ГОСРЕГУЛИРОВАНИЕ
Некоторые итоги "Инфофорума"
Сергей Гриняев, Игорь Локотцов, Олег Казакевич
О планах и реальности
В сегодняшнем глобализирующемся мире нельзя говорить об успешном развитии экономики без всестороннего и всеобъемлющего использования информационных технологий. Кроме того, поступательное и устойчивое развитие любой экономики невозможно без отлаженного и четко функционирующего кредитно-финансового механизма. Масштабное внедрение ИТ в кредитно-финансовую сферу России способно существенно повысить эффективность и качество работы всей банковской системы и обеспечить тот потенциал, который поможет решить задачу удвоения ВВП в ближайшие годы.Однако, как показывает практика, в стране сложилась ситуация, когда ИТ не только не способствуют росту экономики, но иногда и затрудняют его. Причин тому несколько, но главнейшая из них - неадекватное восприятие самой природы информационной сферы жизнедеятельности общества. Сегодня это выразилось в том, что деятельность государства направлена не столько на развитие этой перспективной сферы, сколько на регулирование по сути еще не сложившейся области деятельности.
Факторы, сдерживающие применение ИТ в банковской деятельности
Не так давно в Москве закончила свою работу IV всероссийская конференция "Информационная безопасность России в условиях глобальногинформационного общества", больше известная как "Инфофорум". В ряду подобных мероприятий эта конференция выделяется прежде всего высоким статусом организаторов: Совет Безопасности РФ, ФСБ, Гостехкомиссия России, Торгово-промышленная палата и др. Во многих случаях по характеру проведения очередного "Инфофорума" можно судить о тех или иных изменениях в государственной политике в области безопасности информационных технологий. Вот и на этот раз важной особенностью конференции стало то, что в ее рамках была организована специализированная секция, посвященная обсуждению проблем информационной безопасности кредитно-финансовых организаций России.
Что же заставило банки прийти на форум? А может быть, это жест со стороны власти, приглашающей бизнес к сотрудничеству? Постараемся ответить на эти вопросы.
Суть проблемы
Изучение вопросов, затрагивающих интересы кредитно-финансовых организаций в области информационной безопасности и защиты информации показывает, что, с одной стороны, они сводятся к потребности в обеспечении легитимности ранее принятых технических решений, а с другой - заключаются в выборе обоснованных решений по минимизации риска финансового ущерба от несанкционированных действий в автоматизированных банковских системах.
По нашему мнению, выбор обоснованных решений по защите информации можно отнести к прерогативе самих банков как ее собственников. Это не только укладывается в логику развития рыночных отношений, но и соответствует требованиям той части российского законодательства, которая определяет, что собственник должен заботиться и нести ответственность за сохранностимеющейся у него информации. Здесь для банка важно иметь инструментарий, позволяющий выбрать решения и оценить их в соответствии с критерием эффективность - стоимость, причем, как показывает опыт, составляющая стоимость зачастую для коммерческого банка является определяющей.
Проблема обеспечения легитимности принятых решений непосредственно вытекает из необходимости учета социальной значимости банковской деятельности. Напомним, что объем расчетов, проходящих через российскую банковскую систему, десятикратно превышает отечественный ВВП. Кредиты, предоставленные коммерческими банками предприятиям и организациям, составляют сегодня 40% от банковских активов, или около 14% ВВП.
К сожалению, отсутствие диалога с федеральной властью привело сегодня к возникновению ряда серьезных проблем в рассматриваемой области. Процесс законотворчества идет без привлечения банковского сообщества, и многие решения обременяют бизнес, а не способствуют его развитию. Самый яркий пример - ситуация, сложившаяся вокруг закона об электронно-цифровой подписи.
Стремление отстоять ведомственные интересы при проведении сертификации, лицензирования, стандартизации и при использовании другимеханизмов регулирования рынка услуг по информационной защите привело к тому, что исчезла свобода в выборе ИТ и в результате существенно снизились темпы развития. Вместе с тем активность регулирующих органов в рассматриваемой нами сфере в ближайшие годы будет скорее всего только возрастать, что может повлечь за собой и новые проблемы.
Как реализуется госполитика в области информационной безопасности?
К числу наиболее значимых, структурообразующих нормативно-правовых актов последних лет следует отнести федеральные законы "О лицензировании отдельных видов деятельности" и "О техническом регулировании", ГОСТ Р 15408, а также работы, проводимые Банком России по созданию стандартов информационной безопасности.
Очевидно, что все результаты законотворчества есть реализация государственной политики в этой весьма специфичной области. Сегодня госполитика информационной безопасности и защиты информации реализуется соответственной государственной системой, объединяющей Совет Безопасности, ФСБ, Гостехкомиссию и другие органы исполнительной власти. При этонеобходимо учитывать, что работают в ней, как правило, специалисты с опытом защиты государственной тайны, где во главу угла ставятся критерии эффективности и надежности, а вопросы стоимости не являются принципиальными. В то же время вместе с рынком появились коммерческая и банковская тайны, специфика которых отлична от специфики государственной тайны. К сожалению, сегодня эти отличия не находят достаточного отражения в нормативно-правовых актах и, таким образом, в государственной системе обеспечения информационной безопасности, оперирующей понятием "государственная тайна", в одностороннем порядке, без участия коммерческих организаций, создаются и напрямую проецируются на рынок требования и к конфиденциальной информации.
В результате буквальное выполнение, например, требований федерального закона "Об электронно-цифровой подписи" кредитно-финансовыми организациями парализует систему расчетов. По этому вопросу в своем выступлении на "Инфофоруме" начальник отдела информационной безопасности Сбербанка России С. Н. Бондарев отметил следующее: "+в настоящее время в России сложилась парадоксальная ситуация, когда прямо-таки на ровном месте искусственно стала нелегитимной вся "кровеносная" система денежных потокостраны, в создание и обеспечение безопасности которой были вложены огромные интеллектуальные и материальные ресурсы. Теперь по чисто формальной причине требуется всю эту систему перестроить, вложив неизмеримо больше средств и ресурсов, получив дополнительные информационные риски и накладные (эксплуатационные) расходы и не устранив тем не менее юридических рисков, связанных с невозможностью добиться разумными мерами полного соответствия банковских систем электронного документооборота всем положениям Закона об ЭЦП".Коммерческим банкам сегодня нужны не стандарты с системой оценки соответствия этим стандартам, а условия, в которых они как собственники информации могли бы самостоятельно выбирать решения, соответствующие их представлениям о защите информации.
Описанная ситуация и объясняет, почему между рынком, стремящимся максимально использовать возможности современных технологий, и федеральными органами власти возникла стена непонимания. Сегодня каждый, кто так или иначе вовлечен в круг проблем обеспечения информационнобезопасности и защиты информации, трактует само понятие "защита информации" только в том аспекте, который соответствует его задачам, не обращая внимания на окружающих.
А чего хотят банки?
Закономерно, что положение дел с защитой информации в банковском секторе экономики должно соответствовать существующему в государстве подходу к обеспечению информационной безопасности. Однако ужесточение регулирования вопросов защиты информации со стороны государственных и надзорных органов привело к тому, что сегодня у коммерческих банков при использовании автоматизированных банковских систем возникает ряд серьезных проблем, к числу которых следует отнести:
-принятие законов, выполнение которых нереально при осуществлении банковской деятельности в силу их противоречия и неоднозначной трактовки основных положений;
-нелегитимность большинства технических решений, уже реализованных в банках;
- отсутствие у банков права и возможностей в выборе решений, соответствующих их, как собственников информации, представлениям о необходимости и достаточности мер защиты;
- отсутствие методических рекомендаций по построению легитимных систем защиты информации.
Ситуация осложнена неопределенностью с разработкой законов "О персональных данных", "О коммерческой тайне", постановлений Правительства Российской Федерации о лицензировании деятельности удостоверяющих центров, а также нормативных правовых документов, связанных с вступлением в силу федерального закона "О техническом регулировании".
Второй год идет апробация "Общих критериев". В январе текущего года вступил в силу ГОСТ 15408, призванный заменить устаревшие руководящие документы Гостехкомисии России. Однако остается неясным вопрос о присоединении России к Международному соглашению о взаимном признании сертификатов, выданных в рамках "Общих критериев" на изделия информационных технологий для обработки конфиденциальной информации.
Перечисленные выше проблемы банковского сообщества выявлены нами в ходе семинаров, круглых столов, а также анкетирования банков. Так, в опросе, проведенном осенью 2003 г., приняли участие около 200 представителей кредитно-финансовой сферы, страховых компаний и компаний-интеграторов.
Полученные данные позволяют говорить о том, что решение проблем в сфере информационной безопасности 69% банков связывают с нормативно-правовыми вопросами, 82% заинтересованы в учебно-методических разработкапо выбору продуктов для защиты информации, 89% считают необходимым разработать методы оценки экономической эффективности таких продуктов. И только 30% связывают свои проблемы с техническими трудностями!
Из результатов опроса следуют интересные выводы:
- проблемы технического характера значительно меньше интересуют банки по сравнению с нормативно-правовыми вопросами и вопросами стоимостных оценок затрат на решения по защите информации;
- более половины банков заинтересованы в кооперации усилий.
В то же время на стороне регулирующих органов превалирует развитие именно технической составляющей в вопросах совершенствования защиты информации. Этим подтверждается наш вывод о том, что регулирующие органы практически не имеют представления о потребностях банковского сообщества.
Сегодняшняя ситуация говорит о том, что при явном наличии общих проблем в вопросах защиты информации отсутствует четкое и ясное взаимодействие заинтересованных в их решении сторон.
Результаты исследований в этом направлении свидетельствуют, что на поддержку банков в решении вопросов в сфере обеспечения информационной безопасности сегодня можно рассчитывать только тогда, когда эти вопросы будут решаться исходя из представления о банке как собственнике, ведущем свой бизнес в рыночных условиях, предоставленных ему государством.
Вместе с тем отстаивание интересов банковского сообщества перед регулирующими органами сегодня затруднено отсутствием четко и однозначнсформулированной позиции самого этого сообщества.
В условиях, когда со своими проблемами банки пытаются бороться в одиночку, не представляется возможным говорить о том, чтобы их интересы учитывались государственной системой обеспечения информационной безопасности. Позиция же выжидания в решении встающих проблем либо их игнорирование только усугубляют ситуацию, поскольку банки остаются один нодин с развивающейся и выдвигающей все новые инициативы государственной машиной. А ведь им однозначно придется нести несоизмеримо большие затраты на удовлетворение требований регулирующих органов, и при этом не факт, что принятые решения будут отвечать интересам банка.
В связи с этим сегодня основной задачей, по нашему мнению, должно являться формирование некоего консолидированного взгляда заинтересованных банков на вопросы информационной безопасности и защиты информации.
Попробуем теперь сформулировать наиболее значимые предложения по стратегии действий банковского сообщества в сфере информационной безопасности.
1. Нужно внести проблемы информационной безопасности в перечень приоритетных направлений деятельности.
2. Особенность проблем информационной безопасности требует сегодня организации и планомерного выполнения специализированного проекта в рамках банковского сообщества. Целями и задачами этого проекта должно стать решение актуальных вопросов в области защиты информации банков на основе консолидированного отношения к проблеме.
При этом крайне важно понимать, что специфика и динамика развития данной ситуации такова, что подобная деятельность должна не только разрешать уже обозначенные проблемы, но прогнозировать и не допускать их появления в будущем.
Первоочередными мероприятиями этого проекта, по нашему мнению, могли бы стать:
- создание добровольной системы сертификации (аттестации), согласованной с контролирующими и регулирующими органами;
- создание инфраструктуры, обеспечивающей для банков легитимизацию решений по защите информации (прежде всего это скорейшее внесение необходимых изменений в Закон об ЭЦП), устранение монополии на средства защиты, а также обеспечение права выбора банка в решении вопросов информационной безопасности и защиты информации.
Во многом решению указанных задач способствует складывающаяся ситуация: действие федерального закона "О техническом регулировании" позволяет организовать собственную систему соответствия, а введение с 1 января 2004 г. ГОСТ 15408 дает возможности по разработке инструментов и средств защиты информации. Не воспользовавшись ситуацией, мы вновь окажемся наедине со своими проблемами.
Учитывая масштабы обозначенных проблем бизнес-сообщества, вполне логично предположить, что участниками проекта станут не только банки, но и разработчики средств защиты информации, автоматизированных банковских систем, системные интеграторы, поставщики оборудования и ПО.
Поднятые здесь вопросы носят комплексный характер и затрагивают те области деятельности банков, которые непосредственно влияют на обеспечение защиты информации. Реализация предложенного подхода на практике возможна только в тесной кооперации. Успех реализации проекта зависит от участия в нем заинтересованных организаций. Мы приглашаем к такому сотрудничеству.
С авторами можно связаться по адресу: ds@mfd.ru.