все общество, потому что они коснулись и еще больше могут коснуться всех и каждого в самом ближайшем будущем.

Проблема использования персональных данных и ограничения доступа к ним стала темой публицистики не только специальных, но и «народных» СМИ: об урезании свободы интернета, персонификации при предоставлении ранее анонимных интернет-услуг и услуг связи, негласном просмотре личной информации и переписки госорганами или, напротив, криминальными структурами, незаконном раскрытии баз данных государственных организаций и учреждений — и, в целом, нарушении неприкосновенности частной жизни. Закон «О персональных данных» для решения этой проблемы, с одной стороны, и для всей отрасли ИБ с другой может стать неким поворотным моментом.

В январе 2006 Центральный банк РФ ввел в действие вторую, обновленную, версию своего стандарта по управлению ИБ «Обеспечение информационной безопасности организаций банковской системы РФ». Пока стандарт — рекомендательный, но есть мнение, что в скором времени его статус сменится на обязательный, и он станет еще одним нормативным регулятором для банков в области ИБ.

В основу стандарта легли несколько общепринятых иностранных законов и стандартов в области ИБ — акты Сарбейниса-Оксли (SOX, Sarbanes-Oxley Act of 2002) и GLBA (Gramm-Leach-Bliley Act), ISO 17799 и 13335, а также распространенные зарубежные методики и российские «Общие критерии» (ГОСТ Р ИСО\МЭК 15408), основанные на аналогичном западном документе.

●     Акт Сарбейниса-Оксли (SOX) содержит описание механизмов внутреннего финансового контроля компаний, чьи акции котируются на Нью-Йоркской фондовой бирже, и его статья 404 посвящена обеспечению ИБ, ответственностью за несоблюдение которой является исключение с биржи. Как правило, аудиторы СИБ применяют SOX, проверяя внутренние способы контроля в сфере ИТ на соответствие стандарту COBIT, а в области ИБ — стандарту ISO 17799, следуя не условиям SOX, но общепринятой практике.

●     ISO 17799 основан на британском стандарте управления информационной безопасностью BS 7799, который применялся далее для официальной сертификации (в версии BS 7799:2). В 2005 году на базе BS 7799:2 был создан международный сертификационный стандарт ISO 27001, пришедший ему на смену.

●     ГОСТ Р ИСО/МЭК 15408 (Общие Критерии) — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

Объединив все эти источники, стандарт ЦБ может восприниматься как сборник, однако эксперты высоко оценивают его теоретическую и практическую пользу, отмечая, что он разработан с учетом всего лучшего имеющегося мирового опыта. Цель принятия стандарта — подготовить финансовые институты России к вступлению страны в ВТО, за которым последует планируемое в 2009 году присоединение к соглашению Basel II и, в частности, к его установкам, касающимся обязательного создания банками резервного фонда для покрытия рисков, в числе которых и риски в области ИТ-безопасности. Применение распространенных в мире методов построения эффективных СИБ в соответствии с новым стандартом уже сейчас является способом поднятия рейтинга в глазах партнеров и клиентов, иностранных инвесторов и самого ЦБ.

В 2006 году в России ожидается также принятие ГОСТов, основанных на упоминавшихся выше авторитетных международных стандартах: ГОСТ 17799 (основа — ISO 17799) и ГОСТ 27001 (основа — ISO 27001, ранее BS 7799:2). О необходимости принятия этих стандартов официальные регулирующие органы РФ заговорили еще в 2004 году, отмеченном общей либерализацией рынка информационной безопасности и принятием российских «Общих критериев», а в 2005 году началась разработка проектов стандартов. В конце 2005 года был принят ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

Последние новости на эту тему — опубликованное в мае 2006 года на сайте http://www.gost.ru официальное уведомление о разработке проекта национального стандарта ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации» и ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». На сегодняшний день завершено публичное обсуждение проектов этих стандартов, которыми занимается ФГУ ТНИИИ ПТЗИ ФСТЭК России.

Интерес к получению сертификатов соответствия этим международным стандартам уже демонстрируют российские компании — прежде всего банки, кредитно-финансовые организации и предприятия, активно работающие на зарубежных рынках. Ряд ведущих компаний начали работу по построению СУИБ в соответствии с ISO 17799 и принятию корпоративных стандартов на его базе. Для участников рынка ИБ появление новых требований к организации безопасных ИС также выгодно: появятся заказы на системы, соответствующие стандартам, и на услуги аудита существующих систем. Опыт внедрения таких проектов можно будет использовать в рекламе так же, как сейчас используются упоминания об имеющихся лицензиях и сертификатах ФСБ и ФСТЭКа.

В ближайшей перспективе — пополнение информационного права РФ новыми законами «Об электронной подписи», «Об электронном документе», «О доступе к информации». Закон «Об электронной цифровой подписи» существует с 2002 года, и сейчас обсуждается уже 3-я его редакция. Этот нормативный акт должен был создать правовую базу для повсеместного использования электронной подписи при обмене информацией в электронном виде, но применение его на практике никак не достигнет совершенства. Так, 2-я редакция закона оставила открытыми юридические проблемы работы Удостоверяющих Центров и использования сертификатов открытых ключей, нет процедур проверки ЭЦП при судебных разбирательствах спорных случаев. Однако за время существования закона появились «корневой» и ряд простых государственных УЦ, а многочисленные корпоративные УЦ успешно работают во внутренних системах электронного документооборота компаний.

В своей 3-й редакции закон «Об электронной подписи» вобрал в себя регулирование использования любых аналогов собственноручной подписи (не только цифровых) и предусматривает разнообразные виды самой электронной подписи — в порядке усложнения и надежности: подпись для простого указания личности подписавшего, подпись для подтверждения целостности документа, подпись с сертификатом аккредитованного УЦ. Новый закон по-прежнему относится к гражданско-правовым отношениям и не касается государственных систем обмена данными (налоговой и бухгалтерской отчетности, государственной регистрации и нотариальных операций).

Госрегуляторы рынка ИБ

Сертификация и лицензирование на российском рынке ИБ по-прежнему обеспечивает жесткие условия существования его участникам со стороны государства.

ФСБ (http://www.fsb.ru) занимается лицензированием деятельности, связанной со средствами шифрования (проектированием, производством, распространением и обслуживанием шифровальных средств или защищенных с их помощью информационных и телекоммуникационных систем и комплексов) и их сертификацией для использования государственными предприятиями или для защиты информации высокой степени конфиденциальности.

Некоторые эксперты отмечают рост влияния ФСБ как основного регулирующего органа в сфере ИБ. Вобрав в себя ФАПСИ в ходе административной реформы, ФСБ унаследовала все полномочия этой организации в плане лицензирования и сертификации на рынке средств криптографии. Кроме того, национальную значимость прочат системе сертификации, которую ФСБ создает в рамках проекта Федеральной миграционной службы.

ФСТЭК (http://www.fstec.ru) ведает лицензированием деятельности по защите информации и сертификацией средств защиты информации вообще (в том числе средств аутентификации, межсетевых экранов и т.д.). Одно из подразделений ФСТЭК отвечает за лицензирование ввоза/вывоза средств шифрования в Россию или из нее.

Компании, постоянно работающие в области ИБ с российскими силовыми ведомствами, лицензирует также Министерство Обороны РФ (http://www.mil.ru).

Сертификация в ФСБ и ФСТЭКе проводится с предоставлением исходных кодов программных продуктов на предмет проверки корректности реализации методов защиты и отсутствия различных уязвимостей, а также отсутствия недокументированных закладок.

ФСТЭК занимает позицию сравнительной лояльности к международным стандартам и к заграничным ИБ-продуктам: его усилиями в России введен в действие ГОСТ ИСО\МЭК 15408-2002, и хотя еще нет взаимного признания сертификатов по этому стандарту, уже сделаны подвижки в сторону упрощения сертификации и лицензирования импортируемых средств ИБ.

Попытка еще более ужесточить внутреннюю политику России в области ИБ была сделана в ходе принятия закона «Об информации, информационных технологиях и защите информации». В ноябре 2005 года Государственная Дума приняла законопроект в первом чтении — как обновленный вариант существовавшего ранее закона «Об информации, информатизации и защите информации», более согласованный внутренне и приведенный в соответствие с современным развитием ИТ и актуальными проблемами ИБ, а также тенденциями ИТ-законодательств в странах Евросоюза и США. А в марте 2006 ко второму чтению закона были внесены радикальные поправки Гудкова-Хинштейна: смысл их заключался в том, чтобы в стратегических отраслях и на особо опасных (важных) объектах Российской Федерации не допускалось использование зарубежных программно-технических средств, в которых могут быть недокументированные функции, — это касается и программ с закрытыми исходными кодами, и оборудования, построенного на зарубежной элементной базе. Аргументация — угроза военной несостоятельности России и выведения из строя ее программно-аппаратных средств в случае международных конфликтов.

История вопроса восходит к «Доктрине информационной безопасности» 2000 года, где закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи была предусмотрена в списке потенциальных угроз, и избежать ее предлагалось переходом на отечественные аналоги, если они не уступают по характеристикам зарубежным образцам. В полном соответствии с доктриной, силовые ведомства России уже внедряют систему управления и связи нового поколения отечественной разработки, проект этот впечатляюще финансируется из бюджета Минобороны и должен завершиться к 2015 году.

Теоретический смысл поправок Гудкова-Хинштейна в приложении к сфере ИБ сводился к резкому отделению отечественного рынка ИБ, работающего с госструктурами, от посягательств на него со стороны внешних поставщиков ИБ-решений, ставя во главу угла разработчиков и производителей отечественных средств. Большой вес государственного потребления в области ИБ делает число потребителей этого рынка не маленьким. Кроме того, к нему нужно прибавить все смежные с государственными структуры, которые правительство сочло бы стратегическими или важными — ВПК и ведомства безопасности, энергетические отрасли, транспортная система, финансовая система расчетов с государством во главе с Центробанком, и т.д. Плюс, сюда же отойдут все косвенно зависимые от государства предприятия, которые осуществляют с госорганизациями информационный обмен, а также многие, кто исторически или по опыту склонны считать государственные требования в ИБ самыми правильными и принимать государственные сертификаты на средства защиты информации, как гарантию их качества и безопасности.

С другой стороны, наложение теории на практику вызвало массу сомнений и критики у экспертов, утверждавших, что создание отечественных систем, столь же сложных, как используемые сегодня западные аналоги, требует нереальных для страны денег и времени, аналогичных затраченным на это мировыми гигантами ИТ-индустрии, при этом эффективность и защищенность отечественных систем должна быть реализована на таком же высоком уровне.

28 июня 2006 года законопроект «Об информации, информационных технологиях и о защите информации» был принят Государственной Думой во втором чтении, при этом поправки Гудкова-Хинштейна были отклонены. В частности, глава Мининформсвязи РФ заявил, что в критических системах оборонного комплекса России применяются только те программно-технические средства, которые прошли доскональную проверку в уполномоченных органах.

Таким образом, Россия продолжает поступательное движение в сторону мирового сообщества. Послужит ли это нашему ИТ-прогрессу или ИТ-зависимости, совершенствованию сферы информационной безопасности или увеличению числа информационных угроз — покажет время.