Дискуссии на infosecurity russia затронули как технические инновации, опыт обеспечения ИБ зарубежных и отечественных компаний, так и проблемы российского законодательства. По словам председателя программного комитета и заместителя коммерческого директора фирмы «Информзащита» Михаила Емельянникова, несмотря на стремительный рост отечественного рынка средств информационной защиты, наше отставание от Запада составляет не менее двух лет. Зарегулированность рынка не позволяет быстро выводить на него новые технические решения.
Законодательные лакуны
Дебаты о законодательном регулировании сферы ИБ открыл Анатолий Стрельцов, начальник департамента обеспечения безопасности в области информации и ИТ Совета безопасности РФ. Он подчеркнул, что ни одна страна не способна решить проблему ИБ самостоятельно, поэтому при генеральном секретаре ООН создается рабочая группа для выработки совместных действий.
Стрельцов отметил, что российское законодательство в этой сфере очень далеко от совершенства, и некоторые аспекты вообще не отражены юридически (например, нет законов о служебной тайне, о личной и семейной тайне как основе неприкосновенности частной жизни). Законопроект «О служебной тайне» был отправлен в Госдуму для рассмотрения еще в 2004 году. И только из-за последних скандальных утечек информации из государственных и окологосударственных учреждений на него снова обратили внимание. Не решены проблемы предоставления гражданам электронных документов, использования цифровой подписи. Немедленного решения требуют вопросы технического регулирования и добровольной сертификации в области ИБ.
В заключение Стрельцов добавил, что считает необходимым создать комиссию или группу для решения проблем ИБ в Государственной думе, поскольку сейчас отношения в этой сфере регулируются по частям, и это не приводит к изменению ситуации в целом. Действительно, в Госдуме за проблематику ИБ отвечают три комитета — по информационной политике, по безопасности, по энергетике, транспорту и связи. В итоге ситуация заставляет вспомнить пословицу про семь нянек. Наибольшую активность проявляет Комитет по безопасности, который отвечает за законодательное обеспечение деятельности Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК).
Андрей Ковалев, представитель Центра лицензирования и сертификации ФСБ России, напомнил, что в прошлом году появились законы «О защите информации» и «О персональных данных», а также ряд поправок к другим документам. Наиболее существенные изменения связаны с планами вступления России в ВТО. Например, США и Россия подписали двустороннее соглашение, согласно которому наша страна обязуется упростить и сделать прозрачнее схему импорта электронных товаров с криптографической защитой из США.
Наладить экспорт отечественных средств криптографии и других решений для обеспечения ИБ призвал еще прежний премьер-министр Михаил Фрадков. Правда, эксперты считают, что мировой рынок средств защиты давно поделен. Кроме того, есть проблемы совместимости российского криптографического оборудования с зарубежными технологиями, поскольку ГОСТы, которым обязаны соответствовать выпускаемые в нашей стране изделия, больше нигде не поддерживаются.
Сертифицированная защита
Слова «стандартизация» и «сертификация» звучали на мероприятиях форума чаще других. Этим темам был посвящен и «круглый стол», где речь шла уже о российском стандарте управления информационной безопасностью, разработанном на основе международных рекомендаций BS 7799. Говорилось, что отечественные компании проявляют интерес к сертификации, поскольку она сулит им определенные конкурентные преимущества. Во-первых, наличие сертифицированной системы защиты данных свидетельствует о серьезном подходе к ведению бизнеса, что имеет особое значение при сотрудничестве с иностранными партнерами. Во-вторых, повышаются уровень управляемости фирмы и качество ее продуктов.
«Лукойл-информ», дочерняя структура нефтяной компании «Лукойл», стала первой организацией в России и СНГ, успешно прошедшей сертификационный аудит во взаимодействии с международным органом BSI Management Systems CIS. Начальник управления ИБ «Лукойл-информа» Владимир Курбатов рассказал, как проходила сертификация по стандарту ISO/IEC 27001:2005. Его фирма получила сертификат на систему менеджмента ИБ процесса поддержки и сопровождения системы управления персоналом «Лукойла», реализованной на базе модуля Human Resources SAP R/3. Для сертификации выбрали именно этот модуль, поскольку он содержит важнейшие конфиденциальные сведения об именах, адресах и заработках высших должностных лиц «Лукойла». Специалистам по ИБ других компаний Курбатов посоветовал пройти предсертификационный аудит, позволяющий заранее выявить слабые места и недостатки системы.
Начальник службы ИБ банка «Возрождение» Андрей Грициенко рассказал о сложностях, с которыми сталкиваются банки при попытке добиться соответствия требованиям государственных регулирующих органов и отраслевых стандартов (ЦБ РФ и PCI DSS). Грициенко долго зачитывал список постановлений и приказов, которые должны быть выполнены любым российским банком. В частности, необходимо сертифицировать шифровальные средства и все рабочие места персонала, аттестовать сотрудников и др. Особенно жесткие требования действуют в отношении банков, обслуживающих кредитные карты.
Все в одном чипсете
Директор по информационной безопасности Кабинета президента Microsoft в России и СНГ Владимир Мамыкин привел статистику мировых тенденций рынка информационной защиты. По его словам, атаки на корпоративные сети стали более частыми, изощренными и мотивированными, причем идет миграция к использованию уязвимостей в приложениях.
Технологии обеспечения безопасности по-прежнему действуют фрагментарно. Многие продукты имеют разные консоли управления и, как следствие, не позволяют выполнять обобщенный анализ событий. Инсталляция и управление зачастую оказываются сложными трудоемкими задачами, а ценовой фактор мешает развертыванию систем ИБ в масштабах всего предприятия.
Мамыкин привел выдержки из отчета 2006 CSI/FBI Computer Crime and Security Survey, согласно которым компании всего мира несут максимальные финансовые потери от вирусных атак. Впервые самым популярным средством защиты стали межсетевые экраны (98%). Антивирусные средства использовались в 97% случаев, антишпионские средства — в 79%. Несмотря на разговоры об аутсорсинге систем ИБ, почти никто его не практикует. Почти 87% компаний прибегают к аудиту в области ИБ. На решение проблем ИБ расходуются в среднем 5% корпоративных ИТ-бюджетов.
По словам Мамыкина, наступает эпоха стандартизированной интегрированной программно-аппаратной защиты информации. Международный консорциум Trusted Computing Groups разработал стандарты чипсетов Trusted Platform Modules (TPM), предназначенных для хранения паролей, криптографических ключей и цифровых сертификатов, а также для контроля над начальной загрузкой компьютера. Уже сейчас выпускаются компьютеры с поддержкой TPM на материнской плате, причем о скором начале их массового выпуска заявляют все крупные производители. Сама Microsoft поддерживает TPM на уровне ОС Windows Vista.
Свое выступление Мамыкин закончил тем, что основная тенденция рынка — консолидация производителей продуктов для обеспечения ИБ вокруг крупнейших отраслевых игроков, таких как Microsoft, IBM, Oracle, EMC. А все решения для защиты информации должны иметь три обязательных качества: комплексность, интегрируемость и простота эксплуатации.