20/04/2012

Межрегиональная общественная организация «Ассоциация защиты информации» отметила своё 10-летие, проведя 3 апреля 2012 года конференцию «Актуальные проблемы информационной безопасности» в Конгресс-центре Московского технического университета связи и информатики (МТУСИ). Праздничная дата отмечалась в атмосфере «трудовых будней»: участники отрасли явно не собираются почивать на лаврах, а нацелены на решение непростых проблем.

ИНФОРМАЦИОННАЯ ТРАНСМИССИЯ

Технологическое укрупнение производств перешагнуло национальные границы, телекоммуникационные связи объединяют в единые промышленные комплексы сложные автоматизированные промышленные объекты, расположенные в разных частях света. Автоматизируется повседневная жизнь – работа инфраструктуры мегаполисов, движение транспорта, снабжение электроэнергией и водой. В быту большинство людей с трудом мыслят жизнь без удобств мобильной связи, интернета и дистанционных финансовых услуг.

Информация, передаваемая по телекоммуникационным каналам, уже давно «превратилась в материальную силу». Она играет ту же роль, что и рулевые и трансмиссионные механизмы, посредством которых водитель управляет автомобилем. Информационно-коммуникативные технологии помогли многократно увеличить человеческое могущество. Одиночка или узкая группа лиц способны приводить в движение гигантские финансовые активы, обеспечивать работу крупных заводов и даже нанести ракетно-бомбовый удар по чужой стране, отдалённой на тысячи километров.

Защита информации перестала сводиться только к охране государственной, военной, служебной, корпоративной тайны или личной конфиденциальной информации, а превратилась в вопрос своего рода «техники безопасности». Информационная защита помогает предупредить возможные технические сбои в работе автоматизированных систем, исправлять ошибочные действия персонала, тем самым предотвращая техногенные аварии, способные вызвать паралич производств и городской инфраструктуры.

В современном мире, построенном на всеобщей конкуренции, с огромным количеством несогласованных, а зачастую и враждебных друг другу интересов, высоко востребована защита информации от сознательных атак извне. Взломав чужую информационную защиту, можно перехватить управление сложными автоматизированными системами, погрузить в хаос производство и жизнь крупного города, дестабилизировать государственное управление, произвести крупномасштабные диверсии, организовать техногенные катастрофы, обобрать миллионы людей.

Потенциальными злоумышленниками могут быть представители иностранных военных ведомств и спецслужб, транснациональных корпораций, финансовых спекулянтов и инвесторов-«стервятников», международные террористы и организованные группы «высокотехнологичной» преступности, даже просто кибер-хулиганы. В информационной защите нуждаются все – система государственного управления и бизнес, армия, промышленность и транспорт, финансовые учреждения, и, в конечном счёте, каждый гражданин страны.

НЕГОСУДАРСТВЕННЫЕ РЕГУЛЯТОРЫ

С переходом страны к новому государственному устройству вопрос о том, кто и как будет теперь заниматься в новых условиях защитой информации, по ряду причин не был решён с достаточной степенью ответственности. С чем, например, связаны такие беспрецедентные казусы, как передача США схемы уникальной технической системы контроля информации, разработанной для их нового посольства в Москве. Наделение государственных финансовых организаций несвойственными им полномочиями – обеспечивать информационную безопасность – привело к масштабным аферам с фальшивыми авизо.

Финансово-экономические и политические потрясения 1990-х годов наглядно показали, что «свободный рынок» изначально был научной и публицистической абстракцией, использованной как разрушительный пропагандистский штамп. Эти и другие негативные моменты привели к тому, что в «нулевые» годы XXI века возобладала тенденция восстановления централизованного управления страной, в том числе и деятельностью по защите информации. Но практика показала, что, в отличие от самодостаточной планово-распределительной системы, государственное регулирование рынка нуждается в негосударственных «подпорках», в том числе – в бизнес-сообществах, объединяющих ведущие компании и лучших специалистов отрасли.

Отраслевым бизнес-сообществам пришлось явочным порядком принимать на себя необходимые для развития их сектора рынка функции, которые не входили в перечень обязанностей их государственных регуляторов. А именно взять на себя труд достраивать отрасль «снизу», от «фундамента» – бизнеса до «крыши» – государственных регуляторов. Центральной задачей была выработка консолидированной позиции представителей отрасли по важнейшим вопросам, касающихся их коммерческой и профессиональной деятельности. В частности, по вопросам развития законодательства, нормативно-правовой базы, стандартов, надзорной и контролирующей деятельности государственных регуляторов.

Смежной и жизненно важной для бизнеса задачей является продвижение выработанных позиций, лоббирование групповых и индивидуальных интересов своих членов в органах власти. На плечи отраслевых бизнес-сообществ как «негосударственных регуляторов» легли функции организации и проведения деловых мероприятий, содействия обучению и повышению квалификации специалистов, издания специализированной прессы, а также выстраивания отношений с зарубежными контрагентами.

Особо важна роль бизнес-сообществ в тех отраслях, государственное регулирование которых осуществляют несколько ведомств, каждый по своим вопросам. Так, разные аспекты деятельности по информационной защите курируют различные федеральные государственные органы – министерства, службы и комитеты. По линии криптографии – ФСБ России, технических средств защиты информации – ФСТЭК России, развития системы удостоверяющих центров – Минкомсвязь России, защиты персональных данных – Роскомнадзор…

Порой именно бизнес-сообществам приходится помогать выстраивать взаимодействие государственных органов по межведомственным вопросам. Наличие «семи нянек» делает для компаний и организаций особо актуальным наличие единого «негосударственного регулировщика», который помогал бы «разруливать» непростые вопросы, время от времени возникающие в отношениях со всеми этими ведомствами.

КОНКУРЕНТЫ-ЕДИНОМЫШЛЕННИКИ

Вся сложность в том, что у бизнес-сообществ нет ни прямого административного ресурса, ни больших денег. Хотя и имеющихся для решения вопросов ресурсов не так мало. Есть богатый опыт и профессиональный авторитет специалистов, умение правильно понять проблему и найти верное решение, сила убеждения – неопровержимые аргументы и безупречная логика, и, конечно, дипломатическое искусство. Все эти ресурсы нужно отыскать, определить потенциально заинтересованные в сотрудничестве стороны, сформулировать и учесть интерес каждого, спланировать и организовать совместную работу.

В отрасли защиты информации один из таких «негосударственных регуляторов» – Межрегиональная общественная организация «Ассоциация защиты информации» (МОО «АЗИ»), созданная в 2002 году по инициативе ФАПСИ и Гостехкомиссии России. Уставными целями ассоциации стали создание благоприятных условий для реализации потребностей граждан, бизнеса и органов государственной власти в продуктах и технологиях защиты информации.

Бессменный руководитель МОО «АЗИ» генерал-лейтенант Г.В. Емельянов, член-корреспондент Академии криптографии РФ, так оценивает роль ассоциации: «Наши задачи определяются девизом «стоять на страже информационной безопасности». Для этого мы содействуем реализации государственной политики обеспечения информационной безопасности страны, сформулированной в национальной доктрине и федеральных законах, а также создаём благоприятные условия для развития отечественного бизнеса в сфере защиты информации, отстаиваем интересы членов ассоциации».

Входить в ассоциацию и почётно, и полезно, но круг членов МОО «АЗИ» не очень широк, что связано со спецификой отрасли, зато представляют они ключевые регионы нашей страны. Несмотря на то, что на рынке многие периодически выступают конкурентами друг друга, ассоциация работает как настоящий союз единомышленников.

В настоящее время в ассоциации более 80 компаний и организаций различных форм собственности, работающих в области информационной безопасности – разработчиков и производителей технологий и средств обеспечения информационной безопасности, а также поставщиков услуг в этой сфере.

Компании, входящие в ассоциацию, предоставляют полный комплекс услуг по созданию и сопровождению интегрированных комплексных систем безопасности. Среди персональных членов МОО «АЗИ» немало людей с опытом работы в тех самых ведомствах, которые регулируют отрасль, что позволяет ассоциации успешно и активно взаимодействовать с аппаратом Совета безопасности России, а также вышеупомянутыми государственными регуляторами и другими ведомствами. Ведётся взаимодействие и сотрудничество с другими бизнес-сообществами.

НАСТРОЙ НЕ ЮБИЛЕЙНЫЙ

Список отраслевых деловых мероприятий, в организации которых участвует МОО «АЗИ» достаточно внушительный – в год несколько десятков форумов, выставок, конференций, семинаров, «круглых столов». Возможно, поэтому 10-летие ассоциации решили отметить проведением отраслевой конференции «Актуальные проблемы информационной безопасности». Докладчики – лучшие специалисты – представители ведущих компаний и организаций отрасли, рассказали о достижениях, оценили перспективы, обрисовали проблемы и обозначили предлагаемые решения. Центральный доклад о положении дел в отрасли защиты информации сделал доктор технических наук Валерий Конявский – научный руководитель Всероссийского научно-исследовательского института проблем вычислительной техники и информатизации (ВНИИ ПВТИ).

На конференции обсуждались наиболее актуальные и перспективные направления развития отрасли, вырабатывались рекомендации для участников рынка информационной безопасности. Дискуссии велись по широкому перечню вопросов, включая стандартизацию информационной безопасности, изменение порядка ввоза-вывоза криптографических средств после вхождения России во Всемирную торговую организацию, развитие PKI-технологий и защита персональных данных, различные аспекты информационной безопасности государственных услуг, социальных сетей и облачных вычислений, образовательная и кадровая политика.

И на пленарном заседании, и на круглом столе по стандартизации информационной безопасности отметили сближение принципов разработки российских законов и стандартов с зарубежной практикой, обусловленное интеграцией нашей экономики с мировой. Процесс адаптации сложен, но российская нормативно-правовая база всё больше соответствует международным правилам, в том числе в информационной безопасности. Выступавшие демонстрировали готовность участвовать в разработке как отечественной нормативно-правовой базы, регламентирующей защиту информации, так и международных стандартов в этой сфере.

Выступления не носили парадно-помпезного «юбилейного» характера, напротив, многие вопросы ставились остро, и оценки давались нелицеприятные. Резкой критике были подвергнуты существующие недостатки организации дистанционного банковского обслуживания. Аббревиатуру ДБО, по мнению докладчика, можно расшифровывать как «дешево, быстро… опасно!». В подтверждение была приведена удручающая статистика роста хищения в российском ДБО: в 2011 году – более чем вдвое по сравнению с предшествовавшим годом.

Было отмечено, что, по мере развития информационного общества, сервисов электронных государственных услуг и платежей в России, актуализируется необходимость проведения через средства массовой информации просветительской работы среди населения о правилах защиты информации. Что по силам скорее ассоциациям, особенно при поддержке регуляторов, чем отдельным компаниям.

Прозвучал смелый прогноз о возможной в ближайшие 5 лет смене парадигмы защиты информации – и логики, и технических средств. Связано это с развитием облачных технологий и возможным вытеснением настольных компьютерных систем мобильными устройствами и моноблоками, построенными на архитектурах, отличных от x86, и с операционными системами на основе Linux.

В сфере профессионального обучения отмечался кадровый дефицит специалистов по защите информации среднего уровня, из-за чего высококлассные специалисты вынуждены заниматься рутиной. Выход видится в мобилизации кадрового потенциала МОО «АЗИ» на организацию дистанционного обучения и переподготовки кадров с акцентом на системы информационной безопасности в целом, а не на эксплуатацию конкретных продуктов, чем грешат корпоративные учебные центры.

За 10 лет активной работы МОО «АЗИ» получила широкое признание как одна из весьма авторитетных профессиональных площадок, консолидирующая экспертов в вопросах информационной безопасности. Стратегическая установка на предвосхищение, прогнозирование угроз позволяет заблаговременно выстроить нейтрализующие механизмы, чтобы предупреждать возможные инциденты. Благодаря такому подходу деятельность по защите информации становится эффективным инструментом обеспечения информационной безопасности.