Экспертная группа по направлению «Информационная безопасность и импортозамещение»
Экспертная группа по направлению «Информационная безопасность и импортозамещение» провела заседание по вопросам обеспечения информационной безопасности при реализации ФЗ № 374 («закон Яровой») и построения защищенных высокоскоростных сетей связи на базе российского DWDM оборудования.По запросу Комиссии РСПП Экспертная группа обсудила вопросы построения федеральной системы реализации требований ФЗ № 374, инфраструктурных, программных и аппаратных вопросов обеспечения ее информационной безопасности.
Не подвергая сомнению целесообразность комплекса мер, изложенных в «законе Яровой», члены Экспертной групп (ЭГ) отметили, что его реализация сопряжена с необходимостью разработки подсистемы информационной безопасности (ИБ). Объем данных и их состав в формируемых по закону хранилищах позволяет отнести их к категории Big Data. Данные такого объема станут объектом пристального внимания иностранных технических разведок и требуют высокого уровня защиты.
Поскольку отсутствует системный проект автоматизированной системы для реализации ФЗ № 374, в представленных документах не указаны требования к программно-аппаратным комплексам, которые будут применяться для передачи, сбора, хранения и обработки информации, не представляется возможным дать точную оценку затрат на обеспечение необходимого комплекса мер ИБ. Вместе с тем, опыт создания крупных АС говорит о необходимости потратить на ИБ порядка 15-20% от стоимости создания самих систем. Если опираться на расчеты операторов связи, предоставленные Экспертной группе, то сумма на реализацию мер по ИБ может доходить до 1 трлн руб.
Х А Р Т И Я
владельцев и руководителей компаний, работающих в области
защиты информации и криптографии
Сочи 7 апреля – Москва 30 мая 2017 года
срок присоединения к Хартии не ограничен.
Преамбула
Хартия охватывает круг вопросов этики, профессионализма и добросовестных практик участников рынка, работающих в сфере Информационной Безопасности (далее ИБ), включая проектирование, разработку, изготовление, поставку и сопровождение Средств Защиты Информации (СЗИ), Средств Криптографической Защиты Информации (СКЗИ) и создании Систем Защиты Информации.
Согласно п.33 раздела V Доктрины информационной безопасности Российской Федерации (утверждённой Указом Президента РФ № 646 от 5 декабря 2016 г.), ими являются: «операторы информационных систем, организации, осуществляющие деятельность по созданию и эксплуатации информационных систем и сетей связи, по разработке, производству и эксплуатации средств обеспечения ИБ, по оказанию услуг в области обеспечения ИБ, организации, осуществляющие образовательную деятельность в данной области, общественные объединения, иные организации и граждане, которые в соответствии с российским законодательством участвуют в решении задач по обеспечению ИБ».
В условиях глобальной цифровой трансформации существенно возрастает роль индустрии ИБ, что подтверждают такие события, как известные кибератаки мирового масштаба.
Профессиональная, ответственная деятельность компаний, организаций и институтов в области ИБ является важной частью реализации Доктрины информационной безопасности Российской Федерации.
Повышение компетентности, профессионального уровня, ответственности и добросовестности участников рынка ИБ позволяет не только более эффективно решать поставленные перед участниками рынка задачи, но и дает возможность ускоренному развитию индустрии ИБ в России, повышению ее конкурентоспособности и развитию экспортного потенциала.
Высокие темпы роста этого сегмента экономики позволили сформироваться сообществу сильных, профессиональных компаний, заинтересованных в стабильности рынка, его прозрачности, последовательном совершенствовании деловой среды и правовых основ ведения бизнеса.
Дальнейшее развитие рынка защиты информации требует скоординированных действий всех ведущих компаний, поддержания высоких норм профессиональной этики и принципов честной конкуренции.
Основная часть
Понимая общность интересов и задач развития отрасли ИБ, участники рынка, подписывая настоящую хартию, согласились считать для себя имеющими силу, обязательства, изложенные в нижеследующих пунктах:
- в своей профессиональной деятельности, наравне с действующим законодательством Российской Федерации, оказывать содействие российским компетентным органам в расследовании компьютерных преступлений по их запросу и в соответствии с законодательством РФ;
- при разработке нормативно-правовых актов в области защиты информации / ИБ оказывать экспертное содействие профильным ведомствам, таким как Совет Федерации ФС РФ, Государственная Дума ФС РФ, Правительство РФ, Совет Безопасности, федеральные органы исполнительной власти, Военно-промышленная комиссия РФ, межведомственные органы, создаваемые Президентом Правительством, ФСТЭК России, ФСБ России, Роскомнадзор России, МВД России, МО России и ЦБ России;
- оказывать содействие системе образования в подготовке квалифицированных кадров в области защиты информации (информационной безопасности) и разработке методических материалов, созданию полигонов и стендов по продуктам, предоставлению бесплатных демоверсий продуктов;
- при разработке защищенных систем и комплексов, СЗИ и СКЗИ руководствоваться принципами создания продукции соответствующей необходимым критериям безопасности, считать должной практикой наличие аттестатов и сертификатов регуляторов в области защиты информации;
- в случае конфликта между компаниями, том числе в спорных вопросах правообладания, воздерживаться от популистских заявлений и комментариев в СМИ; в случае невозможности разрешения конфликта путем переговоров, по обоюдному согласию привлекать к урегулированию отношений профессиональные объединения (например, ассоциации АПКИТ, АЗИ, АБИСС);
- придерживаться принципов честной конкуренции; способствовать созданию благоприятной среды для добросовестных участников рынка: добросовестно работать с заказчиком; не использовать возможности своих технологий для открытой демонстрации уязвимостей чужой продукции;
- осуждать практику использования коррупционных схем в ведении бизнеса;
- стремиться к контролю соответствия продуктов и услуг требованиям регламентирующих документов (как вариант - путем создания СРО, не затрагивая при этом существующие системы лицензирования и сертификации);
- обо всех случаях непорядочного поведения компании, обмана или введения в заблуждение заказчика уведомлять Комитет АПКИТ по информационной безопасности;
- прилагать усилия к расширению списка участников подписавших Хартию.
Также важно отметить, что у пользователей на сегодня нет достаточного инструментария для работы с хранилищами Big Data и возможно потребуется проведение дополнительных мероприятий организационно-технического характера. Представляется целесообразным также учитывать «цифровую трансформацию» российских операторов связи, которые наряду с традиционными услугами связи начали предоставлять пользователям инновационные инфокоммуникационные услуги (цифровая медицина, системы на основе искусственного интеллекта и т.п.). Последнее приведёт к дополнительному объёму данных, подлежащих передаче и хранению, формулированию новых требований к их обработке и защите (например, соблюдение медицинской тайны).
Для решения всех этих вопросов необходимо проведение соответствующих научно-исследовательских и опытно-конструкторских работ, существенные средства и время до 3-5 лет работы ведущих специализированных научно-технических организаций. Целесообразно подготовить «дорожную карту» решения задачи обеспечения ИБ, наметить этапы реализации, определить опытную зону, предусмотреть финансовое, материальное и кадровое обеспечение, необходимые для разработки дополнительных НПА, проведения НИОКР и сопутствующих мероприятий.
При этом очевидно, что разработка технических (аппаратных и программных) средств создаваемой АС без учета требований ИБ может привести к значительным необоснованным затратам в последующем.
Второй вопрос, вынесенный на заседание Экспертной группы, касался использования российского DWDM оборудования при построении защищенных высокоскоростных сетей связи.
Смирнов Дмитрий, ООО "Системы практической безопасности", доложил о технических особенностях собственной разработки компании – комплекса в составе Модуля шифрования (МШ) «Квазар» и комплекта смарт-карт. В нем используется телекоммуникационное оборудование спектрального уплотнения (DWDM и CWDM) для оптических сетей связи отечественной компании Т8.
Устройство предназначено для обеспечения защиты от навязывания ложной информации, несанкционированного доступа и компьютерных атак (включая защиту от скрытых логических каналов передачи) по отношению к информации, передаваемой между клиентами OTN сетей.
Типовыми применениями МШ «Квазар» является их включение между высокопроизводительными центрами обработки данных (ЦОД), при этом обеспечивается криптоимитозащита всей передаваемой между ЦОД информации. Возможно включение МШ «Квазар» между головным офисом и территориально удалёнными филиалами организации, а также их включение между узлами связи мультисервисной сети, обеспечивающей передачу телефонного трафика, видеопотока и потока данных документальной связи.
По заключению Экспертной группы, создание МШ «Квазар» подтверждает реальную возможность импортозамещения зарубежных аналогов телекоммуникационного оборудования на территории РФ и целесообразность организации разработки отечественных стандартов и требований для координации усилий по разработке российского оборудования, обеспечивающего защиту высокоскоростных оптоволоконных сетей.
В заключение заседания Экспертная группа приняла решение присоединиться к инициативе Ассоциации предприятий компьютерных и информационных технологий (АП КИТ) по созданию отраслевого сообщества ответственных компаний, готовых работать на рынке информационной безопасности в цивилизованной форме и участвовать в его развитии, в формате «Хартии владельцев и руководителей компаний, работающих в области защиты информации и криптографии». Документ разработан в АП КИТ, декларирует некоторые принципы работы компаний и позицию руководства этих компаний. Экспертная группа рекомендовала участникам заседания и членам комиссии РСПП поддержать подписание Хартии.