
О нас \| История и Успехи \| Миссия \| Манифест
Сети МСоЭС

  Члены МСоЭС
  Как стать
  членом МСоЭС
Дела МСоЭС

  Программы МСоЭС
  Проекты и кампании
   членов МСоЭС

СоЭС-издат

  Новости МСоЭС
  "Экосводка"
  Газета "Берегиня"
  Журнал Вести СоЭС
  Библиотека
  Периодика МСоЭС
Предыдущий выпуск | Архив | Следующий выпуск
     ##################################################################
    ##########      ЭКОЛОГИЯ И ПРАВА ЧЕЛОВЕКА       ****************##
   #######**** ****************************************************##
  ####  Сообщение ECO-HR.1894, 11 октября 2005 г. ****************##
 ##################################################################
                                           Право на разумные законы



                ИНФОРМАЦИОННЫЕ ЗАЩИТНИЧКИ - ПРИ ДЕЛЕ


    Технические регламенты - главная проблема отрасли безопасности
    В Сочи прошла IV ежегодная всероссийская конференция <Обеспечение
информационной безопасности. Региональные аспекты>, собравшая около трехсот
специалистов в области защиты информации. В отличие от других мероприятий,
на которых внимание уделяется больше глобальным вопросам и техническим
решениям, в Сочи акцент делается на проблемах регламентирования отрасли ИБ
в России.
    Конференция в Сочи отличается от других мероприятий тем, что в ней
активно принимают участие государственные структуры, определяющие развитие
отрасли. В этом году мероприятие поддержали аппарат совета безопасности,
аппарат полномочного представителя президента в ЮФО, министерство
информационных технологий и связи, министерство обороны, МВД, ФСБ,
федеральная служба по техническому и экспортному контролю, федеральное
агентство по информационным технологиям, федеральная служба по финансовому
мониторингу, федеральное агентство связи, <Ассоциация защиты информации>,
ассоциация <ЕВРААС>.
    Организатор конференции - <Академия информационных систем>.
    47% участников конференции представляли собой руководящий состав, что
говорит о ее высоком статусе. Безусловно, трех рабочих дней было
недостаточно, даже для того, чтобы обсудить все запланированные вопросы, но
тот факт, что ежегодно увеличивается как количество участников, так и их
качественный состав говорит как об актуальности проблем защиты информации,
так и о том, что организаторы правильно выбирают темы для обсуждений.
    Коротко о главном
    Пленарное заседание впечатлило составом выступающих. Традиционно открыл
конференцию Юрий Лаврухин, начальник управления федеральной службы по
техническому и экспортному контролю (ФСТЭК). С приветственными словами к
участникам конференции обратились Владислав Шерстюк, помощник секретаря
совета безопасности, Борис Мирошников, начальник бюро специальных технических
мероприятий МВД, Михаил Мусатов, заместитель председателя комитета по обороне
государственной думы, Андрей Ивашко, начальник управления 8 центра ФСБ,
Вячеслав Оранжереев, советник министра информационных технологий и связи.
    Владимир Карпачев, секретарь совета по информатизации аппарата
полномочного представителя президента в ЮФО и Юрий Лаврухин, начальник
управления федеральной службы по техническому и экспортному контролю
    В ходе заседания были определены основные векторы развития отрасли,
главным из которых стало ее законодательное регулирование. Кроме того, из
уст руководителей крупных государственных структур прозвучали цифры, которые
они обычно стараются не озвучивать. В частности говорилось о том, что 90%
всех средств защиты информации, используемых на территории России, имеет
иностранное происхождение, что российские банки в прошедшем году понесли
ущерб в $20 млн. от мошенничества с кредитными картами, а органы госвласти
около полутора миллионов раз подвергались атакам через интернет.
    Борис Мирошников отмечал, что МВД не хватает ИТ-специалистов, а компании,
подвергшиеся атакам, мало сотрудничают с органами. По его словам, для
решения последней проблемы МВД собирается провести анонимное анкетирование
российских организаций, чтобы иметь четкое представление о возникающих у них
проблемах в сфере защиты информации.
    Юрий Бородакий, директор ФГУП <Концерн Системпром>, член-корреспондент
Российской академии наук, говорил о том, что для полноценного
нормативно-правового регулирования отрасли необходим целый ряд отсутствующих
в настоящий момент законов. Он приводил пример с базами данных, когда
российские компании и организации, владеющие конфиденциальной информацией,
не несут никакой ответственности в случае утечки.
    Неурегулированная безопасность В главной секции конференции обсуждались
вопросы регулирования отрасли. В нынешнем году прошли публичные обсуждения
проектов технических регламентов <О безопасности информационных технологий>
и <О требованиях к средствам обеспечения безопасности информационных
технологий>. Данная секция стала наиболее проблемной и собрала свыше 70
участников.
    Владислав Шерстюк, помощник секретаря совета безопасности
    Больше двух лет назад вступил в силу федеральный закон No 184-ФЗ <О
техническом регулировании>, который охватывает практически все сферы
экономической деятельности, в том числе и деятельность по защите информации.
Согласно этому закону все обязательные требования должны иметь форму
технических регламентов. От требований к обеспечению качества будет совершен
переход к требованиям обеспечения безопасности продукции и связанных с ней
процессов. Все остальные вопросы, касающиеся качества продукции или ее
потребительских свойств, не связанные с обеспечением безопасности, будут
решаться производителем на добровольной основе.
    Согласно закону <О техническом регулировании> к 2010 г. должен быть
совершен переход от ГОСТОв, ОСТов, СНиПов, СанПИНов и др. к техническим
регламентам, которые будут иметь статус законов. Сегодня в стадии разработки
находятся более 100 регламентов, однако ни один их них не был утвержден
государственной думой.
    Необходимость этого шага определялась острой нуждой в реформировании
системы технического регулирования. В частности, в области защиты информации
большая часть документов была разработана более 10 лет назад, и ранее
утвержденные требования к обеспечению защиты информации носили разрозненный
характер.
    Кроме того, не было единого документа, позволяющего проводить процедуры
оценки соответствия средств и систем защищенных информационных технологий.
В рамках данной реформы правительством была утверждена программа разработки
технических регламентов на 2004-2006 годы, а победителем открытого конкурса
на разработку технических регламентов в сфере информационной безопасности,
проводившегося министерством промышленности и энергетики, выиграл в апреле
2005 г. ФГУП НИИ <Восход>.
    Секция, посвященная техническим регламентам, была организована
ассоциацией <ЕВРААС> и ФГУП НИИ <Восход>, и имела наибольший резонанс на
конференции. Обсуждения данной проблемы продолжались в кулуарах на протяжении
всей конференции. В секции принимали активное участие представители ФСТЭК,
министерства обороны, федерального агентства по информационным технологиям,
а также представители организаций, которые имеют отношение к разработке
технических регламентов.
    В рамках конференции разгорелись горячие споры вокруг терминологии,
используемой в документах и категорирования ущерба, согласно которому
определяются требования к системам защиты. Отмечалось, что некорректно
определена сфера применения и объекты технического регулирования, многие
понятия сформулированы либо нечетко, либо противоречат друг другу, отдельные
пункты несут в себе одно и то же содержание и т.д.
    По мнению участников обсуждения, недостаточно внимания разработке
регламентов уделяется со стороны владельцев автоматизированных систем. Когда
регламенты вступят в силу, уже будет нельзя что-либо изменить. Сейчас, на
стадии публичных обсуждений, каждый заинтересованный может внести свои
замечания в части содержания разрабатываемых документов.
    С проектами технических регламентов можно ознакомиться на сайте ФГУП НИИ
<Восход>. Там же приведены официально полученные предложения и замечания к
проектам, а так же есть возможность высказать свое мнение.
    Во второй части секции прошли публичные обсуждения <Стандарта
предпринимательской деятельности> ассоциации <ЕВРААС>. Несмотря на то, что
стандарт носит рекомендательный характер и отчасти напоминает, как отметил
один из участников, этический кодекс компании, он получил одобрение.
Участники обсуждения неоднократно отмечали, что стандарт нуждается в
значительной доработке. Однако было принято решения парафировать документ,
что, по мнению его создателей, должно значительно ускорить процесс его
доработки.
    Биометрические паспорта для россиян
    В рамках другой секции, которая обещала быть не менее интересной, был
организован круглый стол, посвященный вопросам применения биометрических
технологий. В частности, планировалось обсудить применения биометрии в
паспортно-визовых документах.
    К сожалению, в заседании не смог принять участие главный конструктор
государственной системы изготовления, оформления и контроля
паспортно-визовых документов нового поколения Александр Панкратов,
заместитель руководителя федерального агентства по информационным
технологиям. Поэтому на многие вопросы поневоле пришлось отвечать ведущему
секции Александру Гермогенову, заместителю начальника центра специальной
связи ФСБ России.
    Участников круглого стола интересовал прежде всего открытый конкурс по
отбору исполнителей работ в рамках создания государственной системы
изготовления, оформления и контроля паспортно-визовых документов нового
поколения (I этап 2005 года), который был объявлен 11 июля этого года. Эти
работы (лот No 1/3) закреплены были за министерством информационных
технологий и связи и финансировались за счет средств федерального бюджета
(утвержденный лимит составляет 736 млн. руб.). Как стало известно на днях,
в конкурсе на создание паспортов нового поколения с биометрическими данными
победило ФГУП "НИИ <Восход>.
    Борис Мирошников, начальник бюро специальных технических мероприятий
МВД и Александр Гермогенов, заместитель начальника центра специальной связи
ФСБ России
    Если охарактеризовать предстоящий объем работ в целом, то при создании
государственной системы изготовления, оформления и контроля
паспортно-визовых документов (далее - системы) предстоит в сжатые сроки
обеспечить на качественно новом уровне автоматизированное информационное
взаимодействие ряда федеральных органов исполнительной власти (включая
федеральную миграционную службу, министерство иностранных дел, пограничную
службу ФСБ, министерство обороны, федеральное агентство морского и речного
транспорта, федеральное агентство по рыболовству), а также международный
информационный обмен с компетентными органами иностранных государств в сфере
оформления и контроля ПВД.
    В целях интеграции ведомственных автоматизированных систем в единое
информационное пространство предстоит создать межведомственный сегмент
системы, включающий в себя следующие компоненты:
 * центр изготовления паспортно-визовых документов, в том числе, с
использованием биометрической информации;
 * центр персонализации паспортно-визовых документов нового поколения;
единую телекоммуникационную инфраструктуру системы;
 * удостоверяющий центр системы в области электронной цифровой подписи и
центры регистрации ЭЦП;
 * центр технологического обеспечения и антикризисного управления системы;
 * орган криптографической защиты системы;
 * центр обучения пользователей системы.
    Все вышеперечисленные работы должны быть выполнены в 2005 году. В начале
2006 года в Калининградской области и Москве планируется запустить пилотные
зоны по выдаче паспортов нового образца.
    Серьезной проблемой, с которой в будущем могут столкнуться российские
власти, является несовершенство нашего законодательства в части биометрии.
В ходе круглого стола было предложено рекомендовать заинтересованным
ведомствам приступить к переработке закона <О государственной
дактилоскопической идентификации>, в частности, сделать ее обязательной.
Предположительно уже в конце 2006 г. въезд в страны Шенгенского соглашения
будет возможен только по биометрическим паспортам. Поэтому наших граждан
также волнует вопрос: когда же россиянам стоит ожидать появления
загранпаспортов нового поколения? План первоочередных организационных
мероприятий по введению в Российской Федерации паспортно-визовых документов
нового поколения, утвержденный Правительством России 12 марта 2005 г.,
ориентирован на то, чтобы внедрить все технологические решения до конца 2006
года. Как раз к тому времени, когда паспорта с биометрической информацией
будут введены в Европе, планируется начать изготовление и выдачу документов
нового образца на всей территории нашей страны.
    За кадром
    Помимо уже обозначенных вопросов в рамках конференции были
организованы секции, посвященные обеспечению информационной безопасности в
ключевых системах, проблемам обеспечения ИБ инфокоммуникационных сетей и
противодействию мошенничеству в сетях связи, в рамках которых своим опытом
делились представители ВНИИАС МПС России, ГНИИ министерства обороны, ОАО
<РЖД>, ОАО <МГТС> и многие другие.
    Eжегодно увеличивается как количество участников конференции, так и
качественный состав
    Также прошла секция, посвященная сертифицированным интегрированным
решениям в области защиты информации и управлению информационной
безопасностью. В рамках данной секции необходимо отметить повышенное
внимание всех участников к стандарту ISO/EC 17799 Information Security
Management (управление информационной безопасностью), который стремительно
набирает популярность в России.
    Кроме того, в рамках конференции прошел практический семинар <Решения
по ИБ компании Microsoft>, где рассказывалось о новых технологиях защиты
информационных ресурсов предприятия и проводились практические занятия.
Нерегиональные аспекты Представители <Академии информационных систем>,
которая выступает главным организатором конференции, неоднократно отмечали,
что отличительной особенностью мероприятия является его <заточенность> на
региональные аспекты информационной безопасности. Тем не менее, по итогам
конференции оказалось, что был недостаток как раз в регионах. Кроме того,
среди докладчиков представители регионов практически отсутствовали.
    В качестве пожелания организаторам конференции можно вынести предложение
расширить круг докладчиков представителями потребителей средств защиты -
полезно было бы услышать их мнение о том, чем могут государство и
производители помочь в решении возникающих у них вопросов. Такое предложение
связано с тем, что большая часть докладов в рамках конференции была сделана
либо представителями структур, занимающихся регулированием отрасли, либо
компаниями, чья деятельность связана с защитой информации.
    Следующая, юбилейная для сообщества информационной безопасности,
конференция запланирована на сентябрь 2006 г.
           И.Разумов / CNews.ru: Аналитика, 10.10.2005
           http://www.cnews.ru/newcom/index.shtml?2005/10/10/189110

**************************************************************
* Бюллетень выпускается Союзом "За химическую безопасность"  *
*                       (http://www.seu.ru/members/ucs)      *
* Редактор и издатель Лев А.Федоров.   Бюллетени имеются на  *
* сайте:     http://www.seu.ru/members/ucs/chemwar           *
* **********************************                         *
* Адрес:  117292 Россия, Москва, ул.Профсоюзная, 8-2-83      *
* Тел.: (7-095)-129-05-96, E-mail: lefed@online.ru           *
**************************     Распространяется              *
* "UCS-PRESS" 2005 г.    *     по электронной почте          *
**************************************************************
Предыдущий выпуск | Архив | Следующий выпуск
404 Not Found
nginx/1.24.0