Ключевые проблемы обеспечения безопасности Национальной информационной инфраструктуры

А.А. Кононов, Д.С. Черешкин


Введение

Процессы глобальной информатизации привели к тому, что современное общество постепенно приобретает практически полную зависимость от состояния безопасности информационной инфраструктуры. Высокая уязвимость национальной информационной инфраструктуры (НИИ) позволяет недружественным государствам, террористическим организациям, криминальным группам и отдельным злоумышленникам нанести стране ущерб, сопоставимый с воздействием оружия массового поражения.

Это обстоятельство требует разработки комплекса мероприятий по созданию общенациональной системы обеспечения безопасности критически важных сегментов и объектов НИИ на основе единого методологического подхода к идентификации критически важных сегментов и выбору методов и средств повышения их защищенности.

В нашей стране работы по решению проблемы повышения защищенности НИИ ведутся недостаточно интенсивно. Эти работы проводятся различными ведомствами, как правило, без общей координации этой деятельности со стороны государства. В результате неэффективно тратятся большие средства, отсутствует государственный контроль над этой важнейшей сферой обеспечения национальной безопасности.

Первым шагом к формированию общегосударственного подхода к решению проблем защиты НИИ должна явиться разработка общей методологии выбора критически важных сегментов НИИ и единого подхода к обеспечению их эффективной защиты.

Дадим определения используемых терминов и понятий.

Под Национальной информационной инфраструктурой понимается совокупность всех принадлежащих стране (государству, его гражданам и юридическим лицам) или находящихся в ее распоряжении (на ее территории) компьютерных систем, сетей связи и информационных ресурсов, хранящихся и обрабатываемых в электронной форме, а также организаций, обеспечивающих целенаправленное функционирование всех составляющих НИИ.

Под критически важными сегментами и объектами (КВСО) понимаются такие подсистемы и объекты НИИ, поражение которых наносит существенный ущерб функционированию экономики, национальной безопасности и национальным интересам страны.

К настоящему времени в мире сформировалась определенная система взглядов на проблему обеспечения безопасности КВСО и понимание того, что именно инфраструктурные отрасли, и, прежде всего, информационно-телекоммуникационная инфраструктура, становятся наиболее уязвимыми областями национальной безопасности.

1. Состояние проблемы обеспечения безопасности КВСО российской информационной инфраструктуры (РИИ)

В России сегодня нет единой программы обеспечения безопасности КВСО РИИ. Не существует государственной организации, ответственной за решение проблемы в целом, за обеспечение защищенности всей российской информационной инфраструктуры. О непонимании значимости данной проблемы можно судить по двум фактам: во-первых, в ФЦП "Электронная Россия" практически нет выделенных мероприятий по обеспечению информационной безопасности; во-вторых, в подготовленном проекте Федеральной программы реализации первоочередных мероприятий Доктрины информационной безопасности Российской Федерации такой раздел отсутствует.

В известной степени это состояние определяется мнением, что уровень общего развития РИИ существенно ниже, чем в большинстве развитых стран и, соответственно, для России проблема защиты КВСО РИИ не имеет столь высокой важности, как для развитых стран.

Однако это глубокое заблуждение. Уже сегодня в стране все системы жизнеобеспечения общества и государства базируются на широком использовании единой информационной инфраструктуры. Более того, результаты реализации уже первого этапа работ по ФЦП "Электронная Россия" должны значительно повысить значимость РИИ для жизнедеятельности общества. Например, создание систем электронного документооборота в государственном секторе, развитие системы электронной коммерции, системы банковских расчетов и т.д. значительно повысят зависимость многих сфер деятельности от уровня обеспечения безопасности КВСО РИИ.

Нетрудно убедиться, что вывод из строя любого существенного элемента информационной инфраструктуры может привести к невосполнимому ущербу и катастрофическим последствиям.

Приведем базовую систему критериев, на которых должна основываться идентификация критически важных сегментов РИИ (табл.1).



Сегмент информационной инфраструктуры является критически важным, если нарушение его безопасного функционирования может повлечь за собой хотя бы одно из следующих последствий:
1) нарушение управляемости государства или региона;
2) нанесение ущерба авторитету государства, в том числе на международной арене;
3) нарушение законодательства или договоров, в том числе международных;
4) нарушение стабильности финансовой или банковской систем;
5) нанесение крупного экономического ущерба предприятиям и организациям – государственным и частным;
6) нарушение боеготовности и боеспособности Вооруженных сил;
7) массовые нарушения правопорядка;
8) раскрытие государственных секретов, конфиденциальной научно-технической и коммерческой информации;
9) непредотвращение террористических актов;
10) нарушение систем обеспечения жизнедеятельности городов и населенных пунктов;
11) аварии и катастрофы регионального масштаба;
12) гибель и физическое травмирование людей;
13) разрушение и заражение среды обитания;
14) крупномасштабное уничтожение национальных ресурсов (природных, сельскохозяйственных, продовольственных, производственных, информационных);
15) остановка непрерывных производств.
Табл. 1. Базовая система критериев идентификации критически важных сегментов РИИ.

Локализация этой системы критериев должна проводиться на основе анализа спектра аварий, чрезвычайных и катастрофических событий, которые могут произойти в результате нарушения безопасности КВСО РИИ, и последствий этих событий, выражаемых в экономическом, материальном и нематериальном ущербе, а также в показателях ухудшения условий жизни и деятельности в регионе. Таким образом, первым и важнейшим шагом в идентификации критических сегментов (КС) является определение по возможности наиболее полного списка событий, которые могут иметь нежелательные, необратимые или катастрофические последствия. Такого рода события в дальнейшем будем называть событиями риска.

Все предприятия, организации, а так же территориальные единицы в совокупности с автоматизированными информационными системами, которые их обслуживают и в которых возможно возникновение событий риска в результате нарушения их ИБ, должны быть идентифицированы как КВСО РИИ. Ниже приведен список возможных составляющих РИИ, которые могут быть идентифицированы как критически важные сегменты и объекты (табл. 2).



Составляющие российской информационной инфраструктуры, которые могут быть идентифицированы как критически важные сегменты:
1. Информационные и телекоммуникационные системы и сети органов государственной власти федерального, регионального и местных уровней.
2. Информационные и телекоммуникационные системы и сети банковской и финансовой сферы.
3. Информационные и телекоммуникационные системы и сети силовых министерств и ведомств.
4. Автоматизированные системы, информационные и телекоммуникационные системы и сети предприятий и организаций электроснабжения.
5. Автоматизированные системы, информационные и телекоммуникационные системы и сети предприятий и организаций нефтегазовой отрасли.
6. Автоматизированные системы, информационные и телекоммуникационные системы и сети предприятий и организаций транспорта (прежде всего, воздушного и железнодорожного).
7. Автоматизированные системы, информационные и телекоммуникационные системы и сети предприятий и организаций водоснабжения.
8. Информационные и телекоммуникационные системы и сети Министерства по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, а также систем скорой помощи и других служб экстренного реагирования.
9. Автоматизированные системы, информационные и телекоммуникационные системы и сети предприятий и организаций критически опасных производств (атомные электростанции, объекты переработки ядерных материалов, химическое производство, производство боеприпасов и взрывчатых веществ).
10. Информационные и телекоммуникационные системы и сети связи общего пользования.
Табл. 2. Перечень возможных составляющих РИИ, которые могут быть идентифицированы как КВСО критически важных сегментов РИИ.

Сегодня решения проблем защиты КВСО РИИ отданы на откуп силовым ведомствам, в частности, ФАПСИ. Некоторые считают, что защита информационного пространства высших органов государственной власти (задача ФАПСИ) может решить все другие проблемы безопасности КВСО РИИ. Не принимается во внимание то обстоятельство, что сегодня существуют крупные коммерческие производственные и транспортные структуры общенационального значения, вывод из строя информационно-управляющих систем которых также может привести к катастрофическим последствиям. Их защитой ФАПСИ не занимается как по своему статусу, так и по возможностям.

Необходимо осознать сложность решения проблемы защиты КВСО РИИ.

Эта сложность определяется следующими факторами:


Сказанное определяет необходимость разработки обобщенного межведомственного плана мероприятий, реализация которого в определенной мере способствовала бы повышению защищенности КВСО РИИ. При этом должно учитываться существующее ведомственное распределение сфер деятельности. По нашему мнению, необходимо:

1. Начать проведение широкого круга исследований по созданию защищенной части РИИ, выявлению критически важных сегментов и объектов на федеральном, региональных и территориальных уровнях РИИ, а также отдельных особо уязвимых объектов РИИ.

2. Сформировать в ведомствах планы мероприятий по обеспечению защищенности КВС РИИ, провести координацию работ по реализации этих планов.

3. Создать национальную систему мониторинга угроз и мер защиты КВСО РИИ.

4. Принять соответствующее решение на государственном уровне по необходимым для этого организационным, техническим и правовым мероприятиям. В частности, необходимо создание государственного органа (возможно, межведомственного Центра по защите КВСО РИИ), осуществляющего мониторинг угроз и мер защиты КВС РИИ, наделенного соответствующими правами и обязанностями.

5. Обеспечить тесное взаимодействие на государственном уровне с подобными организациями других стран. В частности, уже сегодня организации США, Англии, ЕС и Канады готовы тесно сотрудничать с нами в решении общих проблем защиты КВСО, причем готовы и финансировать ряд работ, имеющих общий характер.

6. Организовать проведение научных исследований по методологии построения системы мониторинга, организации систем защиты и т.д.

Реализация высказанных предложений позволит создать специализированную инфраструктуру защиты информации в РИИ.

2. Инфраструктура защиты информации в РИИ

Основными функциями РИИ являются, как известно, обеспечение своевременной и безопасной передачи информации, ее обработки и хранения. Поскольку существует постоянно расширяющееся множество угроз безопасности РИИ и информации, обрабатываемой, хранимой и передаваемой в ней, то для обеспечения защиты от этих угроз должна быть реализована полноценная инфраструктура защиты информации. Для обеспечения безопасности РИИ недостаточно средств защиты, которые используются на предприятиях и организациях операторов сетей и у провайдеров сетевых услуг, а также в корпоративных и ведомственных сетях. Необходимо формирование такой российской инфраструктуры защиты информации, которая, с одной стороны, гарантировано обеспечивала бы защиту РИИ от возможных внешних и внутренних угроз, а с другой – была бы доступна для всех законопослушных пользователей и проста "в обращении" так же, как и сама существующая РИИ. Создание такой инфраструктуры откроет самые широкие возможности по развитию предпринимательства, электронной коммерции, телемедицины, электронного правительства, других социальных институтов, сделает возможным авторизованный доступ к любой информации, переведенной в электронную форму, снизит расходы на защиту информации для всех организаций и фирм, избавит их от необходимости внедрять собственные дорогостоящие системы защиты телекоммуникационного обмена информацией.

На рис. 1 показано место инфраструктуры защиты информации в российской информационной инфраструктуре.



Рис. 1. Место инфраструктуры защиты информации в российской информационной инфраструктуре.


На рис. 2 приведены основные компоненты российской инфраструктуры защиты информации (РИЗИ).


Рис. 2. Структура и состав компонентов российской инфраструктуры защиты информации.


Рассмотрим возможные варианты развития некоторых компонентов РИЗИ.

В настоящее время проблема нормативно-правового обеспечения безопасности РИИ в целом и ее КВС, в частности, все теснее связывается с более широкой проблемой – созданием и нормативно-правовым обеспечением деятельности системы управления безопасностью РИИ и переходом в перспективе к формированию инфраструктуры защиты информации в РИИ или РИЗИ.

Нормативно-правовая компонента в настоящее время развивается довольно активно. Об этом можно судить и по факту недавнего принятия "Закона об электронной цифровой подписи" и по множеству законопроектов по различным аспектам электронного бизнеса и документооборота, которые широко и активно обсуждаются в различных СМИ.

При развитии законодательства и нормативно-правовой базы РИЗИ необходимо учитывать международные требования и рекомендации (например, UNCTAD) к законодательству об электронной коммерции и тем самым создавать условия для постепенного цивилизованного вхождения в мировое экономическое сообщество.

Краеугольным камнем в развитии этой компоненты является то, что никакое серьезное развитие электронной коммерции и бизнеса в интернете невозможно без использования стойкого шифрования информации. Необходимо понимать, что никакой серьезный бизнес в Сети невозможен без гарантий сохранения конфиденциальности. Такие гарантии могут быть получены только при широком и свободном, но безопасном для государства и общества использовании стойкой криптографии. Нужно выбрать какой-либо вариант. Либо американский, который де-факто практически не ограничивает возможности распространения средств стойкой криптографии внутри страны, либо вариант с системой депонирования криптографических ключей. Если ничего не делать, придется смириться с тем, что все более значительная часть бизнеса будет вынуждена уходить в "тень" из-за невозможности гарантированной легальной защиты информации.

Техническая компонента – одно из наиболее слабых мест в развитии РИЗИ. Спектр предлагаемых отечественными производителями сертифицированных средств защиты, и, в первую очередь, криптографических средств защиты информации, играющих главную роль в ее создании, крайне узок. В настоящее время отечественные предприниматели вынуждены пользоваться американскими системами шифрования, например, такими как майкрософтовский Enhanced CSP (позволяющий использовать алгоритм RSA с длиной ключа до 16 384 бит, алгоритм DSA с длиной ключа 1024 бита, алгоритм RC5 с длиной ключа 128 бит и алгоритм triple-DES с длиной ключа 168 бит), элементарно встраиваемый в ОС Windows. Это притом, что в России есть хорошие готовые решения, для распространения которых нужно принять естественно вытекающие из потребностей развития РИЗИ правовые акты. Так, например, для использования в той же ОС Windows фирмой ООО "Крипто-Про" (www.cryptopro.ru) разработан сертифицированный ФАПСИ продукт Криптопровайдер Крипто-Про CSP. С учетом того, что именно криптографические решения, заложенные в системе ОС Windows, чаще всего и используются для защиты информации, было бы вероятно целесообразно, чтобы продаваемые в России версии ОС Windows содержали бы в своем составе определенным образом ограниченные (например, так, как это сделано в Microsoft Base Cryptographic Provider) версии продукта Крипто-Про, а полная версия продавалась для тех, кто предъявляет повышенные требования к безопасности, в качестве альтернативы тому же Microsoft Enhanced Cryptographic Provider.

В качестве еще одного примера наличия готовых отечественных технических решений, которые ждут своего применения в РИЗИ, можно привести разработанную еще в 1998 году в МО ПНИЭИ (www.security.ru) систему распределенного хранения частей необходимых для восстановления секретного криптографического ключа. Это решение было внедрено в Техническом центре РТС (www.rts.ru) и при соответствующей адаптации его можно использовать при создании центров распределенного депонирования криптографических ключей.

Можно сделать вывод о том, что недостаточная развитость рынка отечественных средств защиты информации есть результат фактического отсутствия организационной компоненты РИЗИ. При наличии многих специализированных организаций, занимающихся проблемами защиты информации и развития РИИ, ни одна из них не отвечает за состояние рынка средств защиты информации, за развитие РИЗИ и безопасность КВСО РИИ.

Возможны два варианта выхода из сложившегося положения. Либо какая-то из существующих организаций будет выполнять функции координирующего и организующего ядра РИЗИ, либо, как это сделано во многих других странах, например, в тех же США, будет создана отдельная структура, которая возьмет на себя решение задач по гармоничному и комплексному решению проблем обеспечения безопасности КВСО РИИ и развитию РИЗИ.

Одной из главных задач такого рода структуры должно стать целенаправленное создание и развитие экономической компоненты РИЗИ, перед которой должна быть поставлена цель достижения самоокупаемого развития и функционирования этой инфраструктуры, требующего минимальных государственных затрат. При этом необходимо четко понимать, что защита хороша теми гарантиями, которые она предоставляет. Единственной альтернативой является создание системы имущественной ответственности провайдеров безопасности, страхования их ответственности и страхования рисков нарушения информационной безопасности.

3. Основные задачи управления безопасностью РИИ на федеральном и региональном уровнях

Рассмотрим три основные задачи:

1. Обеспечение контроля безопасности критически важных сегментов и объектов РИИ.

2. Стимулирование развития РИЗИ, рынка средств и услуг по защите информации.

3. Развитие системы имущественной ответственности ИТ-бизнеса, рынка страхования этой ответственности и страхования IТ-рисков.

Контроль безопасности критически важных сегментов и объектов РИИ

Для обеспечения безопасности РИИ должна быть создана федеральная система контроля безопасности ее критически важных сегментов и объектов, способная обеспечивать постоянный мониторинг состояния безопасности РИИ. В США такого рода орган представляет собой Совет по защите важнейших объектов критических инфраструктур (Critical Infrastructure Protection Board).

Понятно, что РИИ может быть представлена как взаимосвязанная совокупность региональных информационно-телекоммуникационных инфраструктур. При этом региональные власти должны понимать, что судьба безопасности региона не может определяться только собственниками того или иного критически важного сегмента, а его безопасность должна в обязательном порядке контролироваться региональными властями. Только в этом случае можно говорить о возможности реального повышения безопасности региона в условиях использования критически важных информационных технологий и баз данных. При этом следует избегать ситуации создания еще одного административного барьера для нормального развития бизнеса и деловой активности в регионе. Осуществлять такого рода контроль можно с помощью специальных аналитических служб контроля обеспечения безопасности КВСО.

Такого же рода аналитические службы контроля должны быть созданы при всех министерствах и ведомствах. Их задача – обеспечить контроль состояния безопасности КВСО РИИ на подведомственных предприятиях и в организациях.

Таким образом, важнейшими звеньями в рамках предлагаемой системы являются аналитические службы контроля безопасности КВСО РИИ. Эти службы должны создаваться на всех уровнях системы управления страной – на уровнях федерального и регионального управления, отраслевых министерств и ведомств.

К функциям федерального звена предлагаемой системы мониторинга следует отнести:


Предлагаемая система должна позволять осуществлять контроль безопасности РИИ без создания дополнительных административных барьеров деловой активности в стране.

Вместе с тем очевидно, что необходима разработка нормативно-правовой базы, которая позволит обеспечить функционирование системы. Например, необходимо в правовом порядке обязать предприятия представлять аналитическим службам контроля безопасности РИИ информацию о составе используемых информационных технологий, о выполнении доведенных до них перечней требований по защите и т.д.

Конкретные предложения по совершенствованию и развитию нормативно-правового обеспечения контроля безопасности КВСО РИИ, учитывая ограничения, связанные с их отраслевым характером, можно сформулировать следующим образом.

1. Разработка предложений по корректировке закона "О международном информационном обмене" в части, касающейся использования РИИ в трансграничном информационном обмене.

2. Разработка проектов федеральных законов об обеспечении информационной безопасности в российском сегменте интернета.

3. Разработка нормативных правовых актов, определяющих порядок обращения со сведениями конфиденциального характера, а также порядок обращения с информацией, не подлежащей ограничению в доступе к ней.

4. Разработка нормативного правового акта, устанавливающего порядок подключения информационных систем федеральных органов исполнительной власти к интернету.

5. Развитие нормативно-методической базы обеспечения информационной безопасности, включая разработку дифференцированных требований для различных уровней защиты. Совершенствование системы сертификации и лицензирования в области защиты информации.

6. Совершенствование законодательства и нормативного правового обеспечения в части сертификации и аттестации средств связи и информатизации на соответствие требований информационной безопасности и лицензирования деятельности в этой области.

7. Совершенствование нормативной правовой базы в области обеспечения защиты информации от утечки по техническим каналам, в том числе разграничение полномочий федеральных органов исполнительной власти в этой сфере.

8. Совершенствование нормативной и правовой базы в сфере обеспечения информационной безопасности взаимоувязанной сети связи России.

9. Разработка нормативного обеспечения создания и функционирования системы мониторинга исполнения федерального законодательства и законодательства субъектов Российской Федерации в области информационной безопасности.

10. Разработка предложений по упорядочению процедур сертификации и аттестации средств связи и информатизации на соответствие требованиям информационной безопасности.

Развитие РИЗИ, рынка средств и услуг защиты информации

Национальная инфраструктура защиты информации включает в себя следующие составляющие:


В настоящее время никто не несет ответственности за развитие этих критически важных для безопасности РИИ составляющих.

Так, например, на рынке сертифицированных средств защиты информации нет предложений гарантированно-безопасных (то есть, по крайней мере, сертифицированных ФАПСИ или Гостехкомиссией) средств защиты информации для организации систем защиты информации национального масштаба, которые мы можем найти, например, в продуктах компании Microsoft. Многие сертифицированные средства защиты разорительно дороги для мелкого и среднего бизнеса, плохо масштабируемы, слишком сложны и в целом по функциональности неконкурентоспособны с аналогичными не сертифицированными зарубежными аналогами. Должны быть решены непростые вопросы использования сертифицированных средств защиты массовым пользователем интернета.

Показательна ситуация с удостоверяющими центрами сертификатов ЭЦП. Более года назад принят закон об ЭЦП, согласно которому они должны создаваться, но их нет, и, более того, нет даже удовлетворительного пакета системных и программных решений по их реализации.

Все острее встает и другая проблема. С каждым днем мы все лучше понимаем, что анонимный интернет – это очень небезопасно, что нужна национальная инфраструктура гарантированно-надежной аутентификации пользователей интернета. Нужно разрабатывать пакет системных и программных решений по этой проблеме.

На наш взгляд, Федеральный орган по управлению безопасностью РИИ должен взять на себя ответственность за решение и этих проблем.

К наиболее важным задачам развития РИЗИ следует отнести:

1. развитие инфраструктуры открытых криптографических ключей (PKI – public key infrastructure) на базе протокола X.509, что предполагает создание сети сертификационных и удостоверяющих центров и создание общенациональной системы использования стойкой криптографической защиты, включая инфраструктуру генерации и распределенного резервного хранения (депонирования) криптографических ключей;

2. развитие системы хранилищ (депозитариев) резервного хранения информации;

3. развитие региональной сети организаций, способных обеспечить оценку (сертификацию) безопасности создаваемых и используемых компьютерных систем и условий их применения, создание региональных отделений соответствующих служб Гостехкомиссии и ФАПСИ;

4. контроль и обеспечение достаточной ассортиментной насыщенности рынка сертифицированных средств защиты информации.

Создание национальной инфраструктуры открытых криптографических ключей (НИОК) имеет следующие преимущества. Оно обеспечит:


Существующая ситуация, когда в большинстве случаев информация защищается с помощью не сертифицированных зарубежных средств криптографической защиты, относительно терпима в условиях, когда интернет-бизнес находится в стадии зарождения. Но когда значительная часть документооборота между фирмами и большое число сделок будут осуществляться через интернет, вся национальная деловая жизнь будет поставлена в зависимость от надежности никем не проверенных, не сертифицированных средств.

С начала 90-х годов в США были проведены серьезные мероприятия по оцифровыванию и криптографической защите критической информации и обеспечению хранения электронных данных в нескольких местах. Как показала практика, относительно просто выполнить требование территориально-распределенного хранения критической информации для больших территориально-распределенных информационных систем. Для небольших организаций это требование выполнимо только при наличии системы депозитариев, принимающих на безопасное хранение резервные копии критических данных.

Одной из самых больших проблем, наносящей самый большой латентный ущерб экономике, является небезопасность разрабатываемых в организациях и на предприятиях автоматизированных систем управления и учета. Этот ущерб трудно оценить точно, поскольку случаи нарушения безопасности информационных систем организаций их сотрудниками, как правило, тщательно скрываются. Раскрытие таких случаев сильно вредит имиджу и рыночной стоимости ценных бумаг компаний, в которых они произошли. Создание Международного стандарта ISO 15408 и методологий его применения открывает возможность контролировать и гарантировать безопасность создаваемых компьютеризированных систем. Необходимо добиться обязательности применения стандарта ISO 15408 при создании компьютеризированных систем для критически важных приложений.

Представляется, что это рационально делать, развивая территориальную инфраструктуру соответствующих экспертных и сертифицирующих структур Гостехкомиссии и ФАПСИ.

Еще одной проблемой является недостаточный ассортимент сертифицированных средств защиты информации. Одной из главных причин широкого использования не сертифицированных зарубежных средств является недостаточный ассортимент средств, предлагаемых отечественными производителями сертифицированных средств защиты информации. Например, отсутствуют такого рода средства защиты практически для всех популярных в интернете протоколов защиты информации: SSL, TLS, Kerberos, HTTPS. Нет отечественной системы проверки сертификатов ПО, получаемого, в частности, по технологии ActiveX через интернет. Таким образом, встает задача не просто ограничивать путем лицензирования круг производителей сертифицированных средств защиты, но добиваться того, чтобы таких производителей было достаточно для создания конкурентной среды по широкому ассортиментному спектру средств, покрывающему все потребности рынка систем защиты информации.

Развитие имущественной ответственности бизнеса в области информационных технологий, рынков страхования этой ответственности и страхования рисков, связанных с использованием информационных технологий

Исторически сложилось, что, в отличие от таких стран, как США, система ответственности продавца любых товаров или поставщика любых услуг у нас развита слабо. Всего чуть больше десятилетия прошло с тех пор, когда основным поставщиком всех товаров и услуг были государственные предприятия, и государству, естественно, было невыгодно развивать систему ответственности, в которой бы предусматривалось возмещение ущерба потребителю. Такая ситуация распространяется и на ИКТ, информационные продукты и услуги. Практически все производители программных продуктов оговаривают, что их имущественная ответственность не может быть больше каких-нибудь ничтожных сумм, например, 5 долларов. Очевидно, что в таком случае нельзя говорить о каких-либо полноценных гарантиях безопасности РИИ.

Представляется, что будут хороши любые меры, которые стимулируют производителей средств информатизации, ПО и системных интеграторов брать на себя больше ответственности за безопасность создаваемых ими систем. Первым шагом в этом направлении можно считать принятие Закона об ЭЦП, в статье 8 которого говорится о том, что удостоверяющие центры должны нести гражданскую ответственность перед пользователями за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Вместе с тем, очевидно, что развитие системы имущественной ответственности без создания рынка страхования этой ответственности губительно для производителей средств и услуг.

Так же очевидно, что необходимо развивать систему страхования компьютерных и информационных рисков. И не только потому, что страхование этих рисков является имущественной гарантией безопасности используемых технологий, но и потому, что при этом развивается система независимых от государства, и, соответственно, не нуждающихся в финансировании с его стороны, механизмов гарантий безопасности РИИ. Если на рынке страхования будет свободная конкуренция, то страховщики будут вынуждены искать пути для снижения своих премий, а делать они это смогут только если сами будут иметь гарантии безопасности используемых их клиентами технологий. Такие гарантии им могут дать только организации, занимающиеся аудитом безопасности, авторитет, а, значит, и рыночный спрос на услуги которых будут формироваться в зависимости от точности их оценок. В свою очередь, деятельность аудиторских фирм будет стимулировать клиентов страховых компаний принимать все меры для того, чтобы обеспечивать максимальную безопасность используемых ИКТ.

Для повышения ответственности производителей информационных продуктов и услуг необходимо развивать систему имущественной ответственности производителей и поставщиков перед клиентами.

Например, если сетевой оператор в соответствии с договором берет на себя обязанность обеспечивать надежный канал доступа к интернету, то он должен нести материальную ответственность, если этот канал окажется недоступен в критический момент. Причем эта ответственность должна включать обязательство компенсации ущерба, который может понести клиент в случае, если по вине оператора связи работоспособность его системы будет нарушена.

Вместе с тем очевидно, что производители тех или иных услуг не смогут во всех случаях компенсировать тот ущерб, который может быть нанесен в результате недостаточно качественного выполнения их обязательств или недостаточного качества их продукции. При прямолинейном применении такого принципа это может привести к разорению многих производителей средств информатизации и поставщиков услуг. Для того, чтобы этого не произошло, необходимо развивать рынок услуг страхования ответственности, а вместе с ним и рынок страхования рисков пользователей информационных технологий. Как это делать, можно понять, обратившись к опыту таких страховых фирм как AIG, Chubb, J.S.Wurzler, Lloyd’s of London, Marsh Inc., Sedgwick Group, Zirich Financial Group. Некоторый опыт страхования такого рода рисков имеют и отечественные страховые компании: "Ингосстрах", РОСНО, "Эко-Сфинкс".

Развитие рынков страхования компьютерных рисков не только даст возможность в значительной степени обезопасить свой бизнес большинству пользователей современных компьютерных систем в той части, в какой он зависит от работоспособности компьютерных систем. Страховые рынки могут стать тем самым механизмом, который сделает процесс обеспечения гарантий безопасности РИИ саморегулируемым и позволит максимально снизить потребности в государственном финансировании обеспечения таких гарантий. Возможный вариант реализации такого механизма показан на рис. 3.



Рис. 3. Варианты схем распределения имущественной ответственности.


4. Проблема английского языка

Не секрет, что интернет и другие современные базовые ИКТ создаются за рубежами России. Рабочим языком, на котором публикуются материалы по этим технологиям, является английский. Так, практически все технологии и протоколы интернета описаны в комплекте документов, получивших название RFC (Request For Comments – Запрос комментариев) и представляющих собой неформальные открытые стандарты, которые предлагается критиковать всем желающим. Если существенных критических замечаний накапливается довольно много, то готовится новая версия стандарта, учитывающая эти замечания, а также изменения, происшедшие с другими технологиями интернета.

Огромной проблемой для отечественных специалистов является то, что не существует переводов на русский язык указанных стандартов. Конечно, можно говорить о том, что знание английского языка является одним из квалификационных требований для специалистов в области ИКТ. Но даже для специалистов, хорошо знающих английский язык, не всегда просто понять отдельные тексты, да к тому же и времени на чтение и понимание таких текстов уходит в несколько раз больше, чем при чтение готового перевода на русский язык. А мы знаем, что время – это критический ресурс, которого, как правило, не хватает. В результате тут и там повсеместно можно столкнуться с тем, что многие наши специалисты не до конца понимают технологии интернета, знают их недостаточно глубоко, а порой из-за неправильного перевода и вообще имеют ошибочное представление о механизмах интернета. Неудивительно, что одной из основных причин, тормозящих информатизацию тех или иных учреждений, называется недостаточная квалификация специалистов в этой области. Более того, многие специалисты, получив свои знания путем чтения англоязычных источников, не могут достаточно хорошо сформулировать свои знания на русском языке, чтобы донести до руководства, принимающего решения по финансированию проектов информатизации, реальные потребности развития создаваемых компьютерных систем.

Тот, кто читал RFC, знает, насколько досконально, четко и ясно описаны технологии и протоколы. У нас в среде специалистов нередко можно услышать подшучивание над теми же американцами по поводу того, как у них все "разжевывается" и раскладывается "по полочкам". К сожалению, похоже, что те, кто у нас пишет и подбирает книги для перевода по информационным технологиям, относятся именно к такого рода специалистам, поскольку практически ни в одной из публикуемых в России книг нельзя найти таких же качественных описаний технологий интернета, которые есть в RFC.

В том, насколько велика потребность в русских переводах RFC, можно убедиться, набрав в любой поисковой системе в поле поиска такую фразу: "RFC на русском языке". В результате можно получить ссылки на пару десятков переводов RFC, сделанных энтузиастами (наиболее полная коллекция находится по адресу http://www.protocols.ru). Но основным результатом будут многочисленные тщетные просьбы: "Помогите найти RFC на русском языке!", зафиксированные во всевозможных профессиональных форумах. Почему же не только государственные структуры, но и российское организованное интернет-сообщество остаются глухи к этим воззваниям? Почему до сих пор в России нет ни одной организации, которая бы озаботилась, если не проблемами развития интернета и стандартизации Рунета (тех же кодировок кириллицы), то хотя бы проблемами перевода на русский язык документации по технологиям, используемым для информатизации общества?

Стандарты интернета за рубежом создаются общественными организациями, такими как ISOC (Internet Society – www.isoc.org), IETF (Internet Engineering Tack Force – www.ietf.org), IAB (Internet Advisory/ Activities/ Architecture Board – www.iab.org), которые существуют за счет членских взносов, пожертвований и грантов. У нас такого рода организация могла бы претендовать, например, и на финансирование в рамках государственной программы "Электронная Россия", что было бы вполне естественно. Ведь проводить масштабную информатизацию общества на основе технологий, на которые не существует документации на русском языке, по крайней мере, неосмотрительно, а на самом деле, просто небезопасно. И это при том, что эта же документация на английском доступна любому пользователю интернета (www.rfc-editor.org ).

Первый RFC появился в апреле 1969 года. В настоящее время опубликован уже RFC за номером 3470. Многие RFC заменены более новыми версиями, которые выходят под новыми номерами. Поэтому число реально значимых RFC – около 1500-2000. Из них 177 регламентируют вопросы безопасности интернета. На русский язык не переведены (или их переводы не доступны для широкого круга специалистов) даже они. То есть не документированы на русском языке даже вопросы, связанные с безопасностью повсеместно используемой компьютерной сети! А ведь RFC – это только верхушка "айсберга" документации по современным информационным технологиям, используемым в России и не документированных на русском языке.

Еще только один пример. В настоящее время доминирующими технологиями, используемыми в компьютерных системах в России, являются технологии компании Microsoft. Все они регулярно и досконально описываются в электронной библиотеке документации компании (MSDN) и многие из них публикуются для свободного доступа в интернете (http://msdn.microsoft.com), а также распространяются путем подписки. Трудно найти в России высококвалифицированного программиста, который бы уже не осознал того факта, что если бы документы MSDN публиковались на русском языке, насколько бы быстрее ему удавалось осваивать новые технологии, насколько бы выше была его производительность труда.

Так в интересах ли информационной безопасности России мириться с этим положением тотального использования практически недокументированных технологий или все-таки приложить усилия и найти эффективное решение очевидной проблемы?


Кононов Александр Анатольевич - старший научный сотрудник Института системного анализа РАН (ИСА РАН), кандидат технических наук.

Черешкин Дмитрий Семенович - заведующий лабораторией ИСА РАН, доктор технических наук, профессор.


© Информационное общество, 2002, вып. 1, сc. 8-18.