Picture
Владимир Гиленко: "Internet интересен для Центробанка только как информационно-справочная система"
Проблемам использования Сети государственными и коммерческими структурами было посвящено очередное заседание РОЦИТ, состоявшееся 22 января. Во встрече, проходившей за закрытыми дверями, участвовали представители государственных ведомств, ответственные за обеспечение информационной безопасности, и компаний, специализирующихся на разработке систем защиты информации.

Практически все выступавшие говорили о важности, перспективности, выгоде использования Internet предприятиями самого разного профиля. Тем интереснее было познакомиться с позицией представителя Главного управления безопасности Центрального банка РФ Владимира Гиленко, который заявил (правда, ссылаясь на свое личное мнение), что банк придерживается крайне консервативного отношения к использованию не только Internet, но и многих других технологических новинок.

Возложенная на банк ответственность столь высока, что это учреждение не решается применять технологии, не прошедшие длительных, кропотливых испытаний. В качестве телекоммуникационной среды для связи с региональными подразделениями или осуществления платежей Internet Центробанком пока не рассматривается, Сеть сетей для этого ведомства - лишь информационно-справочная система, не более того.

Но для защиты intranet-сетей от проникновения извне требуются специальные средства обеспечения безопасности. По словам Гиленко, Центробанк интересуют не вообще имеющиеся на рынке продукты и технологии, а именно те, в применении которых нуждается сам банк. При этом предпочтение отдается продукции, практически не требующей обращения к разработчикам и тем более их присутствия. Объясняется такая позиция довольно просто: Центробанк должен иметь возможность сопровождать информационные системы силами своих сотрудников. Но нанимать армию системных администраторов для обеспечения технической поддержки не только в центре, но и в многочисленных территориальных подразделениях, расположенных в девяти часовых поясах, Центробанку слишком накладно, поэтому он старается приобретать только те средства защиты, для обслуживания которых не требуется высокой технической квалификации. Еще одно существенное условие - модульность системы. Продукты шифрования, отвечающие требованиям самого главного банка страны, должны представлять собой модули, которые можно легко встраивать в любые системы. Само собой разумеется, средства обеспечения информационной безопасности, не прошедшие государственную сертификацию, Центробанк и вовсе не интересуют.

Впрочем, это точка зрения Центробанка. А что препятствует использованию Internet другими структурами? Прежде всего, видимо, страх - сейчас много пишут о неуловимых и всепроникающих хакерах. Хотя в России пока не слышно об отечественных банках, понесших серьезные потери от деятельности сетевых хакеров.

Кроме того, как заметил заведующий отделом информационных систем Московского регионального аналитического центра (МРАЦ) правительства Москвы Александр Ефимов, многие структуры очень плохо представляют себе, что именно и в какой степени им нужно обезопасить. Андрей Бадалов, специалист МРАЦ по Internet, считает, что у большинства реальных и потенциальных пользователей Сети политика информационной безопасности вовсе отсутствует. Они готовы защищать буквально все, не учитывая, что расходы на обеспечение информационной безопасности могут значительно превышать потери от возможного вмешательства хакеров. Остудить некоторые горячие головы могла бы квалифицированная оценка рисков потерь, связанных с Internet, но, по словам Ефимова и Бадалова, серьезных методик оценки нет ни у нас, ни за рубежом (представители МРАЦ предполагают, что на государственном уровне серьезных подвижек в этом направлении также не наблюдается). Существуют только научно обоснованные методики оценки рисков информационной безопасности в целом.

Гиленко перечислил ряд других причин, мешающих более широкому применению Сети. Для частных лиц и учебных заведений Internet - достаточно дорогое удовольствие. Государственным и коммерческим структурам трудно работать с Сетью из-за того, что Internet, по сути, общественная организация. Какого-то юридического лица, ответственного за нормальное функционирование Сети, нет, если что-то где-то случится - спросить, как правило, не с кого.

Представители компаний-разработчиков сетовали на несовершенство той части отечественного законодательства, которая касается сертификации средств информационной защиты и шифрования данных. По словам Александра Синдеева, из компании "Анкей", иногда сертификация проводится довольно быстро, а иногда - долго и канительно. Ряд фирм в очередной раз высказали неудовольствие порядком использования средств шифрования данных. Возможно, если бы законодатели и чиновники имели возможность реально оценить исходящую от Internet опасность, положение дел изменилось бы к лучшему.