Основное внимание участников прошедшего в конце 2004 года форума IT-Security было сосредоточено на актуальных проблемах обеспечения информационной безопасности корпоративных и ведомственных систем.
Александр Логачев, заместитель начальника управления ФСБ России, подчеркнул необходимость обеспечения информационной безопасности удостоверяющих центров при подключении к сетям общественного пользования. По официальным данным, на сегодняшний день о своей готовности оказывать услуги удостоверяющих центров (публичных и корпоративных) и центров регистрации заявило более 60 юридических лиц в 30 городах страны. И органам власти предстоит решить нелегкую задачу — не только организовать и упорядочить работу этих структурных единиц, но и обеспечить комплексную защиту их информационных ресурсов.
Однако, прежде чем приступать к созданию комплексных систем информационной безопасности для органов власти, необходимо обеспечить адекватную законодательную платформу. Игорь Калайда, заместитель начальника отдела лицензирования и сертификации ФСТЭК России (Федеральная служба по техническому и экспортному контролю, бывшая Гостехкомиссия), считает, что основой такой правовой базы должны стать технические регламенты. По его словам, в стадии подготовки уже находятся первоочередные документы — «О безопасности информационных технологий» и «О требованиях к обеспечению информационной безопасности информационных технологий». Первый из этих регламентов госорганы обещают представить в ноябре 2005 года, а второй — в декабре 2005 года.
Интересно отметить, что непосредственного разработчика документов властные структуры будут определять по итогам открытого конкурса, который завершится в первом квартале наступившего года. Заказчиками по проекту выступают ФСБ, Минобороны, ФСТЭК, Мининформсвязи и другие министерства и ведомства.
Александр Першов, начальник отдела Министерства информационных технологий и связи, считает данное направление стратегическим для отрасли. По его мнению, особое внимание при создании правовых актов и внедрении специальных средств защиты должно быть сосредоточено на таких разделах, как обеспечение информационной безопасности в широкополосных коммуникациях, взаимодействие открытых систем, управление безопасностью и кибербезопасностью.
По мнению Першова, выработка регламентов позволит организовать работу по обеспечению комплексной информационной безопасности государственных информационных систем и снять противоречия, заложенные в законе «О техническом регулировании». Немаловажно, что будет также сформирован перечень средств, подлежащих обязательной сертификации. После утверждения правительством и президентом, документы эти обретут статус федеральных законов. С помощью правового инструментария госструктурам будет легче решать назревшие проблемы и бороться с преступностью в сфере ИТ.
Растущая криминализация отрасли вызывает серьезную обеспокоенность органов власти. По словам представителя Главного управления специальных технических мероприятий МВД России, действия злоумышленников с каждым годом наносят участникам рынка все более ощутимый ущерб. Количество преступлений в сфере ИТ ежегодно растет примерно в полтора-два раза. Причем, по данным МВД, в 2004 году 87% противозаконных действий было связано с проникновением в корпоративные сети. Особенно тревожно выглядит ситуация в сфере телекоммуникаций и в банковском секторе. Несмотря на то что количество преступлений в сегменте сотовой связи несколько сократилось за счет введения стандартов, общее число противоправных действий на телекоммуникационном рынке продолжает расти. Так, по сведениям МВД, за первые девять месяцев 2004 года в этой отрасли было зарегистрировано более 2 тыс. преступлений.
Также увеличивается количество атак на информационные системы банков, особенно иностранных. Наиболее популярным видом мошенничества в этой сфере являются незаконные действия с кредитными и расчетными картами: за четыре года число таких преступлений выросло более чем вдвое.
Кадровый вопрос
По мнению участников форума, отечественная система образования на сегодняшний день не в состоянии полностью удовлетворить потребность отрасли в квалифицированных специалистах. В связи с развитием рынка, ростом количества угроз безопасности информационных ресурсов, введением систем электронного документооборота и использованием электронно-цифровой подписи, значительно расширился круг задач, которые требуется решать специалистам в области безопасности. А значит, изменились требования к обучению таких профессионалов и повышению их квалификации. В настоящее время группа государственных образовательных стандартов высшего профессионального образования 075000 «Информационная безопасность» включает в себя семь специальностей. Более 100 вузов в России осуществляют подготовку кадров по этим курсам.
Тем не менее, как полагает Сергей Смирнов, первый заместитель начальника ИКСИ (Институт криптографии, связи и информации) Академии ФСБ, мощности государственных образовательных ресурсов не позволяют удовлетворить потребности страны в профессионалах в области информационной безопасности. К примеру, по данным Минобразования, в 2002 году прием студентов по группе специальностей 075000 составил 1,5 тыс. человек на бюджетные места и около 1 тыс. — на платные. Между тем прогнозируемая потребность в специалистах на 2003-2006 годы составляет 5 тыс. человек ежегодно. Чтобы восполнить недостаток квалифицированных кадров, российские вузы разрабатывают специальные программы, курсы и методики обучения специалистов и повышения квалификации. Стратегию действий в данном направлении определяют две структуры — учебно-методическое объединение (УМО) по образованию в области информационной безопасности на базе ИКСИ и учебно-методический совет Российского государственного гуманитарного университета.
Со своей стороны, коммерческие учебные центры предлагают многочисленные курсы в области на платной основе. К примеру, один только учебный центр «Информзащита» за шесть лет подготовил более 5 тыс. специалистов в сфере защиты информации. Одна беда — сертификаты таких центров подходят лишь коммерческим структурам, для госсектора непременно требуются дипломы государственного образца. Выходит, что, хотя проблема для чиновников и бизнесменов общая, решать ее каждый вновь вынужден по-своему.