Придумать информационную безопасность
АрхивБлог Алексея Лукацкого, Cisco SystemsАлексей Лукацкий (Cisco) обнаружил, что продуманная концепция развития информационной безопасности России появилась ещё в 1992 году. В новой записи блога он анализирует предложения учёных того времени. Многие ли из них актуальны 17 лет спустя?
Занимался разбором библиотеки русскоязычной литературы по ИБ и наткнулся на интересный раритет изданный тиражом всего 300 экземпляров – "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России" (далее – Концепция), написанной аж в 1992-м году ведущими специалистами РАН и научно-исследовательских институтов России. Именно в этом году Гостехкомиссией (позже ставшей Федеральной службой по техническому и экспортному контролю) были введены в действие первые руководящие документы, в основу которых были положены наработки американцев из "Радужной серии". Диву даешься, как у нас на свет могли появиться настолько продуманные документы; особенно видя то, что творится сейчас в сфере информационной безопасности на государственном уровне. К сожалению, идеи данной Концепции так и не нашли своего применения в нашей жизни или были воплощены с серьезным опозданием и не полностью.
Какие же "революционные" идеи были осенили наших ученых? Во-первых, уже тогда была предложена структура законодательства РФ в области информационной безопасности. Уже в 1992-м году среди планируемых к разработке числились закон "О защите персональных данных", принятый 14-ю годами позже, закон "О коммерческой тайне", принятый на 12 лет позже запланированного, закон "Об ответственности за правонарушения при работе с информацией" и т.д. Тогда же впервые заговорили о защите критически важных объектов (требования по их защите появились только в 2007 году). А предлагаемый авторами проект закона "Об информации, информатизации и защите информации" отличался от того, который мы знаем сейчас. В проекте были описаны такие меры, как судебная защита, страхование интересов собственника информации, обеспечение возмещения ущерба, оказание юридической помощи и т.п. Вопросы ответственности за нарушения и посягательства на информацию и информационные системы тоже нашли свое отражение в Концепции, но из всех предложений ученых у нас сейчас есть только 3 статьи Уголовного Кодекса и относительно недавно появившиеся статьи 13-го раздела КоАП. Предлагаемый же проект закона "Об ответственности за правонарушения при работе с информацией" включал в себя ещё и раздел по дисциплинарной ответственности, а также такую очень интересную тему, как доказательство вины преступника.
Во-вторых, для эффективной реализации предложенных законодательных инициатив ученые предложили пойти по пути США и других развитых стран и создать несколько иерархических административных структур, осуществляющих управление государственной системой защиты информации. Эти органы бы занимались также разработкой и внедрением нормативных документов, обязательных для применения по отношению к информации, являющейся собственностью государства, и носящей рекомендательный характер для информации других собственников. Не до конца сделав первое, у нас совсем забыли про второе, сделав требования ФСТЭК и ФСБ де-факто обязательными для всех, невзирая на то, кто является собственником защищаемой информации.
В-третьих, уже тогда было предложено использовать различные рыночные механизмы (налоговые и ценовые льготы), а также рычаги стандартизации и страхования для стимулирования средств ИБ. Идея была проста – выделить разработчиков, которые провели сертификацию своей продукции и прошли лицензирование, из общей массы и дать им преимущество перед всеми остальными. У нас же эта идея трансформировалась в создание "касты приближенных", доступ в которую был ограничен именно получением сертификатов и лицензий. Про страхование ИБ и вовсе позабыли.
В-четвертых, было предложено разработать требования по способам проверки эффективности и корректности функционирования применяемых средств защиты. Этого нет до сих пор. А идея регулярного обновления и совершенствования нормативных документов, определяющих требования к характеристикам защищенности продукции, так и осталась идеей – абсолютное большинство документов наших регуляторов не менялось с момента их создания и утверждения. Также умерла идея создания при сертификационных лабораториях управляющих советов, в которые бы включались независимые и квалифицированные эксперты из региональных и отраслевых организаций, и которые бы рассматривали результаты сертификации различных систем.
В-пятых, к упомянутым в Концепции "Общим критериям" мы пришли десятилетием позже, но при этом "забыли" войти в международное соглашение о взаимном признании сертификатов, выданных разными странами, участвующими в работе над "Общими критериями".
Очень интересное и полезное предложение авторов Концепции заключалось в том, чтобы разработать требования по защите в зависимости от функциональных классов автоматизированных систем (этого не было на тот момент ни в одной стране мира). Все прекрасно понимают, что автоматизированные системы отличаются в зависимости от того, в какой организации и для какой цели они разработаны. Практика использования механизмов защиты "по максимуму", как для гостайны (именно такой подход реализуется сегодня), была признана неэффективной, и рекомендовалось исходить из обоснованного и сбалансированного соответствия между уровнем применяемой защиты, оценкой потенциальной опасности соответствующих угроз, ценности охраняемой информации, а также структуры и специфики задач конкретной организации. В Концепции была предложена классификация АС, которая опиралась на следующие принципы классификации:
Что же мы имеем 17 лет спустя? Ничего. Как тогда и отмечали авторы зачаточное состояние отрасли информационной безопасности в России и её существенное отставание от Запада, так всё и осталось до сих пор. Российские ученые как всегда оказались правы, но к их здравым идеям и предложениям так никто и не прислушался.