Должность Анатолия Александровича Стрельцова непроста даже фонетически: «заместитель начальника Управления проблем информационной безопасности аппарата Совета Безопасности РФ». Анатолий Александрович — доктор технических наук, профессор. Темой его докторской диссертации были «методические основы организации распределенного вычислительного процесса в АСУ специального назначения». Он не только теоретик, но и практик. Начинал как разработчик программного обеспечения специального назначения, участвовал в разработке операционных систем, руководил разработкой одной из больших, распределенных по территории всей страны систем. Поэтому естественно, что за комментариями по вопросам интегральной безопасности журнал «Открытые системы» обратился именно к Анатолию Александровичу.

Есть международные стандарты, мировой рынок, и есть государственные интересы. Где разумно провести границу?

Разумная граница определяется ожидаемыми последствиями внедрения тех или иных стандартов в российскую действительность. Совсем недавно Межведомственная комиссия Совета Безопасности по информационной безопасности под председательством первого заместителя Секретаря Совета Безопасности В.П. Шерстюка на одном из своих заседаний рассматривала проблему гармонизации российских и международных стандартов в области информационной безопасности. Для подготовки материалов к заседанию комиссии при аппарате Совета Безопасности была создана рабочая группа, которая представила свои предложения. Ею были выявлены области, в которых внедрение гармонизированных отечественных стандартов целесообразно, и области, в которых это внедрение признано нецелесообразным. В частности, нецелесообразным было признано использование международных стандартов в области криптографической защиты информации. В области криптографии по научному уровню мы никому не уступаем. Отечественные стандарты в этой области более жесткие, чем международные, благодаря чему российские потребители имеют возможность лучше защитить свой бизнес. В остальных областях обеспечения информационной безопасности гармонизация стандартов признана заслуживающей внимания. Это не означает необходимости немедленного внедрения всех существующих международных стандартов по информационной безопасности. Вопросы их применения нужно серьезно прорабатывать. Необходимо решить проблемы перевода терминов, используемых в международных и отечественных стандартах, согласования отечественной нормативной базы с требованиями этих стандартов. Кроме того, необходим некоторый опыт практического использования стандартов для того, чтобы оценить последствия их внедрения. Так, например, стандарт ISO-15408, предлагающий методологию обеспечения безопасности информационных технологий, рекомендован для опытного использования в некоторых федеральных органах исполнительной власти.

Процесс гармонизации отечественных стандартов мог бы быть несколько ускорен при более активном участии Российской Федерации в международных организациях по стандартизации. Эти предложения одобрила Межведомственная комиссия.

Выводы, касающиеся криптографии, относятся к определенному типу предприятий или ко всем, независимо от их типа? Насколько жестки подобные рекомендации?

Есть понятие юрисдикции. Любые компании, ведущие международную деятельность, пользуются законодательством страны пребывания. Соответственно все компании, работающие на территории России, руководствуются российским законодательством. Все, что касается обязанностей, относится прежде всего к организациям, которые работают со сведениями, составляющими государственную тайну. Для остальных субъектов рынка информационная безопасность — их собственная проблема, мы только рекомендуем им те или иные средства.

В России не так уж редки ситуации, когда по закону привлечь к ответственности можно, но, поскольку все понимают, что закон перестал соответствовать реальной ситуации, то его и не используют...

Ни в Уголовном кодексе, ни в Кодексе об административных правонарушениях нет статей, по которым можно было бы за это привлечь. Можно, конечно, привлечь к ответственности организацию, получившую лицензию на определенную деятельность и не соблюдающую условий, которым такая деятельность должна удовлетворять. Требования аналогичны тем, что установлены в других странах. Есть требования, которые применяются к продуктам, подлежащим сертификации, и они должны выполняться, все остальное — дело пользователя. Наша проблема в том, что российская программная индустрия, к сожалению, слабо конкурентоспособна, поэтому в основном мы сертифицируем зарубежные программные продукты, а не они наши. Сертификация — дело трудоемкое и дорогое.

В случае, когда производители программных продуктов предоставляют исходный код, реально ли действительно проверить миллионы строк кода, да и много ли было случаев выявления закладок?

Насколько я знаю, в мировой практике такие случае комментировать не принято. Около года тому назад в средствах массовой информации были публикации о том, что якобы германское правительство не рекомендовало государственным организациям использовать Windows в связи с тем, что там могут быть программные закладки. Однако больше этот вопрос не поднимался.

Что касается реальности выявления закладок в процессе проведения сертификации сложных программных продуктов, то, по-моему, это вполне реально, если компания предоставляет исходные коды. К сожалению, так получается далеко не всегда. Исходные коды часто рассматриваются в качестве коммерческой тайны.

Вы говорили об участии России в разработке международных стандартов. Насколько мы «вхожи» в сложившееся сообщество?

Проблемы участия не существует. Россия как правопреемник СССР участвует во многих международных организациях по стандартизации. Зато есть проблема финансирования: для активного участия не хватает денег.

Windows и МСВС

Многих занимает вопрос: насколько широко будет использоваться операционная система МСВС, рекомендованная Министерством обороны вместо Windows?

Это не моя епархия. Поэтому могу только высказать частное мнение. В Минобороны МСВС будет внедряться и поддерживаться. Во-первых, потому, что это достаточно хорошая и современная программная оболочка, во-вторых, она сопровождается российскими разработчиками, в-третьих, всегда есть возможность обеспечить отсутствие в ней вредных «включений». В условиях, когда вооружение и военная техника автоматизированы практически на 100%, наличие отечественной программной разработки, поддерживающей их функционирование, жизненно необходимо.

Не дойдет ли дело до того, что МСВС будут рекомендовать не только для специальных задач, а, скажем, и для автоматизации армейской бухгалтерии?

Трудно ответить на этот вопрос. Видимо, все будет зависеть от конкретных объектов автоматизации.

Не будет ли МСВС рекомендоваться для других государственных структур, скажем, для МВД?

С одной стороны, требования, предъявляемые к средствам автоматизации в армии, отличаются от предъявляемых к средствам автоматизации МВД. Эти министерства решают разные задачи; нет смысла навязывать всем одно и то же решение. С другой стороны, в целях экономии бюджетных средств на поддержание программного обеспечения объектов автоматизации количество эксплуатируемых изделий необходимо сокращать. Чем меньше номенклатура эксплуатируемых изделий, тем лучше: проще готовить кадры, осуществлять модернизацию и т.д.

Государство и Internet

Многое ли нуждается в регулировании в Internet?

Конечно. Мы участвуем во многих конференциях, где обсуждается важная тема: какова роль государства в регулировании отношений, возникающих в связи с использованием Internet, где сообщество пользователей должно самостоятельно регулировать эти отношения. В этой сфере в настоящее время идет активный поиск взаимоприемлемых правил поведения.

Как вы оцениваете роль Закона об электронной цифровой подписи?

Хорош или плох этот закон, он, безусловно, нужен и полезен. Основная цель регулирования — поддержать работу наших участников рынка, использующих Internet в своей профессиональной деятельности, чтобы они в случае необходимости могли обращаться в суды. Но цифровая подпись — лишь один из аспектов, крохотная часть всех проблем, связанных с Internet.

Наиболее сложная задача — использование возможностей Internet как средства массовой информации. Это и вопросы достоверности, и вопросы ответственности, и межгосударственных отношений, поскольку Сеть интернациональна — со своим уставом в Internet не полезешь. Есть проблемы формирования правовых норм такого взаимодействия, проблемы правонарушений в Internet и с помощью Internet, проблема оперативно-следственных мероприятий — масса вопросов, которые еще предстоит урегулировать.

Мешает то, что здесь много наносного. В области Internet работает много специалистов-программистов, менеджеров, у которых есть свой взгляд на их деятельность. Они должны работать эффективно и получать доход. Но государство обязано смотреть шире. Конечно, государство не должно углубляться в технические детали: где какие инструменты, какой протокол использовать. Но допустить, чтобы это средство общения использовали в противоречии с уставом ООН и с российской Конституцией, мы, естественно, не имеем права. Предмет правового регулирования в Internet существует, а вот как регулировать — это вопрос. Например, обсуждается, нужен ли отдельный закон об Internet, чтобы вписать его в набор существующих понятий, являющихся объектами права. Существует понятие «связи», закрепленное в законе о связи, но он касается в основном инфраструктуры, на базе которой функционирует Internet.

Скажем, сейчас пытаются наладить регистрацию Internet-сайтов как СМИ, но делается это исходя из того, что в законе «О средствах массовой информации» к этим средствам относятся не только традиционные издания, но и «иная форма распространения массовой информации». Какая «иная»? Конечно, это не то, что нужно. Internet-сайт очень специфичен и с точки зрения предоставления и хранения информации, и с точки зрения количества экземпляров и выпусков. Проблем, которые надо решать, очень много, но думаю, со временем они все будут решены.

Сильно ли мы отстали в правовом обеспечении Internet от Соединенных Штатов и стран Западной Европы?

Я бы не сказал, что мы отстали. Это общая проблема. В тех же США активно идет процесс осмысления ситуации. Недавно американский Конгресс принял закон об ограничении распространения порнографии в Internet, а Верховный суд США счел закон антиконституционным, сделав вывод, что защита детей от порнографии — прерогатива родителей. Наши родители дома практически не бывают, как же им быть? Необходимо обеспечить их какими-то аппаратными или программными средствами, раз уж это их забота. Но можно опять столкнуться с упреками в ограничении свободы слова. По всем этим вопросам надо договариваться. В каждой стране сложились свои представления о том, что хорошо, а что — плохо, и только на уровне международных договоров можно закрепить общие правила поведения в таких ситуациях.

Большое возбуждение в обществе, помнится, вызвало введение СОРМ-2. Не могли бы вы прокомментировать ситуацию?

Здесь было, на мой взгляд, много спекуляций. Все понимают, что бороться с терроризмом и преступностью без проведения оперативно-следственных мероприятий в Internet невозможно. Во всем мире есть достаточно хорошо разработанная нормативная база таких мероприятий. Internet в этом смысле не так уж отличается от других коммуникаций. Я уже не говорю о системе «Эшелон», которая относится не к оперативно-следственным, а, скорее, к разведывательным средствам, позволяющим перехватывать, анализировать и складировать информацию в неизвестных нам целях. СОРМ должен быть, это ясно. Другое дело, что многое в его использовании пока не урегулировано, закон несовершенен. Это больше вопрос правотворчества и правоприменительной практики. Представляется, что при использовании СОРМ российская Конституция будет соблюдаться; нет оснований для беспокойства.

Более широкий вопрос. Лет, скажем, через пять технически будет возможно завести на каждого жителя Российской Федерации электронное досье. Как защититься от злоупотреблений конфиденциальной информацией?

Ждать пять лет не надо. Сейчас, например, информация в поликлиниках содержится в электронном виде. Чем регулируется хранение этой информации персонального характера и как обеспечивается ее сохранность? Ответа пока нет. Информация, попадающая в категорию служебной тайны, регулируется Кодексом об административных правонарушениях. Это означает, что если некто, получив информацию о коммерческих секретах фирмы, которую ему обязаны предоставить в связи с его служебным положением, раскроет ее или использует в своих интересах, то ответственность его будет несоизмерима с тем ущербом, который он может нанести фирме. В урегулировании нуждается и обеспечение неприкосновенности частной жизни. Никто не понес ответственности в историях с Ковалевым и с «человеком, похожим на Скуратова», а ведь произошло очевидное нарушение неприкосновенности частной жизни — нарушение конституционных прав человека.

Вы видите, что вопросов, связанных с нашим цифровым будущим, — огромное количество. И, на мой взгляд, в основном они лежат в области права. В области же техники мы уже можем делать почти все, а что не можем сделать, можем купить.

Анатолий Стрельцов: «У нас есть все для развития офшорного программирования»

На мой взгляд, направление, которое должно сейчас быть активно поддержано государством, — офшорное программирование. Я верю в перспективность этого направления. Для развития этого сегмента рынка информационных технологий в России все есть. Как всегда, немного не хватает маркетинга, организованности и, опять же, нормативного подкрепления. Предприятия, занимающиеся офшорным программированием, это не предприятия, выпускающие автомобили. У них другая структура расходов, у них должны быть другие налоговые отчисления.

Другая проблема состоит в том, что отечественный банковский сектор не имеет достаточно возможностей для поддержки деятельности отечественных компаний за рубежом. Как результат компании часто не могут получить кредит за границей. Нужно более четко выстроить государственную политику в этой области. В Индии и Китае приоритеты расставлены четко, государство делает все, чтобы развивать эту деятельность. В этом государству должны помочь отраслевые ассоциации. С другой стороны, специалисты из коммерческих компаний часто смотрят на проблемы слишком узко и не очень хорошо представляют себе государственные интересы. Я уверен, что при желании взаимодействие между профессионалами и государственными структурами может быть взаимовыгодным.