Ассоциация защиты информации (АЗИ), отмечая свое десятилетие, поделилась видением современных проблем и оценкой перспектив развития российского рынка информационной безопасности.
Как напомнил президент АЗИ Геннадий Емельянов, свои задачи ассоциация видит в содействии органам госвласти в реализации государственной политики обеспечения ИБ страны, сформулированной в национальных доктринах и законах, а также в обеспечении с точки зрения ИБ благоприятных условий для развития отечественного бизнеса с приоритизацией интересов членов ассоциации.
Предваряя доклад о современном состояния российского рынка ИБ (от имени ассоциации доклад сделал научный руководитель ВНИИ ПВТИ Валерий Конявский), г-н Емельянов сказал, что АЗИ понимает неполноту и дискуссионность представленнных ассоциацией в этом докладе проблем развития ИБ в стране. При этом именно в широком освещении наиболее остро стоящих задач в сфере ИБ ассоциация и видит свою задачу и готова предоставить свои площадки для их публичного обсуждения.
В развитии ИБ-отрасли АЗИ предлагает выделять нормативное, организационно-техническое и ментальное (культурологическое) направления.
Регулирование. Нормативную базу ИБ сегодня следует изменять с учетом организационно-технических тенденций, чтобы завтра не пришлось вкладывать средства в то, что буквально на глазах морально устаревает.
К закону “О персональных данных”, стимулировавшему на протяжении нескольких последних лет развитие отечественной ИБ-отрасли, присоединились законы “О национальной платежной системе” и “Об электронной подписи”. Заметное влияние на состояние ИБ-рынка отмечается со стороны федеральной и региональной программ построения информационного общества и действующих крупных ведомственных информационных систем.
В докладе отмечается, что доходы системных интеграторов стали заметно превышать доходы ИБ-вендоров, что, как полагают в АЗИ, связано с реальным внедрением и эксплуатацией ИБ-средств, а не с их приобретением ради отчетности перед руководством и регуляторами и удовлетворения карьерных амбиций ИТ-специалистов.
Нормативное направление в стране характеризуется, согласно оценкам АЗИ, нечеткостью формулирования требований законов и их несогласованностью между собой, отсутствием показателей качества требований. Это приводит к появлению на рынке средств защиты, хотя и имеющих сертификаты соответствия нормативным требованиям, тем не менее не выполняющих защитных функций. Как считают в АЗИ, рыночные механизмы с подобной ситуацией не справляются. В результате из-за недопонимания со стороны потребителей и недобросовестности некоторых вендоров упрощенная защита начинает использоваться там, где не должна (например, в криптографической среде и средствах разграничения доступа). В связи с этим АЗИ полагает, что возрастает ее значение как коллективного эксперта ИБ-средств, действующего в данном качестве по доступным для ассоциации каналам, в том числе и при принятии новых законов.
Организационно-техническое направление. По прогнозам АЗИ, в организационно-техническом направлении сферы ИБ в ближайшее пятилетие следует ожидать практически полного вытеснения настольных систем мобильными устройствами и моноблоками, причем построенными на отличных от архитектуры x86 — архитектура фон Неймана постепенно вытеснится гарвардской, а преобладающими операционными системами станут ОС, построенные на основе Linux. Все это неизбежно изменит логику защиты информации и приведет к радикальной смене средств защиты.
Другая отличительная организационно-техническая особенность современных ИТ — их концентрация в ЦОДах, виртуализация и динамичное перераспределение ИТ-ресурсов между облаками. При этом ЦОДы “толстеют”, а терминалы доступа становятся тоньше. Однако, как отмечено в докладе, виртуализация сегодня только в начале пути обеспечения доверенной среды функционирования ИТ.
В культурологическом направлении, наиболее важном, как следует из доклада, ассоциация наблюдает расхождения в представлении о профессионализме в области ИБ в среде участников ИБ-рынка. Удручающе низкий по оценкам экспертов уровень подготовки выпускников по ИБ-специальностям в большинстве вузов (там, где они есть) и отсутствие востребованности специалистов по защите информации со стороны рынка труда (во многих организациях в штатных расписаниях вообще нет соответствующих позиций) увеличивают разрыв между требованиями к ИБ, адекватно отражающими (по мнению тех же экспертов) ландшафт угроз, и способностью им противостоять.
Нехватка ИБ-специалистов среднего уровня ведет к деквалификации высококлассных специалистов и экспертов, вынужденных заниматься валом рутины. Вместе с этим кадровый потенциал самой ассоциации представляется ей достаточным для налаживания дистанционного обучения и переподготовки ИБ-кадров, лейтмотивом которого должна стать организация безопасных ИТ-систем в целом, а не эксплуатация конкретных продуктов (чем успешно занимаются учебные центры вендоров и интеграторов).
Электронные услуги. По мере развития информационного общества, наращивания сервисов электронного правительства и электронных способов перечисления денежных средств в стране актуализируется необходимость просветительской работы населения через СМИ, что, как считают в АЗИ, по силам скорее ассоциации (особенно если ее поддержат регуляторы), нежели отдельным компаниям.
Резкой критике в докладе была подвергнута нынешняя организация дистанционного банковского обслуживания (ДБО), оцененная как несоответствующая критериям доверенной среды, в результате чего хищения в российском ДБО в 2011 г. выросли более чем вдвое по сравнению с 2010 г. Сегодня аббревиатуру ДБО сегодня расшифровывают так: “Дешево, Быстро, Опасно”.
В системе электронных госуслуг на первое место, как было отмечено в докладе, следует выдвигать не набор типов идентификаторов (которых уже реализовано много — банковские и социальные пластиковые карты, универсальные электронные карты, USB-идентификаторы, отпечатки пальцев, номера мобильных телефонов, логины, пароли и адреса электронной почты…), а обоснование того, какие именно услуги могут стать доступными при использовании тех или иных конкретных типов и способов идентификации и аутентификации.
В системе электронных госуслуг гражданин вправе сам выбрать способ авторизации для получения данных из государственных информационных систем, руководствуясь при этом критериями надежности, стоимости, технологической доступности и удобством. Однако данные в информационные системы должны поступать только из доверенных систем. Учет направления движения информации в системе электронных госуслуг может, по оценкам экспертов АЗИ, существенно упростить создание их защиты и снизить затраты на нее.
Облачные вычисления. Основным критерием целесообразности перехода к облачным вычислениям по мнению экспертов АЗИ является учет стоимости перевода имеющейся ИТ-инфраструктуры в облака — будет ли она достаточно низкой, чтобы переход окупился в среднесрочной перспективе. Следует также учитывать, станут ли облака платформой для развития бизнеса, и сохранятся ли после перехода на приемлемом для компании уровне ИБ-риски. Несмотря на то что обеспечение ИБ при переходе в облака является сегодня наиболее сложным аспектом, рассматривать его следует только учтя первые два — стоимость и бизнес-целесообразность.
За обеспечение ИБ в облачной инфраструктуре отвечают совместно пользователь и оператор облачных сервисов. Поэтому в облачной парадигме важно провести границы между владельцами и клиентами облаков и обозначить ИБ-задачи для каждого из них.
В АЗИ полагают, что для функционирования ИБ-средств в облаках прежде всего необходимо сформировать доверенную среду, что означает, как было сформулировано в докладе, “тотальную организацию процессов развертывания и корректного завершения доверенных контейнеров виртуальных машин и приложений изолированно внутри систем”. Через контролируемый процесс загрузки должны формироваться также и доверенные сервисы участников облака. С пользователя облачных сервисов снимается основная нагрузка по обеспечению ИБ — на него возлагается единственное требование по обеспечению доверенной среды средства доступа к облачному сервису.
По мнению членов АЗИ, доверия к действующим базовым информационным системам информационного общества в стране сегодня нет. Доверие базируется на положительном опыте эксплуатации и возможности контроля. Поскольку (ввиду молодости российского информационного общества) положительного опыта достаточной продолжительности у нас пока нет, АЗИ предлагает сосредоточиться на контроле, который, как считают в ассоциации, можно в данном случае реализовать за счет использования открытых кодов. Следующие версии социально значимых систем будут основаны именно на них — так считают в АЗИ. Коды будут выкладываться для анализа всем желающим, и этим же способом будут оформляться ИБ-решения. Сегодня АЗИ не берется за описание деталей этих процессов, но ассоциация уверена в необходимости такой работы и выражает готовность приступить к ней. Проект создания национальной программной платформы АЗИ считает подходящей для этого базой и предполагает стать его коллективным членом.
Стандартизация. Чтобы не латать дыры с помощью наложенных средств, об ИБ следует думать на этапе разработки ИТ-решений. И а для этого требуется внедрение стандартов и типовых подходов, в разработке которых ведущую роль должно играть государство, поскольку отдельным компаниям это не по силам. Оптимальной организационной формой здесь могло бы стать частное и государственное партнерство, в котором АЗИ видит свое место в ряду лидеров.
Вместе с тем темпы обновления фондов национальной системы стандартизации, как отмечают в АЗИ, снизились — для поддержания их в актуальном состоянии ежегодно необходимо обновлять не менее 10% фондов. АЗИ считает, что ей по силам оказать государству помощь в организации подготовки нормативно-правовых актов, обеспечивающих реализацию федеральных законов, относящихся к стандартизации в области защиты информации. АЗИ готова способствовать признанию на международном уровне передовых отечественных ИБ-технологий и учету национальных интересов России при разработке международных стандартов как основы национальных стандартов нашей страны.