Обеспечение информационной безопасности в частном секторе экономики
И. И. Локотцов,
С. Н. Гриняев,
ЗАО «Документальные
системы–МФД» –
«Межбанковский Финансовый Дом»
В настоящее время в области обеспечения информационной безопасности организаций в частной сфере экономики России накопилась масса противоречий и проблем...
О текущем моменте
Обеспечение безопасности информации в частном секторе российской экономики на сегодняшний день отдано на откуп собственникам этой информации. Им же предоставлено право самостоятельно определять необходимый уровень обеспечения ее безопасности. Вместе с тем, по мнению ряда экспертов, более 80 % информации, циркулирующей в информационных системах частных предприятий, является значимой не только для их собственного бизнеса, но и для обеспечения информационной безопасности страны в целом.
Остроты накопившимся проблемам добавили и последние события в США 11 сентября этого года. Эти события подхлестнули дебаты о ситуации с защитой информации в сфере бизнеса. Впервые мишенью террористов стали не военные объекты, а крупный центр мирового бизнеса. Вместе с трагизмом ситуации в целом, профессионалы отметили ряд важных моментов. Так, несмотря на громкие заявления американских коллег с нью-йоркской биржи об устойчивости функционирования информационной инфраструктуры, торги не проводились неделю, что практически спровоцировало панику в деловых кругах.
Эта ситуация снова поставила вопрос о необходимости развития и совершенствования плана мероприятий, направленных на обеспечение устойчивого функционирования информационной инфраструктуры кредитно-финансовой системы даже в условиях форс-мажора.
Использование общедоступных информационных сетей сегодня стало нормой для ведения бизнеса. С легкой руки Б. Гейтса появилась даже новая бизнес-модель – «бизнес со скоростью мысли».
Однако эти блага глобализации также были проверены на прочность последними событиями. Уже ясно, что важным следствием начавшейся борьбы с международным терроризмом будет отслеживание и аутентификация банковских счетов и различных транзакций, подозреваемых в «связях» с террористами. В этой ситуации особое значение приобретают работы по формированию национальных систем аутентификации пользователей и процессов в информационных системах кредитно-финансовой сферы. По мнению ряда экспертов, наиболее продвинутым решением здесь является внедрение электронной цифровой подписи (ЭЦП) и создание национальных инфраструктур управления открытыми ключами ЭЦП. Проекты по реализации подобных систем уже активно реализуются в США (проект ведет Национальный институт стандартов и технологий) и объединенной Европе (проект EuroPKI).
Вероятно, в дальнейшем анти-террористические мероприятия, особенно в части пресечения каналов финансирования незаконных группировок, будут усиливаться, что вновь поставит на повестку дня совершенствование процедур обеспечения информационной безопасности.
О ситуации в России
Можно констатировать, что в последнее время в России сложилась достаточно тревожная ситуация в сфере обеспечения информационной безопасности, особенно для предприятий частной формы собственности. Складывается впечатление, что у нас бизнес существует сам по себе, а государство – само по себе. Принимается Доктрина информационной безопасности, где вроде бы прописан и частный сектор, но в дальнейшем о его существовании благополучно забывают и предпринимают попытку обеспечить информационную безопасность России без учета более половины ее экономики.
Так уж получается, что на этапе создания информационных систем в силу ограничений по времени и экономии средств вопросы защиты информации откладываются на потом. У основных участников этого сектора экономики – банков за последние годы сформировался специфический подход к обеспечению безопасности своих информационных систем. На наш взгляд, это связано с тем, что стоимость создания надежной системы информационной безопасности несколько выше потерь, которые сегодня несет тот или иной банк в результате несанкционированных действий по доступу к его информационным ресурсам. Понятно, что в такой ситуации предпочтительнее улаживать проблемы за счет внутренних резервов и не афишировать возникающие проблемы. Зачастую, приобретая тот или иной программный продукт, банк отказывается доплачивать за обеспечение необходимого уровня защиты информации. Подобная ситуация негативно отразилась и на разработчиках, для которых превалирующим аспектом стало удовлетворение потребностей в автоматизации бизнес-процессов заказчиков.
Однако в свете последних событий следует помнить, что обеспечение защиты информации позволяет не только предотвратить нежелательные последствия, связанные с нарушением нормального функционирования информационных систем или утратой информации, но и иметь полный контроль над информационной системой.
О бизнесе и Доктрине информационной безопасности РФ
До настоящего времени предприятия частной формы собственности, и прежде всего в кредитно-финансовой сфере, не вовлечены в комплекс работ по обеспечению интересов России в информационной сфере, определенных в Доктрине информационной безопасности.
Это обусловлено тем, что на государственном уровне еще не сложился единый подход к обеспечению информационной безопасности в частном секторе российской экономики. Сегодня это выразилось в том, что ряд законодательных инициатив, выдвинутых Правительством РФ в последнее время, имеет множество замечаний, затрудняющих их реализацию.
Так, в принятом 8 августа текущего года новом варианте «Закона о лицензировании отдельных видов деятельности» добавлено несколько новых видов, подлежащих обязательному лицензированию. Хотелось бы обратить внимание на такие виды деятельности, как:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
- деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
а также:
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации;
Указом Президента РФ от 6 марта 1997 года № 188 был утвержден перечень сведений конфиденциального характера, к которым отнесены:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- сведения, составляющие тайну следствия и судопроизводства;
- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Таким образом, в категорию конфиденциальной информации попадает более 60 % всей информации, циркулирующей в информационных системах предприятий разной формы собственности. Хотя в российском законодательстве до настоящего времени нет руководящего тезиса об обязательности защиты конфиденциальной информации, в то же время принятие данного закона обязывает всех участников рынка, работающих с информацией, «позволяющей однозначно идентифицировать его [гражданина] личность», иметь лицензию на право технической защиты этой информации. В эту категорию участников рынка попадают учреждения финансово-кредитной сферы, операторы сотовой связи, провайдеры, производители и эмитенты пластиковых карт. Ситуация неоднозначная и требует толкования со стороны регулирующих органов. Это затрудняет толкование принятого закона.
Далее, летом текущего года в первом чтении принят закон об электронно-цифровой подписи. Некоторые положения этого закона явно не способствуют росту эффективности электронного бизнеса в России. Это в первую очередь касается обеспечения деятельности доверенных центров по работе с цифровыми сертификатами. Существующая в мировой практике концепция использования цифровых сертификатов применительно к бизнеспроцессам участников деловых отношений в практическом аспекте предполагает наличие сети удостоверяющих центров, создаваемых для гибкого управления использованием цифровых сертификатов. При таком подходе имеют право на существование в условиях свободного рынка удостоверяющие центры различных объединений участников деловых отношений (корпоративные, ведомственные, профессиональные и т. п.).
В принимаемом законе предлагается ввести гражданскую ответственность в размере, не менее чем в тысячу раз превышающем максимальный предел цены сделки, который данный удостоверяющий центр может указывать в сертификате ключа подписи. Данное требование резко ограничивает развитие сети доверенных центров в низовом уровне (напр. корпорация, ведомство ).Все это свидетельствует о том, что большинство проводимых работ весьма далеки от жизненных потребностей российского бизнеса. Нет координации деятельности государственного и частного секторов экономики в этом вопросе. Между тем, совершенно ясно, что достижение поставленных целей в обеспечении информационной безопасности государства без привлечения частного капитала в полном объеме решить не удастся. Эта же идея является основной и в «Национальном плане защиты информационных систем США», принятом в январе 2000 года.
О защите информации и перспективах вступления России в ВТО
В настоящее время завершается процесс согласования условий для вступления России во Всемирную торговую организацию. Наряду с массой других вопросов это событие повлечет за собой и определенные последствия для организаций, занятых в обеспечении информационной безопасности.
Как отмечается в Доктрине информационной безопасности, за последние десять лет российских реформ в сфере информационных технологий воцарился настоящий хаос, препятствующий формированию единого общероссийского информационно-финансового пространства. На рынке банковских систем на три четверти доминируют аппаратно-программные средства иностранного производства, а отечественные разработки, в наибольшей степени адаптированные к условиям российской специфики, зачастую остаются достоянием отдельных компаний-разработчиков.
Упорядочение деятельности по внедрению и развитию информационно-телекоммуникационных технологий в банковской сфере позволит ускорить процессы интеграции, добиться необходимого уровня унификации и стандартизации, а также требуемого уровня защиты информации.
Учитывая важность вопроса, считаем, что сегодня является целесообразным проведение работ по формированию единого Реестра аппаратно-программных средств, рекомендованных Центральным банком РФ, АРБ, Гостехкомиссией России и ФАПСИ к использованию в информационно-финансовых системах банков и других финансовых организаций и соответствующих основным международным стандартам.
Включение аппаратно-программных средств в реестр будет проводиться путем выдачи сертификатов соответствия. Сертификация должна проводиться на основе требований, разработанных с учетом требований Гостехкомиссии России, ФАПСИ, Центрального банка и других заинтересованных организаций.
Основным результатом проведения сертификации, кроме включения в реестр, может служить также право на страхование информационных рисков в сертифицированных системах.
Выводы и предложения
По нашему мнению, залогом дальнейшего успешного развития отечественного бизнеса является создание единого общероссийского технологического и информационного пространства. Эта проблема сегодня не менее, а даже более актуальна, чем интеграция России в мировую финансовую систему, поскольку последнее невозможно без единого унифицированного и соответствующего мировым стандартам технологического потенциала.
Учитывая последние события в мире можно предположить, что в ближайшее время предстоит пересмотр основных подходов к формированию концепции национальной безопасности ряда государств, в том числе и России. Необходимо учитывать новый характер угроз, исходящих от международного терроризма, их сетевой характер. В новых условиях вопросы обеспечения информационной безопасности на общенациональном уровне могут быть решены путем привлечения к этой работе потенциала коммерческих структур, развитием широкой сети служб безопасности как в крупных предприятиях, так и в средних и мелких, задачи же государственных служб безопасности сведутся в основном к координации сети безопасности, сформированной из подобных структур.
В заключение можно сделать следующий главный вывод: по нашему мнению, имеет смысл активнее привлекать российский бизнес к участию в законотворчестве и формировании государственной политики в области информационной безопасности и электронной торговли.
"Защита информации. Кофидент", № 6, 2001