КОНФЕРЕНЦИИ
В конце января в Москве состоялась шестая всероссийская конференция "Информационная безопасность в России в условиях глобального информационного общества", организованная аппаратом Совета безопасности РФ, думским комитетом по безопасности, аппаратом полномочного представителя Президента РФ в Центральном федеральном округе и журналом "Бизнес и безопасность в России". В списке "группы поддержки" и участников фигурировали также ФСБ, Гостехкомиссия при Президенте РФ, представители министерств по связи и информатизации, внутренних дел, промышленности, науки и технологий, Госстандарта и еще более десятка ассоциаций, фондов, государственных и коммерческих организаций. Генеральными спонсорами форума выступили московское представительство Microsoft и "IBM Восточная Европа/ Азия". Заметим, что количество присутствовавших ограничивалось уже при регистрации на сайте www.infoforum.ru - не более 800.
Как и следовало ожидать от столь представительного мероприятия, на пленарном заседании при открытии конференции выступали все официальные лица организаторов и основных участников. Темы заседаний охватывали столь широкий спектр вопросов безопасности (от "Стратегии IBM" и "Анализа рисков" до "Создания безопасной платежной системы" и "Совершенствования уголовно-процессуального законодательства"), что только их перечисление занимает несколько страниц на сайте "Инфофорума" (www.infoforum.ru). Ограничимся лишь общим впечатлением.
На конференции первые (или вторые) лица организаций-участников изложили принятые концепции и перспективные планы по тем или иным направлениям государственной политики в области защиты информации. Не обошлось и без тематических презентаций известных западных и российских производителей средств обеспечения безопасности. Отметились все, кто имеет хоть какое-то отношение к защите информации: Sun, SAP, Cisco, Microsoft, IBM, IBS, "Элвис+", DeLight, "Атлас" и "Атлас-Северо-Запад", "ИнфоТекс", "Свемел", "Ай-Ти", "Техносерв А/C" и т. д. Полный список докладчиков приведен на сайте "Инфофорума".
На отдельных секционных заседаниях поднимались и весьма острые проблемы. Так, на секции, обсуждавшей защиту информации в кредитно-финансовой сфере, были высказаны серьезные претензии к государственным органам стандартизации в связи с отсутствием национальных стандартов по криптоалгоритмам. Большое недовольство выразили и пользователи (представители банков и промышленных структур) по поводу закона об электронно-цифровой подписи; по мнению Александра Велигура, председателя комитета по информационной безопасности Ассоциации российских банков, он "не отвечает интересам клиентов, мешает работать банкам и требует серьезной доработки".
Некоторым "возмущением на общем фоне гладкости", о котором нельзя не упомянуть, стала секция, посвященная ГОСТ Р ИСО/МЭК 15408-2002, принятому недавно в качестве национального стандарта безопасности и назначенному к внедрению с 2004 г. Здесь поднимались практические вопросы и выяснялись пока непонятные для многих требования утвержденного ГОСТа, вызывая порой бурные дискуссии. Но выступления заместителя начальника отдела лицензирования и сертификации Гостехкомиссии России Игоря Калайды, а также представителей компании "Центр безопасности информации" Александра Трубачева и Марка Кобзаря (ЦБИ занимается сертификацией защищенных продуктов) расставили по своим местам старые РД и новые "Общие критерии". Сертификация на соответствие последним, вероятно, станет обязательной для некоторых применений не раньше марта, после соответствующего решения Совета безопасности и выхода постановлений правительства или поправок к закону. А первые пока продолжают действовать на основании ст. 5 закона "О техническом регулировании".
Специалисты ЦБИ определили также основные составляющие (в том числе и созданные Гостехкомиссией документы) ГОСТа 15408, их структуру, назначение и, главное, методики их применения. И хотя методологическая основа до конца не разработана (по словам г-на Калайды, недоработка составляет 5% от необходимого объема документации), сертификация продуктов по "Общим критериям" уже началась. Первыми ласточками стали межсетевой экран Z-2 ("Инфосистемы Джет", класс ОУД4+) и ОС Windows XP (Microsoft, ОУД1 по причине отсутствия исходных текстов), в работе - межсетевой экран Enterprise Firewall компании Symantec. Обсуждая завершенные уже процедуры сертификации, проводившие их представители ЦБИ отметили, что основная роль в этом процессе сместилась в сторону подготовки документов создателями продукта. Это, по их мнению, безусловно приведет к тому, что по мере того как специалисты будут овладевать новыми методиками, будут значительно сокращаться и сроки испытаний, а значит, ускорится получение сертификата.
Отрадно и то, что, приняв международный стандарт, отечественные структуры намерены также в ближайшее время подписать соглашение о взаимном признании сертификатов безопасности со странами, где он стал национальным. В этом случае, во-первых, российские компании-пользователи смогут сэкономить средства, а во-вторых, наши разработчики средств защиты получат возможность "облегченного" выхода на зарубежные рынки стран, "ставших под флаг" "Общих критериев".
На итоговом пленарном заседании конференции организаторы заверили участников, что все поднятые вопросы не останутся без ответа и будут рассмотрены на межведомственной комиссии Совета безопасности РФ.