Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Бизнес за безопасность

В ходе выставки, посвященной вопросам обеспечения информационной безопасности (ИБ), основным проблемам и новинкам этой отрасли, было организовано множество «круглых столов» и встреч игроков рынка и потребителей их услуг.

В первый рабочий день в рамках секции «Законодательное регулирование проблем информационной безопасности» обсуждались проблемы правоприменения федерального законодательства в области ИБ и защиты информации, совершенствование нормативного правового обеспечения ИБ, государственное стимулирование развития отрасли средств обеспечения информационной безопасности и защиты информации.

Не обошли вниманием участники форума вопросы реализации ФЦП «Электронная Россия», которая полным ходом идет по стране. В своем выступлении представитель Росинформтехнологий Владимир Голобоков отметил, что «инфраструктура электронного государства на основе государственного информационного центра должна быть основана на создании единой системы аутентификации сторон с использованием единого средства доступа идентификатора – это один из фундаментальных принципов концепции «единого окна»».

Состояние рынка аппаратной аутентификации, ключевые факторы, влияющие на его развитие (технологические, экономические и пр.), обсуждались в рамках экспертной секции «Состояние и перспективы развития российского рынка аппаратной аутентификации», работой которой руководил Сергей Груздев, генеральный директор компании Aladdin.

Второй день получил название «Банковский день», в рамках которого более глубоко рассматривались проблемы, связанные с безопасностью банковской деятельности. Кредитная организация лишь тогда может считаться хорошей, когда обеспечивает надлежащий уровень сохранности средств. В наше время грабители банков часто вооружены не пистолетами и автоматами, а ноутбуками и фальшивыми кредитными картами. Но требуемый уровень безопасности обеспечивает только та система, которая настроена под определенные угрозы.

В мире существуют определенные стандарты, позволяющие отследить возможные угрозы и выстроить соответствующую систему защиты. «Системы информационной безопасности бизнеса, как правило, не увеличивают его размер, а обеспечивают надежность, – подчеркнул заместитель начальника Главного управления безопасности и защиты информации Банка России Андрей Курило. – В последнее время появились факты, когда кредитные организации, прошедшие аудит безопасности по стандарту Банка России, возрастают в цене. Таким образом, создание системы информационной безопасности существенно улучшает качество активов, структурирует их. Конечная цель таких решений состоит в обеспечении непрерывности бизнеса».

На уровень безопасности влияет также расхождение между реальными угрозами и моделью защиты, т. е. сама политика безопасности. Есть ряд заинтересованных сторон во внедрении стандарта Банка России, куда входят подразделения информационной безопасности банка, подразделения внутреннего контроля, аудиторы и т. д. Однако не всегда подобные инициативы находят поддержку со стороны высшего менеджмента кредитной организации.

«На самом деле стандарты безопасности Банка России как были рекомендательными, так и останутся таковыми в дальнейшем», – подчеркнул Андрей Курило. Однако, по мнению эксперта, если их примут хотя бы 20% банков страны, будет решено 80% проблем информационной безопасности банковской деятельности. Главной проблемой рынка, по мнению Андрея Курило, можно назвать доверие к результатам проверок. На рынке есть немало предложений по проведению аудита по стандартам безопасности, в том числе по стандарту Банка России. Однако не все фирмы, оказывающие такие услуги, владеют соответствующими методиками работы. Это вызывает кризис доверия.

«Отношение к стандарту со стороны банковского сообщества положительное – примерно 38% банков готовы его внедрить. Но выявилась и закономерность: если организация не поддерживает инициативы по введению стандарта безопасности Банка России, то, как правило, она не поддерживает и другие инициативы, направленные на развитие инфраструктуры банковского бизнеса. Мы рассматриваем это как проявление позиции их менеджмента», – отметил Андрей Курило. Однако эта позиция объективно мешает развитию банковской системы.

В «Стратегии развития банковского сектора Российской Федерации на период до 2008 г.», принятой правительством РФ, «к внешним сдерживающим факторам можно отнести… недостаточно высокий уровень доверия к банкам со стороны населения». Конечно, одной информационной безопасностью тут дело не ограничивается, но она играет в этом недоверии далеко не последнюю роль.

Огромный интерес вызвало обсуждение практики применения Закона «О персональных данных», проходившее в рамках «круглого стола» «Персональные данные – так как же их защищать?», на котором председательствовал Алексей Сабанов, коммерческий директор компании Aladdin. По мнению участников мероприятия именно недостаточная правовая база (подзаконные акты) препятствует планомерному внедрению в России систем защиты информации. Законом «О персональных данных» определен круг организаций, имеющих право сбора и обработки персональных данных, однако не существует механизма контроля и государственных гарантий их сохранности. Сообщения о случаях хищения баз данных, содержащих персональные данные граждан, периодически появляются в прессе. Эти факты известны всем, в том числе руководителям ведомств, чья внутренняя информация поступает на «черный рынок». Доходит до абсурда. Например, свежие базы данных ГИБДД можно купить на Лубянке в 100 м от здания Главного Управления ГИБДД МВД РФ. При этом до сих пор не известно о возбуждении уголовного или административного производства в отношении лиц, допустивших утечку или осуществляющих незаконную торговлю информацией.

Важным моментом для дальнейших споров вокруг Закона «О персональных данных» стала роль структуры, оперирующей персональными данными. Таковой может быть далеко не каждая организация, требующая сегодня паспорт или иные личные данные граждан. Серьезные опасения участников дискуссии вызвала процедура подтверждения полномочий и приведения доказательств компетентности по работе с персональными данными таких структур. Даже при наличии механизмов защиты базовых прав граждан, утвержденных российским законодательством, гарантий безопасности при обработке их персональных данных по-прежнему нет.

Особого внимания заслуживала секция «Информационная безопасность от А до Я. Тем, кто начинает», проведенная под руководством директора Российского научно-исследовательского и проектно-конструкторского института информатизации, автоматизации и связи (ВНИИАС МПС России) Сергея Ададурова. На ней были рассмотрены вопросы архитектуры систем обеспечения информационной безопасности, задачи информационной безопасности в приложениях документооборота и управления бизнес-процессами.

Отдельные выступления хотя и не относились непосредственно к банковской тематике, но в силу своей общей значимости также вызвали большой интерес. В частности, заведующий отделением информационной безопасности ВНИИАС МПС профессор Игорь Шубинский в своем выступлении отметил, что «теория функциональной безопасности изучает воздействие отказов и ошибок в работе системы на объекты управления и в целом на внешнюю среду. Главная задача состоит в исследовании вероятности и возможности парирования предусмотренными функциями безопасности опасных функциональных отказов. При наличии избыточных ресурсов (структурных, временных, информационных, функциональных) налицо два диаметрально противоположных подхода к архитектуре объекта: с позиций теории надежности эти ресурсы используются в качестве резерва для повышения безотказности объекта, а с позиций теории функциональной безопасности – эти избыточные ресурсы используются для обнаружения опасных функциональных отказов путем построения многоканальных объектов с параллельной обработкой информации и безопасным компаратором (аппаратными или программными средствами сравнения результатов). При этом допускается снижение уровня надежности объекта за счет отъема в интересах функциональной безопасности избыточных ресурсов».

Выставка запомнилась не только яркими экспозициями, интересными мероприятиями и жаркими дебатами, но и общей деловой атмосферой, возникающей там, где собирается много людей, объединенных одной целью. Можно с уверенностью сказать, что рынок информационной безопасности в России вполне сформировался и вошел в фазу бурного роста, оставаясь при этом гибким и восприимчивым к новым веяниям. Подготовил Дмитрий Симонов

Хотелось бы отметить повышение уровня деловой программы, сопровождающей выставку Infosecurity. Очень хорошее впечатление оставил проведенный по инициативе компании Aladdin «круглый стол», посвященный вопросам совершенствования законодательства в области ИБ, в котором приняли активное участие представители аппарата СБ РФ, ФСБ России и Росинформтехнологии.

Одной из центральных тем прошедшей дискуссии был вопрос о выполнении Закона «О персональных данных», выпущенный нашими законодателями с большими «дырами» и «темными пятнами». К сожалению, в работе «круглого стола» не приняли участие представители ФСТЭК, органа, которому наряду с другими поручено устранять недоработки закона с помощью подзаконных актов и к которому у присутствующих было много вопросов. В этом контексте особенно интересным было выступление представителя Пенсионного фонда России Анатолия Куранова, рассказавшего об опыте решения этой острейшей проблемы в его организации.

Главная страница / Архитектура отрасли