Интервью с экспертом: «Экспертное сообщество помогает строить цифровую экономику России»
Какова роль общественных объединений экспертов ИБ (в том числе АЗИ) в развитии отечественной индустрии ИТ? Могут ли эти объединения прямо или косвенно способствовать повышению уровня защищенности российских предприятий и организаций от современных угроз ИБ? Каким образом?
Общественные объединения создаются прежде всего в целях координации деятельности их членов, представления и защиты общих интересов в различных инстанциях. Такая практика довольно распространена. АЗИ (в соответствии со своим уставом) тоже защищает имущественные и иные права членов ассоциации, в том числе, оказывая консультативную и правовую поддержку своим членам, рекламирует и продвигает их продукты на российском и международном рынках, помогает в организации информационного обмена между членами ассоциации, направленного на совершенствование средств и методов защиты информации. Кроме того, АЗИ участвует в развитии нормативно-правовой базы, регулирующей сферу информационной безопасности, и работает над развитием механизмов частно-государственного партнерства в области обеспечения защиты информации. Конечно же, вся эта многоплановая работа прямо и косвенно способствует повышению уровня защищенности российских предприятий от современных угроз ИБ. Ассоциация помогает своим членам действовать эффективнее, выпускать более совершенные продукты и услуги, предназначенные потребителям. А это в свою очередь ведет к повышению уровня их защищенности от современных угроз ИБ.
Какие приоритетные проблемы обеспечения информационной безопасности рассматриваются экспертным сообществом в связи с курсом правительства на развитие цифровой экономики?
Как вы знаете, в целях реализации национальной программы «Цифровая экономика» утвержден план мероприятий по направлению «Информационная безопасность». План включает большое количество мероприятий, изложенных на 124 страницах. Это объемный документ, но основные цели плана мероприятий можно назвать. Их три. Первая – это обеспечение единства устойчивости и безопасности информационно-телекоммуникационной инфраструктуры Российской Федерации на всех уровнях информационного пространства. Вторая цель – обеспечение организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики. Третья цель – создание условий для лидирующих позиций России в области экспорта услуг и технологий информационной безопасности, а также учета национальных интересов в международных документах по вопросам информационной безопасности. Эксперты нашей ассоциации активно участвовали в формировании плана мероприятий по направлению «Информационная безопасность», и мы поддерживаем основной круг целей и задач, закрепленных в нем. Достижение этих целей, на наш взгляд, как раз и является приоритетом в решении актуальных проблем обеспечения информационной безопасности на этапе строительства цифровой экономики России.
В чем, с точки зрения экспертов АЗИ, заключается основная проблематика реализации концепции ГосСОПКА и защиты объектов критической информационной инфраструктуры (КИИ)?
Проблематика ГосСОПКА неоднократно обсуждалась экспертами, начиная с января 2013 года, когда вышел указ Президента Российской Федерации № 31с. Определенные сдвиги в создании такой системы есть. Однако преждевременно утверждать, что она уже готова. Я вижу здесь две основные проблемы. Первая – это отсутствие необходимой численности профессиональных кадров для создания и функционирования системы. Вторая проблема заключается в отсутствии понятных алгоритмов обмена информацией между ее отдельными компонентами. Наличие этих проблем тормозит реализацию концепции ГосСОПКА. В отношении объектов КИИ можно сказать, что наше профессиональное сообщество долго созревало до осознания этой проблемы. Активное обсуждение вопросов защиты КИИ на различных конференциях и форумах началось пять-семь лет назад. А федеральный закон «О безопасности КИИ» вышел в свет только в прошлом году, поэтому его исполнению препятствует отсутствие необходимой практики в реализации закона. То есть в отношении защиты объектов КИИ мы находимся в начале пути. Практическое применение и выполнение требований готовящихся и уже имеющихся сейчас нормативных документов, конечно, подкорректируют нашу деятельность в этом направлении. И второе: многое в регулировании вопросов, связанных с защитой объектов КИИ, отдано на откуп их владельцам. Это может вызвать негативные последствия. В частности, у нас до сих пор нет общероссийского реестра таких объектов. Сейчас запущен процесс, в ходе которого руководители и владельцы систем КИИ сами подают сведения о них во ФСТЭК России. В результате могут возникнуть проблемы с полнотой и достоверностью передаваемых сведений, а в реестр может попасть гораздо меньшее количество объектов КИИ, чем существует в реальности.
Какие новые и перспективные технологии, по мнению экспертов АЗИ, будут способствовать повышению защищенности российских организаций и предприятий?
Отвечу коротко и без указания конкретных наименований технологий. Только отечественные технологии позволят повысить защищенность информационной инфраструктуры России. В Доктрине информационной безопасности нашей страны совершенно справедливо говорится о том, что состояние информационной безопасности характеризуется недостаточным уровнем развития конкурентоспособных информационных технологий и их использования для производства продукции и оказания услуг. Остается высоким уровень зависимости отечественной промышленности от зарубежных ИТ в части, касающейся электронной компонентной базы, программного обеспечения (ПО), вычислительной техники и средств связи. Это обуславливает зависимость социально-экономического развития Российской Федерации от геополитических интересов зарубежных стран. Поэтому, говоря о перспективных технологиях информационной безопасности, нужно прежде всего подразумевать отечественные разработки.
Каковы, например, перспективы использования технологий обработки и анализа Больших Данных в целях обеспечения информационной безопасности организаций? Есть ли в отрасли успешные примеры использования таких технологий, которые следовало бы широко тиражировать?
Такие технологии имеют хорошую перспективу, причем применительно к различным областям науки и практической деятельности. Надо понимать, что сами по себе технологии Больших Данных не являются инструментом обеспечения ИБ, но они могут влиять на состояние информационной безопасности опосредованно. Увы, в настоящее время технологии Больших Данных, как правило, предусматривают применение импортного ПО. Но уже сейчас ведется работа по переходу на отечественные разработки в этой области. Их опосредованное влияние на состояние информационной безопасности и безопасности в более широком понимании заключается в возможности использования накопленных данных для анализа социо-технических систем и выявления на основе такого анализа деструктивных устремлений тех или иных групп людей. Но это не единственное направление применения Больших Данных. Они могут применяться и в других сферах, например, в медицине для установления диагноза заболеваний и др. Наша ассоциация тесно сотрудничает на этом направлении с российскими компаниями, которые давно занимаются вопросами обработки Больших Данных. Но конкретных примеров использования технологий Больших Данных российскими предприятиями и организациями непосредственно в целях защиты информации мне пока не известно. Например, в банках эти технологии могли бы использоваться для борьбы с мошенничеством. Вот только что именно происходит в банковской сфере зачастую не доходит до широкой общественности, публичной становится только какая-то обобщенная информация, без конкретики.
Следует ли рассматривать технологии распределенных реестров (блокчейн) как одно из перспективных направлений в сфере ИБ? Как технология блокчейн могла бы повысить информационную безопасность цифровой экономики в целом и безопасность объектов КИИ в частности?
Очень сложно сформулировать однозначный ответ на этот вопрос. Дело в том, что сама технология блокчейн до конца не изучена. Мы пока видим ее некоторые положительные характеристики, лежащие на поверхности. И эти положительные свойства проявляются в идеальных условиях использования блокчейна, когда нет внутренних нарушителей, внешних атак и прочих неприятностей. Наша ассоциация ежегодно проводит форум по обсуждению актуальных проблем информационной безопасности. На этот форум мы обычно приглашаем представителей регуляторов. В этом году на форуме, прошедшем 12 апреля, мы попросили специалистов ФСБ России осветить вопрос — как регулятор относится к подобным технологиям. Регулятор высказал такое мнение: в этой технологии больше проблем, чем решений, а сама технология находится на начальном этапе развития. Регулятор обосновывает это тем, что ряд важных для внедрения блокчейна вопросов еще не решены. В частности, это вопросы экономической обоснованности внедрения, безопасности протокола консенсуса, масштабирования сетей, безопасности персональных данных, обеспечения конфиденциальности данных, управления идентификационными данными, защиты от сетевых атак, аудита безопасности реализации, обеспечения юридической значимости действий и др. Из этого перечисления понятно, что до внедрения блокчейна в практику еще пройдет некоторое время. Но специалисты работают над этими вопросами. Вероятно, какие-то решения, способствующие применению технологии распределенных реестров, мы увидим в ближайшем будущем.
Имеет ли место практическое применение квантовой криптографии в России? Или это направление пока нужно рассматривать как теоретическую возможность для повышения уровня защищенности от угроз ИБ?
С похожим вопросом на форуме АЗИ мы обратились к регулятору. И ответ прозвучал примерно такой же, как на вопрос о блокчейне: большинство квантовых криптографических систем сейчас крайне уязвимо к атакам в силу несовершенства элементной базы. Хотя некоторое продвижение вперед на этом направлении есть – активно ведутся теоретические изыскания и практические исследования. Думаю, что в итоге это позволит поставить на практическую основу применение квантовой криптографии в России. Кстати, в июле 2017 года были утверждены временные требования к квантовым криптографическим системам, к выработке и распределению ключей для средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Понятно, что эти требования на пустом месте появиться не могли. Наверняка какая-то основа для продвижения вперед здесь имеется. В том, что квантовая криптография - это перспективно, наверное, никто не сомневается. Нужно только сначала решить ряд проблемных вопросов.
Каковы перспективы применения сервисной модели при обеспечении информационной безопасности? Выработаны ли уже на рынке услуг ИБ обоснованные метрики качества услуг и критерии соответствия требованиям регуляторов в этой сфере?
Нужно различать компании, которые работают в отрасли ИБ, осуществляют оказание услуг в сфере ИБ и производят средства защиты информации, и те организации, деятельность которых связана с использованием вычислительных средств и телекоммуникаций для решения своих основных задач, не отнесенных к области ИБ. Для компаний первой группы применение сервисной модели не столь актуально. Для второй группы это может быть актуально, поскольку сервисная модель позволяет небольшим организациям нанимать внешних специалистов для обеспечения своей информационной безопасности. И поскольку эти специалисты обслуживают не одного, а множество клиентов, затраты на решение вопросов ИБ для каждого из клиентов будут меньше, чем для одной организации, самостоятельно обеспечивающей защиту своих информационных активов по традиционной модели. Что касается обоснованных метрик качества сервиса, то мне подобных документов пока не встречалось. В сфере информационной безопасности есть методики и руководящие документы ФСТЭК России, например, регламентирующие вопросы защиты от несанкционированного доступа или предотвращения утечек. В этих методиках и документах прописаны все необходимые требования.
Есть также нормативные документы ФСБ России, регулирующие подобные вопросы. Но они в большей степени относятся к средствам защиты информации и организации соответствующих систем на предприятиях. А вопросы применения сервисной модели обычно решаются внутри отрасли ее участниками самостоятельно. Впрочем, существуют компании, которых регулятор наделил правом аттестации тех или иных объектов информатизации, и иногда для такой аттестации привлекаются внешние компании из отрасли ИБ. Есть еще крупные корпорации, в которых обеспечение информационной безопасности поставлено на широкую ногу, в том числе с использованием сервисов ИБ для внутренних подразделений. Но, характеризуя ситуацию в целом, говорить о том, что сервисная модель на рынке информационной безопасности в настоящее время применяется широко, наверное, нельзя.
Один из важнейших аспектов обеспечения информационной безопасности – подготовка квалифицированных кадров. Учитывает ли существующая в стране система подготовки специалистов по ИБ скорость развития ИТ и изменения ландшафта угроз, особенно для объектов критической информационной инфраструктуры? Если учитывает, то как именно?
Это действительно очень важный аспект, о чем свидетельствуют следующие факты. Регулярно вопросы кадрового обеспечения в области ИБ обсуждаются на заседаниях научного совета при Совете безопасности Российской Федерации и Межведомственной комиссии по информационной безопасности Совбеза РФ. В числе исполнителей программы «Цифровая экономика» обозначены Федеральное учебно-методическое объединение (ФУМО) в системе среднего профессионального образования (СПО) и ФУМО в системе высшего образования. По мнению руководителей этих УМО, в программе достаточно полно представлены мероприятия, способствующие повышению качества подготовки специалистов в сфере ИБ. Успевает ли система образования за происходящими изменениями? В настоящее время основным документом, определяющим требования к содержанию учебных программ и уровню подготовки студентов, является федеральный государственный образовательный стандарт (ФГОС). Сейчас мы уже говорим о скором принятии ФГОС пятого поколения – ФГОС 3++. Довольно частая смена стандартов не связана с развитием информационных технологий. Но она связана со своими течениями внутри Министерства образования. Те форматы, в которых существуют в настоящее время ФГОС 3+ и ФГОС 3++, позволяют эту динамику отслеживать. Ведь у нас в стандартах нет конкретных наименований тех или иных технологий. Если мы говорим об операционной системе (ОС), то как правило не называем какую-то конкретную ОС. То же самое в отношении обучения администрированию и защите баз данных. Но в дополнение к стандартам существуют примерные образовательные программы по дисциплинам, в которых эта конкретика указывается. Вузы могут менять программы каждый год с учетом скорости развития ИТ, текущих изменений ландшафта угроз или методов и средств защиты информации. Такой подход позволяет достаточно просто (по согласованию с УМО) и оперативно отслеживать и учитывать происходящие перемены. Напротив, переделать образовательный стандарт под новые угрозы или технологии защиты от них значительно сложнее, чем программы.
Здесь уместно напомнить, что в программе «Цифровая экономика» аспектам образования уделено особое внимание, и в упомянутом плане мероприятий по ИБ есть пункты, которые намечено реализовать в ближайшее время. Это шесть основных мероприятий. Первое – это разработка требований к модели компетенций обучающихся в системе профессионального образования в области ИБ для всех специальностей и направлений подготовки. Второе – разработка целевой программы «Подготовка кадров» в области ИБ на 2020-2025 годы. Третий важный пункт – формирование требований к созданию и внедрению высокотехнологичных специализированных комплексов и полигонов учебно-тренировочных средств и иной материально-технической базы для организации образовательного процесса по программам ИБ. Четвертое – разработка базовых лабораторных практикумов, направленных на формирование фактических умений и компетенций в области обнаружения и противодействия компьютерным атакам, технологий и методов защиты информации, в том числе в отношении спутниковых систем связи, а также создание многофункциональных окружных научных производственных центров по проблемам ИБ в каждом федеральном округе на базе ведущей образовательной организации высшего образования, реализующей основные образовательные программы в области ИБ, а также межрегиональных центров в области ИБ в системе СПО. Пятое – это разработка новых профессиональных стандартов, примерных основных профессиональных образовательных программ (ПОПОП) в области ИБ, а также внесение изменений во ФГОС и ПОПОП, отражающих требования к формированию компетенций в сфере ИБ для всех уровней образования. Шестое – это разработка мер по совершенствованию федерального государственного контроля качества образования при реализации основных профессиональных образовательных программ в области ИБ, включая разработку соответствующих нормативно-правовых актов и распорядительных документов, реализующих контроль качества образования на федеральном и региональном уровнях.
Из перечисления этих первоочередных мероприятий должно сложиться впечатление, что многие из них направлены на практико-ориентированную подготовку. И это правильно, поскольку год-полтора назад наше УМО провело анализ соответствия материально-технической базы образовательных организаций, реализующих подготовку специалистов ИБ, требованиям стандартов. Как оказалось, только 56% образовательных организаций удовлетворяют этим требованиям. Это не очень хороший сигнал и именно поэтому возникла идея создания окружных учебно-научных центров, которые бы позволили решать задачи подготовки студентов различных образовательных организаций, находящихся в каждом округе. Там есть ряд неразрешенных юридических моментов. Но поскольку эта идея поддержана министерством науки и высшего образования, я думаю, что мы эти вопросы скоро решим.
В части технического наполнения центров у нас есть представление что из себя должны представлять такие центры, и какие задачи они должны решать. Эта работа вполне по силам вузам, на базе которых будут создаваться центры. АЗИ планирует принять непосредственное участие в реализации данных мероприятий. С этой целью в ближайшее время АЗИ организует конкурс на лучшие проекты лабораторных комплексов. Причем эти комплексы будут ориентированы на конкретные специальности и направления подготовки. У нас задумка такая: сделать отдельные комплексы применительно к каждой специальности. Конечно, они будут иметь какую-то схожесть, но одновременно будут учитывать специфику специальностей и направлений подготовки. Причем под направлением подготовки мы имеем ввиду прежде всего подготовку бакалавров. Потому что применительно к магистратуре, где достаточно большая свобода дается образовательным организациям, и количество этих магистерских программ ничем не ограничивается, трудно предложить какой-то универсальный комплекс, учитывающий потребности всех магистерских программ.
Кроме того, нужно отметить, что в структуре АЗИ полтора года назад создан центр профессионально-общественной аккредитации образовательных программ и независимой оценки квалификации специалистов ИБ. Эта инициатива связана с направлениями, реализуемыми в рамках независимой оценки квалификаций. На наш взгляд, реализация задач, стоящих перед данным центром позволит в рамках профессионально-общественной аккредитации образовательных программ проконтролировать учет требований профессиональных стандартов ИБ при подготовке специалистов. Что касается независимой оценки квалификации, эти процедуры мы готовы реализовывать и участвовать в их реализации путем создания соответствующих методических материалов в виде фондов оценочных средств для профессиональных экзаменов и создания таких структур как центры оценки квалификации и экзаменационные площадки.
Как будут выглядеть эти центры и площадки?
Сейчас у нас есть Национальный совет при Президенте Российской Федерации по профессиональным квалификациям, который возглавляет Александр Шохин. Этим Советом наработано большое количество методических материалов по профессионально-общественной аккредитации и независимой оценке квалификации.
Есть Национальное агентство по развитию квалификаций, где тоже есть много аналогичных наработок, и по ряду квалификаций уже разработаны фонды оценочных средств для проведения профессионального экзамена. Правда для специалистов ИБ такого фонда пока нет, и мы в АЗИ планируем его создать.
В федеральном законе о независимой оценке квалификации прописаны моменты создания центров оценки и ограничения для них. Основное требование: эти центры не должны функционировать на базе образовательных организаций. Потому что здесь возникает конфликт интересов. Ведь образовательная организация в лице государственной экзаменационной комиссии при выпуске обучающихся уже фактически аттестует их. Естественно, что проверять их квалификацию повторно вуз не должен. Этим должны заниматься независимые центры оценки квалификации. Сейчас это направление только-только начинает формироваться. Эта процедура для вузов, для других образовательных организаций и для специалистов является добровольной. Но вероятно в ближайшее время будет издан нормативно-правовой документ, повышающий мотивацию специалистов к прохождению независимой оценки их квалификации. Пока такой мотивации нет. Хотя ряд вузов уже прошли профессионально-общественную аккредитацию. В этом процессе много особенностей. Например, в законе сказано, что результаты такой аккредитации могут учитываться при прохождении государственной аккредитации. Но каким образом – не написано. Наверное, скоро это будет разъяснено в новых нормативных актах, что позволит в полном объеме запустить данную процедуру. Однако цели, которые ставятся перед этой системой очень важны, а приоритетом является учет требований соответствующих профессиональных стандартов.
Каково общее состояние системы среднего профессионального образования в области информационной безопасности? Как связаны между собой СПО, высшее и дополнительное образование в сфере ИБ?
За последнее десятилетие качественно изменилось состояние системы СПО. Мы начинали формировать эту систему применительно к нашей области деятельности (ИБ) с эксперимента, в котором участвовало три колледжа. Сейчас подготовку специалистов среднего звена ведут 80 профессиональных образовательных организаций СПО и 25 организаций высшего образования (это вузы, в структуре которых есть колледжи). Эти организации расположены в 58 субъектах России. Что касается связи СПО, высшего образования и ДПО, то нужно иметь ввиду, что СПО в большей степени носит практико-ориентированный характер. Высшее образование, тоже имея практико-ориентированный сегмент, в большей степени ориентировано на фундаментальную подготовку. ДПО обусловлено быстрой динамикой изменения как информационных технологий, так и средств и методов технической защиты информации. Мы при реализации ДПО исходим из следующих соображений: применительно к специалистам из других областей есть требование, что повышение их квалификации должно осуществляться один раз в пять лет. В области ИБ – один раз в три года. Это обусловлено тем, что именно в ИБ динамика изменения средств защиты очень велика. Говоря, что уровни образования связаны между собой, надо иметь ввиду, что программы СПО по длительности обучения сопоставимы с временем подготовки бакалавров. Но есть разница в этих программах подготовки. Учет тех знаний, навыков и умений, которые получают выпускники колледжей, в вузах может происходить по-разному. Например, при поступлении такого специалиста в высшее учебное заведение вуз вправе сокращать срок обучения выпускников колледжей, если они могут учиться по сокращенной программе. Но здесь есть проблема: вуз старается набрать хотя бы группу обучающихся по такой сокращенной программе. И когда среди поступивших оказываются всего один-два выпускника колледжей, зачесть их прежние знания сложнее. Можно конечно организовать для них обучение по индивидуальному плану. Но это несколько менее эффективно по сравнению с обучением в группах. Поэтому тут есть проблема. А вот ДПО теснее связано с высшим образованием, поскольку в этих программах прописываются компетенции, на формирование которых направлены программы. И, как правило, эти компетенции берутся из образовательных стандартов высшего образования, тем самым обеспечивается их увязка. И даже в ряде программ ДПО указывается связь этих программ со специальностями высшего образования. Таким образом, связь между СПО, высшим и дополнительным образованием в сфере ИБ организована достаточно эффективно, но работу по гармонизации образовательных процессов на различных ступенях необходимо продолжить.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru