|
|
  |
Главная страница / Архитектура отрасли ЕЩЕ РАЗ О БДИТЕЛЬНОСТИОдна из главных задач развития национальной информационно-телекоммуникационной инфраструктуры (НИТИ) – обеспечение ее надежности и безопасности. Международный и российский опыт показывает, что решение этой задачи невозможно без создания национальной инфраструктуры защиты информации (НИЗИ). Лишь системный подход к защите информации позволит нейтрализовать такую серьезную, но в большинстве случаев традиционную угрозу развития любой организационной системы, как принятие разрозненных, продиктованных сиюминутными интересами мер. Уже сегодня от уровня безопасности и стабильности НИТИ зависит состояние отечественного фондового рынка, банковских структур, систем управления электроэнергетикой, нефтегазовым комплексом и множеством других жизненно важных систем Основные функции национальной информационно-телекоммуникационной инфраструктуры – обеспечение своевременной и безопасной передачи информации, ее обработка и хранение. В силу объективного существования постоянно расширяющегося множества угроз безопасности НИТИ в целях защиты должна быть реализована полноценная система защиты информации. Средств защиты, используемых на предприятиях и в организациях операторов сетей и провайдеров сетевых услуг, а также в корпоративных и ведомственных сетях недостаточно. Отставание России и российской цифровой экономики от мировой экономики лишь усугубляется, поскольку невозможно широко использовать Интернет для решения серьезных задач в бизнесе. По мнению ряда экспертов, российский сегмент Интернет (известный как «Рунет») не обеспечивает возможностей гарантированной защиты информации пользователей. Данные, получаемые и отправляемые через Интернет, могут быть искажены, подменены, нарушена их конфиденциальность. Мы подходим к рубежу, за которым Интернет может стать глобальным механизмом дезинформации, компрометации и махинаций, а бесконтрольное использование шифровальных средств будет способствовать тому, что Рунет станет идеальной средой для обмена информацией между криминальными группировками. Среда гарантированно-защищенного обмена информацией должна быть доступна всем законопослушным пользователям Рунета так же, как и обычный Интернет. Создание подобной среды откроет широкие возможности для развития предпринимательства, электронной коммерции, телемедицины, электронного правительства, других социальных институтов, сделает возможным авторизованный доступ к любой информации в электронном виде, снизит расходы на обеспечение информации, избавит предприятия от необходимости внедрять собственные дорогостоящие системы защиты телекоммуникационного обмена информацией. Создание такой среды возможно только при условии развития национальной инфраструктуры защиты информации. Место такой инфраструктуры в национальной информационно-телекоммуникационной инфраструктуре показано на рис. 1. На рис. 2 приведены структура и состав компонентов НИЗИ. Рассмотрим возможные варианты развития каждой из основных компонент НИЗИ. Законодательная компонент но бессистемно, о чем свидетельстует недавнее принятие закона «Об электронной цифровой подписи», а также множество законопроектов по различным аспектам электронного бизнеса и документооборота, которые широко обсуждаются в СМИ. При обновлении законодательства и нормативно-правовой базы в этой области всегда есть возможность учитывать международные рекомендации и требования (например, UNCTAD, ПАСЕ и др.) к законодательству об электронной коммерции и тем самым создавать условия для цивилизованного вхождения нашего государства в мировое экономическое сообщество либо игнорировать их в угоду сиюминутным интересам, а значит, возводить новые барьеры между Россией и Европейским сообществом. Важно помнить также, что развитие электронной коммерции и бизнеса в Интернете невозможно без использования стойкого шифрования информации. Можно, конечно, игнорируя решение этой проблемы, принимать законы об электронном документе, электронной коммерции и электронных финансовых услугах, только никакой серьезный бизнес в сети невозможен без гарантий сохранения конфиденциальности. Обеспечить такие гарантии можно только при широком и свободном, но безопасном для государства и общества использовании стойкой криптографии. Нам придется выбрать какой-либо вариант дальнейшего развития НИТИ: американский, который де-факто не ограничивает возможности распространения средств сильной криптографии внутри страны, или вариант с системой депонирования криптографических ключей. Можно, безусловно, оставить все как есть, но тогда придется смириться с тем, что все более значительная часть бизнеса вынуждена будет уходить в «тень» теперь уже по причине невозможности гарантированной легальной защиты информации и высокого риска информационной безопасности. Техническая компонента – одно из наиболее слабых мест в развитии отечественной НИЗИ. Спектр предлагаемых отечественными производителями сертифицированных средств защиты, в первую очередь криптографических, играющих главную роль в создании НИЗИ, крайне узок. Не найдя отечественных сертифицированных средств защиты по приемлемой цене, наши предприниматели вынуждены пользоваться зарубежными системами шифрования, например элементарно встраиваемый в ОС Windows MS Enhanced CSP, позволяющий применять алгоритм RSA с длиной ключа до 16 384 бит, алгоритм DSA – 1024 бит, алгоритм RC5 – 128 бит и алгоритм triple-DES – 168 бит. И это при том, что в России уже есть хорошие готовые решения для распространения которых нужно принять соответствующие меры, вытекающие из потребностей развития НИЗИ. Одной из российских фирм разработан и даже сертифицирован ФАПСИ продукт, который можно применять в ОС Windows. Поскольку криптографические решения, заложенные в системе ОС Windows, чаще всего используются для защиты информации, то целесообразно, чтобы продаваемые в России версии ОС Windows содержали определенным образом «усеченные» (как это сделано в Microsoft Base Cryptographic Provider) версии этого продукта. Полную версию можно продавать тем, кто повышенные требования к безопасности (в качестве альтернативы Microsoft Enhanced Cryptographic Provider). Недостаточная развитость рынка отечественных средств защиты информации – результат отсутствия организационной компоненты НИЗИ. Такие структуры, как Совет Безопасности РФ, ФАПСИ, Гостехкомиссия, Министерство РФ по связи и информатизации, занимающиеся проблемами защиты информации и развития НИТИ не несут ответственности за состояние инфраструктуры защиты информации в стране. ФАПСИ согласно уставу призвана обеспечить информационную безопасность органов государственной власти, приоритетное направление деятельности Гостехкомиссии – безопасность используемых технологий защиты информации. При этом никто не отвечает за состояние рынка средств защиты информации, за развитие НИЗИ и безопасность формируемой НИТИ. Как быть? На наш взгляд, можно возложить на одну из организаций ответственность за координацию и организацию ядра НИЗИ либо по примеру других стран создать структуру, которая возьмет на себя комплексное решение проблем обеспечения безопасности НИТИ и развития НИЗИ. Одной из приоритетных задач такого рода структуры должно стать целенаправленное развитие экономической компоненты НИЗИ, цель которой – обеспечить самоокупаемость НИЗИ при минимальных государственных затратах. Важно подчеркнуть, что защита хороша гарантиями, которые она предоставляет. И пользователи готовы платить именно за гарантии, а не обещания и рекомендации типа «сделайте то-то и то-то и ничего плохого больше не случится». При этом единственной альтернативой нынешнему подходу, на котором основаны системы гарантий безопасности, является система имущественной ответственности провайдеров безопасности, страхования их ответственности и рисков нарушения информационной безопасности. Возможно, последняя компонента, о которой следовало бы говорить в первую очередь – методологическая, играющая важнейшую роль в развитии НИЗИ. Значительную часть решений по обеспечению безопасности НИЗИ можно заимствовать из зарубежного опыта, тем более что в сфере использования информационных технологий и системных решений Россия хронически отстает. Но стихийное, непродуманное, импульсивное заимствование чужого может привести к серьезным отрицательным последствиям. НИТИ служит базой информационного общества, о создании которого так много говорится и в России и за рубежом. И отсутствие достаточных гарантий безопасности НИТИ свидетельствует об отсутствии необходимых гарантий безопасности институциональных основ создаваемого общества. Даже при широком заимствовании разработанных за рубежом протоколов и стандартов основы развития НИЗИ должны составлять концептуальные проработки, системное моделирование последствий принимаемых решений и, конечно же, принципы персональной ответственности лиц, участвующих в этом процессе. Практика показывает, что общественность еще не осознала опасности угроз, которые таят в себе используемые информационные технологии. Ни слова о НИЗИ, каких-либее компонентам (за исключением законодательной) нет ни в программе «Электронная Россия», ни в проекте плана мероприятий по реализации Доктрины информационной безопасности, ни в самой Доктрине. Так нужна ли России национальная инфраструктура защиты информации? Редакция приглашает всех заинтересованных лиц принять участие в обсуждении этой темы. Читателям будет интересно ознакомиться и с другими, возможно альтернативными, точками зрения на проблему. Главная страница / Архитектура отрасли |