Как государственные органы трактуют понятие «информационная безопасность»
Информация бывает разной, и поэтому разной бывает информационная безопасность. Верность этого высказывания неоднократно подтверждалась на конференции «Инфофорум», которая проводится уже в течение семи лет. В ней принимают участие специалисты российских ведомств и приближенных к ним компаний. При этом каждое ведомство имеет свою область ответственности и именно к ней применяет понятие информационной безопасности.
Так, МВД подразумевает под информационной безопасностью предотвращение преступлений в сфере высоких технологий. Борис Мирошников, начальник главного управления специальных технических мероприятий МВД, рассказывал на конференции о результатах борьбы с хакерами. А рассказать было о чем, поскольку в прошедшем году впервые за несколько лет сократились темпы роста количества компьютерных преступлений. Если раньше наблюдалось ежегодное удвоение числа зарегистрированных в этой сфере преступлений, то в этом году рост составил всего 24%. Мирошников связывает это с деятельностью правоохранительных органов, которым удалось провести несколько успешных операций по задержанию преступных группировок и одиночных хакеров. Однако изменился и уровень преступлений — количество случаев неавторизованного доступа сократилось, зато участились атаки на финансовые учреждения, к тому же увеличился средний ущерб от одного преступления. Эти тенденции подтверждают часто высказываемое в последнее время мнение о криминализации компьютерного андеграунда.
Федеральное агентство по печати и средствам массовых коммуникаций под собственно информацией подразумевает то, что публикуют СМИ. А под информационной безопасностью представители этого ведомства, похоже, понимают защиту потребителя от опасной информации, которая не соответствует российскому законодательству.
Такую информацию Андрей Романченко, заместитель руководителя федерального агентства по печати и средствам массовых коммуникаций, назвал «агрессивным контентом». Для защиты от него Романченко предлагает сделать государственную систему фильтрации Web-доступа, которая не пускала бы на неблагонадежные сайты. Однако само агентство не в состоянии сделать такого сервиса, вот пока оно и не может обеспечить информационную безопасность.
«Жаль, что в программах ?Электронная Россия? и ?Электронная Москва? не предусмотрено мероприятий для защиты от агрессивного контента», — заявил Романченко.
А для Банка России нет ничего важнее информации, поэтому ЦБ заботится не просто о построении системы безопасности, а еще и о системе управления ею. Такая система должна не просто обеспечивать защиту информации банка, но и снижать финансовый риск искажения или потери информации.
В декабре Центробанк опубликовал внутренний стандарт на систему управления информационной безопасностью, а сейчас инициировал процесс принятия международного стандарта ISO 17799, который определяет правила для построения системы управления информационной безопасностью.
«Основная задача системы управления информационной безопасностью — обеспечить снижение риска и издержек», — полагает Андрей Курило, заместитель начальника главного управления безопасности и защиты информации ЦБ РФ, председатель подкомитета «Росстандарта», который занимается русификацией стандарта ISO 17799.
В общем, каждое ведомство под информационной безопасностью подразумевает что-то свое, поэтому диалога между ними пока не получается. Это было особенно заметно на секциях форума, где ведущие часто просили докладчиков держаться ближе к теме конференции, то есть к информационной безопасности. Однако выступающие говорили в основном о проблемах своих ведомств. А представители компаний-спонсоров рассказывали о тех проблемах, которые они уже умеют решать. В результате все сошлись на том, что обеспечение информационной безопасности в государственном масштабе — дело очень сложное, поэтому тему нужно развивать и углублять. Так что «Инфофорум», похоже, будет продолжаться и дальше.