Компания VDEL, представляющая на территории России, СНГ и ряда стран центральной и восточной Европы компанию Red Hat, и компания "Национальный инновационный центр", специализирующаяся на программных и аппаратных средствах обработки конфиденциальной информации, приняли участие в конференции «Обеспечение информационной безопасности. Региональные аспекты», проходившей с 11 по 15 сентября 2007 года в Сочи.
Общее заседание
В данной конференции принимают участие производители средств и систем ИТ, крупнейшие потребители средств и систем ИТ (РАО ЕЭС, ОАО РЖД, ОАО Газпром, ФТС России, ОАО «Аэрофлот» и др.), контролирующие органы (ФСТЭК России, ФСБ России). Основная задача конференции – предоставить всем заинтересованным сторонам площадку для эффективного взаимодействия и решения актуальных вопросов обеспечения информационной безопасности в Российской Федерации.
Основные темы конференции:
- тенденции развития отрасли информационной безопасности в РФ;
- новое в законодательном регулировании;
- проблемы стандартизации в области ИБ для различных отраслей промышленности;
Более подробную информацию можно найти на сайте конференции.
Официальные результаты конференции в целом и результаты работы отдельных секций будут опубликованы организаторами в ближайшее время. На конференции присутствовал ряд журналистов ведущих изданий компьютерной тематики, так что следует ожидать публикации и независимых обзоров.
На сегодняшний день мы предлагаем нашу точку зрения на конференцию.
Наиболее активно сотрудники VDEL и НИЦ участвовали в работе секции «Решения в области безопасности на базе Linux и Open Source». На данной секции были представлены доклады IBM, 3ТЕЛ.ру, LinuxCenter, VDEL и ВНИИНС.
Участники секции по Linux
В частности, в докладе IBM обсуждалась необходимость перехода на открытые форматы хранения документов, что является крайне важным для стабильности работы инфраструктуры всего государства в долгосрочной перспективе.
Подробнее о важности открытых форматов.
Доклад VDEL был посвящен описанию дистрибутива Red Hat Enterprise Linux и средств обеспечения безопасности, достаточно давно входящих в него, но пока что плохо знакомых большинству специалистов. Также был дан краткий обзор сертификатов, как международных, так и российских (ФСТЭК), имеющихся у дистрибутива на сегодняшний день. Скачать презентацию
Особого внимания заслуживает доклад Захватовой Ульяны, посвященный тому, как реально сегодня выглядит система распространения сертифицированного программного обеспечения. Как показало последующее обсуждение, поднятая тема крайне важна, так как организации, зная о наличии сертифицированного ПО как такового, довольно слабо представляют себе особенности работы с ним в реальной жизни. Скачать презентацию
В докладе LinuxCenter были описаны возможности дистрибутива Mandriva и, кроме того, объявлено о том, что начат процесс его сертификации по требованиям ФСТЭК.
В целом секция «Решения в области безопасности на базе Linux и Open Source» прошла достаточно активно, с большим количеством живого общения и дискуссий, хотя интерес к ней оказался не так велик, как к основным секциям конференции. Возможно, это объясняется тем, что такая секция проводится на конференции впервые и у нее просто не успела сформироваться своя аудитория.
Также VDEL представил на одной из основных секций конференции «Практические вопросы обеспечения информационной безопасности государственных ведомств и коммерческих организаций Российской Федерации» доклад «Обеспечение непрерывности работы ключевых систем». В докладе были рассмотрены некоторые общие вопросы и идеи построения отказоустойчивых систем без привязки к конкретным технологиям реализации. К сожалению, формат доклада не позволил сделать большой обзор, поэтому он был сконцентрирован лишь на тех аспектах и подходах, которые, на наш взгляд, сегодня освещены недостаточно. Доклад вызвал активное обсуждение, что говорит об актуальности данной темы. Скачать презентацию
Доклад
Сотрудники VDEL и НИЦ приняли активное участие также и в работе других секций. По нашему впечатлению, наибольший интерес и наиболее горячее обсуждение вызвали вопросы, связанные с подготовкой специалистов в области информационной безопасности, с регулированием и стандартами в области ИБ и с отличием реальной и формальной безопасности.
Вопросы подготовки специалистов действительно являются крайне актуальными, а в регионах часто и откровенно болезненными. Региональные аспекты обеспечения информационной безопасности были даже вынесены в название конференции, поэтому проблема кадров в регионах обсуждалась не только на тематической секции, но также на многих других и в кулуарах.
В целом участники дискуссий сошлись на том, что крайне не хватает системы подготовки специалистов в области безопасности, охватывающей всю страну. Существующие университетские курсы часто излишне теоретические и не соответствуют нынешнему состоянию дел в области ИБ. Курсы серьезных вендоров в большинстве своем дают неплохие практические навыки, но при этом они не особо доступны в регионах. Поэтому разумным представляется некий альянс вендоров и ВУЗов. Однако здесь возникает проблема – вендоры мало заинтересованы в том, чтобы давать право ВУЗам читать свои курсы, ведь это часть их доходов. Как разрешить это разногласие – вопрос пока что открытый.
Также большой интерес вызвали темы, связанные с стандартами и сертификациями в области ИБ и с реальной и формальной безопасностью. Никто не подвергает сомнению, что комплексы, работающие с конфиденциальной и, тем более, с секретной информацией, должны проходить некоторый контроль и сертификации. Но основной вопрос при этом – чтобы за деревьями не потерять лес. Важно, чтобы сертификация отражала реальный уровень безопасности системы. Иначе есть риск, что она станет лишь «пропуском в элитарный клуб», позволяющим поставщикам работать с государственными заказчиками, и при этом сама ее изначальная суть будет утеряна.
Чтобы этого не произошло, необходимо не только четко и строго проводить сертификации как таковые. Крайне важно, чтобы заказчики понимали, что реально означает и что гарантирует какой сертификат, и для каких систем какие сертификаты необходимы. Без этого понимания сертификаты так и будут оставаться, по выражению одного из участников обсуждения, «непонятными, но явно ценными бумагами», и в итоге система сертификаций будет дискредитирована.
По результатам конференции VDEL принял решение более активно подойти к построению сети учебных центров в регионах, сделав при этом особый акцент на взаимодействие с ВУЗами. Кроме того, VDEL активизирует деятельность по разъяснению того, что такое сертификации ПО, какие виды сертификатов бывают и что они на самом деле означают. Материалы на эту тему будут подготовлены и опубликованы в ближайшее время.