На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Обеспечение информационной безопасности в частном секторе экономики

 

И. И. Локотцов,

С. Н. Гриняев,

ЗАО «Документальные

системы–МФД» –

«Межбанковский Финансовый Дом»

 

В настоящее время в области обеспечения информационной безопасности организаций в частной сфере экономики России накопилась масса противоречий и проблем...

 

О текущем моменте

Обеспечение безопасности информации в частном секторе российской экономики на сегодняшний день отдано на откуп собственникам этой информации. Им же предоставлено право самостоятельно определять необходимый уровень обеспечения ее безопасности. Вместе с тем, по мнению ряда экспертов, более 80 % информации, циркулирующей в информационных системах частных предприятий, является значимой не только для их собственного бизнеса, но и для обеспечения информационной безопасности страны в целом.

Остроты накопившимся проблемам добавили и последние события в США 11 сентября этого года. Эти события подхлестнули дебаты о ситуации с защитой информации в сфере бизнеса. Впервые мишенью террористов стали не военные объекты, а крупный центр мирового бизнеса. Вместе с трагизмом ситуации в целом, профессионалы отметили ряд важных моментов. Так, несмотря на громкие заявления американских коллег с нью-йоркской биржи об устойчивости функционирования информационной инфраструктуры, торги не проводились неделю, что практически спровоцировало панику в деловых кругах.

Эта ситуация снова поставила вопрос о необходимости развития и совершенствования плана мероприятий, направленных на обеспечение устойчивого функционирования информационной инфраструктуры кредитно-финансовой системы даже в условиях форс-мажора.

Использование общедоступных информационных сетей сегодня стало нормой для ведения бизнеса. С легкой руки Б. Гейтса появилась даже новая бизнес-модель – «бизнес со скоростью мысли».

Однако эти блага глобализации также были проверены на прочность последними событиями. Уже ясно, что важным следствием начавшейся борьбы с международным терроризмом будет отслеживание и аутентификация банковских счетов и различных транзакций, подозреваемых в «связях» с террористами. В этой ситуации особое значение приобретают работы по формированию национальных систем аутентификации пользователей и процессов в информационных системах кредитно-финансовой сферы. По мнению ряда экспертов, наиболее продвинутым решением здесь является внедрение электронной цифровой подписи (ЭЦП) и создание национальных инфраструктур управления открытыми ключами ЭЦП. Проекты по реализации подобных систем уже активно реализуются в США (проект ведет Национальный институт стандартов и технологий) и объединенной Европе (проект EuroPKI).

Вероятно, в дальнейшем анти-террористические мероприятия, особенно в части пресечения каналов финансирования незаконных группировок, будут усиливаться, что вновь поставит на повестку дня совершенствование процедур обеспечения информационной безопасности.

О ситуации в России

Можно констатировать, что в последнее время в России сложилась достаточно тревожная ситуация в сфере обеспечения информационной безопасности, особенно для предприятий частной формы собственности. Складывается впечатление, что у нас бизнес существует сам по себе, а государство – само по себе. Принимается Доктрина информационной безопасности, где вроде бы прописан и частный сектор, но в дальнейшем о его существовании благополучно забывают и предпринимают попытку обеспечить информационную безопасность России без учета более половины ее экономики.

Так уж получается, что на этапе создания информационных систем в силу ограничений по времени и экономии средств вопросы защиты информации откладываются на потом. У основных участников этого сектора экономики – банков за последние годы сформировался специфический подход к обеспечению безопасности своих информационных систем. На наш взгляд, это связано с тем, что стоимость создания надежной системы информационной безопасности несколько выше потерь, которые сегодня несет тот или иной банк в результате несанкционированных действий по доступу к его информационным ресурсам. Понятно, что в такой ситуации предпочтительнее улаживать проблемы за счет внутренних резервов и не афишировать возникающие проблемы. Зачастую, приобретая тот или иной программный продукт, банк отказывается доплачивать за обеспечение необходимого уровня защиты информации. Подобная ситуация негативно отразилась и на разработчиках, для которых превалирующим аспектом стало удовлетворение потребностей в автоматизации бизнес-процессов заказчиков.

Однако в свете последних событий следует помнить, что обеспечение защиты информации позволяет не только предотвратить нежелательные последствия, связанные с нарушением нормального функционирования информационных систем или утратой информации, но и иметь полный контроль над информационной системой.

О бизнесе и Доктрине информационной безопасности РФ

До настоящего времени предприятия частной формы собственности, и прежде всего в кредитно-финансовой сфере, не вовлечены в комплекс работ по обеспечению интересов России в информационной сфере, определенных в Доктрине информационной безопасности.

Это обусловлено тем, что на государственном уровне еще не сложился единый подход к обеспечению информационной безопасности в частном секторе российской экономики. Сегодня это выразилось в том, что ряд законодательных инициатив, выдвинутых Правительством РФ в последнее время, имеет множество замечаний, затрудняющих их реализацию.

Так, в принятом 8 августа текущего года новом варианте «Закона о лицензировании отдельных видов деятельности» добавлено несколько новых видов, подлежащих обязательному лицензированию. Хотелось бы обратить внимание на такие виды деятельности, как:

  • деятельность по распространению шифровальных (криптографических) средств;
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
  • предоставление услуг в области шифрования информации;
  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
  • деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

а также:

  • деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
  • деятельность по технической защите конфиденциальной информации;

Указом Президента РФ от 6 марта 1997 года № 188 был утвержден перечень сведений конфиденциального характера, к которым отнесены:

  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • сведения, составляющие тайну следствия и судопроизводства;
  • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
  • сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.);
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
  • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Таким образом, в категорию конфиденциальной информации попадает более 60 % всей информации, циркулирующей в информационных системах предприятий разной формы собственности. Хотя в российском законодательстве до настоящего времени нет руководящего тезиса об обязательности защиты конфиденциальной информации, в то же время принятие данного закона обязывает всех участников рынка, работающих с информацией, «позволяющей однозначно идентифицировать его [гражданина] личность», иметь лицензию на право технической защиты этой информации. В эту категорию участников рынка попадают учреждения финансово-кредитной сферы, операторы сотовой связи, провайдеры, производители и эмитенты пластиковых карт. Ситуация неоднозначная и требует толкования со стороны регулирующих органов. Это затрудняет толкование принятого закона.

Далее, летом текущего года в первом чтении принят закон об электронно-цифровой подписи. Некоторые положения этого закона явно не способствуют росту эффективности электронного бизнеса в России. Это в первую очередь касается обеспечения деятельности доверенных центров по работе с цифровыми сертификатами. Существующая в мировой практике концепция использования цифровых сертификатов применительно к бизнеспроцессам участников деловых отношений в практическом аспекте предполагает наличие сети удостоверяющих центров, создаваемых для гибкого управления использованием цифровых сертификатов. При таком подходе имеют право на существование в условиях свободного рынка удостоверяющие центры различных объединений участников деловых отношений (корпоративные, ведомственные, профессиональные и т. п.).

В принимаемом законе предлагается ввести гражданскую ответственность в размере, не менее чем в тысячу раз превышающем максимальный предел цены сделки, который данный удостоверяющий центр может указывать в сертификате ключа подписи. Данное требование резко ограничивает развитие сети доверенных центров в низовом уровне (напр. корпорация, ведомство ).Все это свидетельствует о том, что большинство проводимых работ весьма далеки от жизненных потребностей российского бизнеса. Нет координации деятельности государственного и частного секторов экономики в этом вопросе. Между тем, совершенно ясно, что достижение поставленных целей в обеспечении информационной безопасности государства без привлечения частного капитала в полном объеме решить не удастся. Эта же идея является основной и в «Национальном плане защиты информационных систем США», принятом в январе 2000 года.

О защите информации и перспективах вступления России в ВТО

В настоящее время завершается процесс согласования условий для вступления России во Всемирную торговую организацию. Наряду с массой других вопросов это событие повлечет за собой и определенные последствия для организаций, занятых в обеспечении информационной безопасности.

Как отмечается в Доктрине информационной безопасности, за последние десять лет российских реформ в сфере информационных технологий воцарился настоящий хаос, препятствующий формированию единого общероссийского информационно-финансового пространства. На рынке банковских систем на три четверти доминируют аппаратно-программные средства иностранного производства, а отечественные разработки, в наибольшей степени адаптированные к условиям российской специфики, зачастую остаются достоянием отдельных компаний-разработчиков.

Упорядочение деятельности по внедрению и развитию информационно-телекоммуникационных технологий в банковской сфере позволит ускорить процессы интеграции, добиться необходимого уровня унификации и стандартизации, а также требуемого уровня защиты информации.

Учитывая важность вопроса, считаем, что сегодня является целесообразным проведение работ по формированию единого Реестра аппаратно-программных средств, рекомендованных Центральным банком РФ, АРБ, Гостехкомиссией России и ФАПСИ к использованию в информационно-финансовых системах банков и других финансовых организаций и соответствующих основным международным стандартам.

Включение аппаратно-программных средств в реестр будет проводиться путем выдачи сертификатов соответствия. Сертификация должна проводиться на основе требований, разработанных с учетом требований Гостехкомиссии России, ФАПСИ, Центрального банка и других заинтересованных организаций.

Основным результатом проведения сертификации, кроме включения в реестр, может служить также право на страхование информационных рисков в сертифицированных системах.

Выводы и предложения

По нашему мнению, залогом дальнейшего успешного развития отечественного бизнеса является создание единого общероссийского технологического и информационного пространства. Эта проблема сегодня не менее, а даже более актуальна, чем интеграция России в мировую финансовую систему, поскольку последнее невозможно без единого унифицированного и соответствующего мировым стандартам технологического потенциала.

Учитывая последние события в мире можно предположить, что в ближайшее время предстоит пересмотр основных подходов к формированию концепции национальной безопасности ряда государств, в том числе и России. Необходимо учитывать новый характер угроз, исходящих от международного терроризма, их сетевой характер. В новых условиях вопросы обеспечения информационной безопасности на общенациональном уровне могут быть решены путем привлечения к этой работе потенциала коммерческих структур, развитием широкой сети служб безопасности как в крупных предприятиях, так и в средних и мелких, задачи же государственных служб безопасности сведутся в основном к координации сети безопасности, сформированной из подобных структур.

В заключение можно сделать следующий главный вывод: по нашему мнению, имеет смысл активнее привлекать российский бизнес к участию в законотворчестве и формировании государственной политики в области информационной безопасности и электронной торговли.

 

"Защита информации. Кофидент", № 6, 2001

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru