В Ярославле с 12 по 16 мая прошла 12-я ежегодная конференция "Комплексная защита информации", организованная компанией "Авангард" совместно с ВНИИПВТИ и НТЦ "Ками" под эгидой Росинформтехнологий, ФСТЭК, Ассоциации защиты информации, постоянного комитета и парламентского собрания Союзного государства Белоруссии и России, Государственной думы РФ, аппарата Совета безопасности РФ, администрации Ярославской области и др. На конференции присутствовала большая делегация из Белоруссии, поэтому на ней обсуждали не только российские проблемы электронного государства, но и взгляды на них белорусских коллег.
Смена парадигмы
Дмитрий Фролов, автор книги "Информационная геополитика и сеть Интернет", полагает, что "по Европе бродит призрак информационного общества". Построение такого общества, по мнению Фролова, должно привести в том числе и к смене парадигмы информационной защиты. "Мы и не заметили, что рядом с реальной правительственной структурой возникла другая, информационная - инфосфера, которая уже оказывает существенное влияние на нашу жизнь", - заявил он. И если про обеспечение безопасности физического государства известно достаточно много, то как защитить от вторжения такое виртуальное государство - пока не ясно.
Одним из подходов к защите государственной инфосферы является выделение критически важных для функционирования и безопасности государства объектов (КВО) и обеспечение информационной защиты их ключевых систем. В частности, такую парадигму защиты предложил на конференции Александр Горбач, начальник отдела государственного центра безопасности информации при президенте Белоруссии. Он предложил следующий список ключевых систем КВО Союзного государства: компьютерные системы органов власти и управления; правительственная и межгосударственная электросвязь; связь общего пользования; кредитно-финансовые системы; управление энергетическими комплексами; управления транспортом; управления экологически опасными и стратегическими производствами и исследовательскими центрами; боевое управление. Все системы нужно идентифицировать, для них нужно обеспечить защиту и мониторинг работы защиты с системой оповещения об опасности. Кроме того, стоит озаботиться безопасностью и связанных с ними инфраструктур.
Фактически такого же взгляда придерживается и Генеральный штаб Вооруженных сил РФ, представлявший который Сергей Бабин также говорил о защите от воздействий на государственные КВО как о ключевой задаче в современной войне. Пока перечь российских КВО не создан, а когда он появится, то, скорее всего, будет засекречен в целях информационной защиты перечисленных в нем объектов.
Признание наличия государственной инфосферы должно изменить и парадигму отношения к компьютерным преступлениям. Дело в том, что сейчас компании, обеспечивающие функционирование Internet, фактически самоустранились от регулирования процессов, происходящих в Сети. Это привело к ситуации, когда расходы на защиту от атак могут достигать половины стоимости подключения, причем расходы на доступ к Internet продолжают снижаться, в то время как стоимость защиты растет. Однако провайдеры и регистраторы часто не хотят помогать правоохранительным органам, не соблюдая иногда даже собственные правила.
"Есть домены, про которые можно было заранее сказать, что они будут использоваться для противоправных действий, - посетовал Антон Кузнецов, заместитель начальника отдела Управления "К" МВД РФ. - Тем не менее они регистрируются, иногда даже с указанием заведомо некорректной контактной информации." Собственно, для наведения порядка в Internet, по мнению Кузнецова, достаточно чтобы общественные организации на уровне регистраторов, хостинг-провайдеров и контент-провайдеров также занялись обеспечением безопасности Internet, выработали собственные правила поведения и содействовали в этом правоохранительным органам.
Государственная инфраструктура
Ключевым компонентом "новой" государственной инфраструктуры должна стать российская национальная система доверия во главе с федеральным удостоверяющим центром, который поручено поддерживать Росинформтехнологиям. Она, по заверениям Владимира Голобокова, начальника отдела Росинформтехнологий, будет иметь как вертикальную составляющую, разделенную на четыре уровня - федеральный, региональный (федеральные округа), областной (субъекты федерации) и муниципальный, так и горизонтальную. То есть будет допускаться кросс-сертификация удостоверяющих центров одного уровня.
Из своего бюджета Росинформтехнологии имеют право финансировать создание удостоверяющих центров только федерального и регионального уровня. Для областного и муниципального уровня допускается в создании такой инфраструктуры использовать и сторонние компании, отдавать обслуживание удостоверяющего центра на аутсорсинг. К тому же федеральное агентство рассчитывает интегрировать свою систему доверия с системами других стран. Сейчас уже проводятся эксперименты по взаимодействию с польскими и украинскими системами, а также шестью странами Шанхайской организации сотрудничества.
Вторым компонентом общегосударственной инфраструктуры является универсальное средство идентификации, которое Голобоков назвал "Универсальная социальная карта", однако по функционалу она больше похожа на электронный паспорт. Такая карта может содержать сертификат удостоверяющего центра и дополнительную информацию для самых разнообразных государственных систем, а также имеет фотографию владельца для его визуальной идентификации. Микросхема для создания подобной карты уже создана, однако это самая простая часть работы.
Третьим ключевым компонентом государственной инфраструктуры является общероссийский государственный информационный центр (ОГИЦ), обеспечивающий взаимодействие граждан с различными информационными системами российского государства. Предполагается, что ОГИЦ будет иметь две функциональные части: портал для приема запросов граждан (уже работает в тестовом режиме) и центр маршрутизации запросов, который будет взаимодействовать с ведомственными базами данных для получения необходимых сведений. Идентификацию пользователей для доступа к порталу ОГИЦ планируется организовать с помощью универсальной социальной карты. Таким образом, получается комплексная государственная система, обеспечивающая взаимодействие граждан с государством в электронном виде.