• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Статьи по теме: «Информационная безопасность»

Главная Специалистам Статьи Интервью с экспертом: «Что сделает Интернет в России безопасным и устойчивым?»

Интервью с экспертом: «Что сделает Интернет в России безопасным и устойчивым?»

Накануне двадцатипятилетнего юбилея общественно-государственного объединения «Ассоциация документальной электросвязи» Аркадий Кремер, председатель Исполкома АДЭ, рассказал в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) о деятельности этой организации. Он также поделился своими соображениями относительно состояния и перспектив развития трех ключевых направлений обеспечения информационной безопасности: совершенствования нормативной правовой базы, стандартизации организационных, процедурных и технологических решений, а также просветительской и культурологической деятельности.

Интервью с экспертом: «Что сделает Интернет в России безопасным и устойчивым?»

В августе 2019 года АДЭ отметит 25 лет с момента образования. Расскажите, пожалуйста, с чего все начиналось. В чем была главная идея создания этой организации?

Действительно, прошло уже 25 лет с того времени, как группа физических лиц инициировала образование общественного объединения «Ассоциация документальной электросвязи». В эту группу вошли руководители Министерства связи того времени, ученые, специалисты, преподаватели. Почему возникла такая идея? Развитие рыночных отношений привело к тому, что квалифицированные специалисты стали уходить из отраслевых НИИ в коммерческие компании. В итоге возникли проблемы с подготовкой и совершенствованием необходимых отрасли нормативных документов. Нужно было сохранить экспертные ресурсы для продолжения нормотворчества. Первым руководителем АДЭ стал заместитель главы министерства связи Александр Евгеньевич Крупнов. Позднее он возглавил и министерство. Я присоединился к работе АДЭ как доцент Московского электротехнического института связи. Мы сразу же начали взаимодействовать с операторским сообществом, призывая его членов к участию в формировании нормативной базы в интересах развития отрасли. Поначалу успехи были скромные. На предложения АДЭ обсуждать развитие нормативной базы почти никто не откликался. Многим представителям бизнеса казалось, что чем меньше обременений, тем лучше. Впоследствии бизнес начал осознавать, что новые требования будут формироваться без его участия, и постепенно к работе АДЭ стали присоединяться эксперты.

В 2000 году статус АДЭ кардинально изменился – учредителем АДЭ стало Правительство Российской Федерации. Специальное распоряжение об этом подписал Владимир Владимирович Путин. Как и почему это произошло?

Постепенно становилось понятно, что объединение физических лиц не может эффективно продвигать важные предложения по развитию нормативной базы, и, особенно, в сфере обеспечения информационной безопасности. Поэтому мы стали искать другие организационно-правовые формы и нашли их. Это общественно-государственное и государственно-общественное объединения, которые в соответствии с российским законодательством могут быть образованы одним из трех способов: Указ Президента, закон, принимаемый Госдумой, и распоряжение Правительства. Был выбран третий способ, как тогда казалось, самый простой. На его реализацию ушло более двух лет. Примечательно, что статус АДЭ поменялся именно тогда, когда Владимир Владимирович Путин был Председателем Правительства Российской Федерации. Организовав общественно-государственное объединение, Правительство подчеркнуло свою заинтересованность во взаимодействии власти и бизнеса и разрешило органам государственной власти быть членами АДЭ. Распоряжение предписывало руководству Министерства связи утвердить Устав АДЭ, а Минюсту России – его зарегистрировать. Важно отметить, что Устав предусматривает право вето при принятии решений для представителей органов государственной власти. Это положение придало еще больший вес и авторитет АДЭ.

Применялось ли право вето на практике?

Да, такая ситуация возникла при обсуждении обращения ICANN с предложением заключить соглашение с АДЭ о сотрудничестве. Проект соглашения предусматривал предоставление информации в ICANN в одностороннем порядке и не был поддержан Регулятором (Министерством связи). Мы подготовили и направили свои корректировки документа, предусмотрев равные права и обязанности сторон. Они были согласованы ICANN. После этого, при поддержке Министра связи того времени - Леонида Дододжоновича Реймана, документ был подписан. Взаимодействие и обмен информацией – вещи абсолютно необходимые для обеспечения доверия и безопасности. Подписание соглашения позволило некоторое время спустя организовать в Москве на площадке АДЭ первую встречу и переговоры о сотрудничестве между руководителями МСЭ и ICANN.

В чем практические преимущества организации в форме общественно-государственного объединения?

Преобразование общественного объединения, образованного по инициативе группы физических лиц, в общественно-государственное объединение, учредителем которого стало Правительство Российской Федерации, существенно расширило поле деятельности АДЭ в интересах отрасли. В отличие от общественного объединения, членами которого могут быть только физические лица и другие общественные объединения, в новое (и единственное в отрасли) общественно-государственное объединение вошли органы государственной власти, операторы связи, производители оборудования, интеграторы, научные и учебные организации. АДЭ работает не на увеличение количества поддерживающих готовящееся решение организаций, а на уменьшение количества возражающих против его принятия. Такой подход повышает эффективность принимаемых решений и уменьшает связанные с их реализацией риски. Есть множество примеров, когда мнение АДЭ учитывалось как при внесении изменений в проекты нормативных документов, так и при отказе от принятия спорных или недостаточно обоснованных документов.

В идеале проекты нормативных документов, а также предложения по перспективам технологического развития должны формироваться отраслевыми НИИ. На практике, из-за недостаточного финансирования и поддержки со стороны государства, и, как следствие, недостатка квалифицированных кадров и стремления заниматься операционной деятельностью в ущерб научной, из НИИ нередко выходят поверхностные документы, не имеющие ни научной новизны, ни практического значения. Рабочие группы, формируемые в АДЭ для разработки проектов отраслевых нормативных документов, возглавляют представители органов государственной власти (методологическое обеспечение безопасности критической информационной инфраструктуры (КИИ), нормативное и инструментальное обеспечение испытаний оборудования СОРМ, управление качеством услуг связи и т. д.). Входящие в эти группы ведущие отраслевые эксперты участвуют в разработке предложений не ради получения материального вознаграждения, а ради решения конкретных практических задач, стоящих перед организациями, в которых они работают, и, главное, – ради создания понятной, непротиворечивой и предсказуемой нормативной правовой среды отрасли.

Рассматривался ли законопроект об обеспечении безопасного и устойчивого функционирования Интернета на территории Российской Федерации в рабочих группах или комитетах АДЭ?

Этот законопроект активно обсуждался в АДЭ. Подготовленные замечания мы представили на слушаниях в Государственной Думе. Было установлено тесное и исключительно полезное взаимодействие с одним из авторов законопроекта Андреем Константиновичем Луговым.

Принятый закон предусматривает создание механизма противодействия угрозам устойчивости, безопасности и целостности функционирования сети Интернет на территории Российской Федерации. В случае возникновения таких угроз российский сегмент Интернета может быть переведен на централизованное управление, осуществляемое Роскомнадзором в порядке, определенном Правительством Российской Федерации. Согласно положениям закона, будет развернута дублирующая система, обеспечивающая адресацию доменных имен и маршрутизацию пакетов данных в российском сегменте сети Интернет, снижающая критичность его зависимости от зарубежных организаций. Сохраняется роль Координационного Центра национального домена сети Интернет (КЦ), взаимодействующего с международными организациями. Одним из учредителей КЦ является АДЭ. Закон подразумевает создание развернутой системы подзаконных актов, а масштабность поставленных задач требует активного вовлечения в тесный диалог всех участвующих в подготовке этих документов сторон.

Обсуждение законопроекта выявило отсутствие общепринятых терминов и определений, касающихся роли и места российского сегмента сети Интернет.

А что Вы вкладываете в понятие «Интернет»?

Долгое время я работал в Международном союзе электросвязи (МСЭ) руководителем исследовательской комиссии по стандартизации информационной безопасности. В деятельности этой комиссии активно участвовал один из создателей Интернета Роберт Кан. Однажды я задал ему точно такой же вопрос, который Вы сейчас задали мне. Кан ответил, что Интернет – это не устройства, не приложения, не сети и не информационные ресурсы. Интернет – это то, что все объединяет. С тех пор я ничего лучшего не слышал. Смысл и перспектива Интернета состоит именно в том, что он может объединять для совместной работы разнородные сети, устройства, приложения и информационные ресурсы.

Одни критики законопроекта называют его «законом об отключении от мирового Интернета». Другие полагают, что строительство системы фильтрации контента, которую обойти действительно невозможно, обойдется в миллиард долларов, как в КНР. Что бы вы им ответили?

Сама концепция закона совершенно открыта и прозрачна – у государства должен быть механизм собственной защиты. Необходимо иметь организационные, процедурные и технологические средства противодействия новым угрозам информационной безопасности, базирующимся на новых технологических возможностях, а также иметь законодательные нормы, регулирующие применение таких средств противодействия. Государство не должно «бегать» за представителями бизнеса и уговаривать их блокировать противоправный контент, не имея возможности решить эту задачу самостоятельно. Поэтому с точки зрения стоящих перед государством задач, оно все делает правильно.

В отношении дальнейшей работы над реализацией закона хотел бы выделить два аспекта.

Первый. Норма закона о снятии ответственности с операторов (и Регулятора) за прекращение оказания услуг населению при установке на сетях специального оборудования требует уточнения в подзаконных актах. Установка средств обеспечения безопасности не должна приводить к ограничению функциональности и стабильности оказания инфокоммуникационных услуг населению (в том числе, оповещению о чрезвычайных ситуациях для сохранения жизни и здоровья граждан). Практические меры по реализации закона должны проходить объективную независимую проверку на предмет исключения их негативного влияния на стабильную работу операторов связи.

Второй. Реализация основных положений закона – сложнейшая техническая задача (в особенности потому, что все большая часть интернет-трафика шифруется). Технические устройства блокировки противоправного контента, за разработку и установку которых государство должно заплатить значительные средства, должны гарантированно выполнять требования, устанавливаемые к их функциональности и безопасности. Необходимо разработать и реализовать программы и методики проверки соответствия установленным требованиям.

Реализация двух указанных аспектов необходима для обеспечения доверия граждан и бизнеса к закону. Без такого доверия сделать Интернет в Российской Федерации безопасным и устойчивым будет очень сложно.

Критики закона утверждают, что в России просто нет своих технологий для его реализации – почти весь Рунет основан на зарубежном оборудовании. В этой связи уместно поднять вопрос об импортонезависимости. Что предпринимает АДЭ в этом направлении?

Мы работаем над подготовкой предложений по совершенствованию порядка отнесения аппаратных и программных средств к отечественным, учитывая реальные возможности производства, модернизации и обслуживания технических средств, а также возможность их поставки на всей территории Российской Федерации.

АДЭ содействует внедрению в образовательные программы технических ВУЗов учебных комплексов, выполненных на отечественных аппаратно-программных средствах и позволяющих формировать навыки и компетенции по разработке, внедрению и проведению исследований с использованием отечественного оборудования. Ряд входящих в АДЭ организаций – Координационный центр доменов .RU/.РФ, ЦКС, «Базальт» и МЦСТ – разработал и внедрил на базовой кафедре АДЭ в МТУСИ типовой отечественный модуль изучения интернет-технологий. Модуль включает российские вычислительные комплексы Эльбрус, операционную систему Альт компании «Базальт», построенные на их основе технические решения, а также учебно-методические материалы для изучения технологий сети Интернет (коммутацию, маршрутизацию, DNS, шифрование трафика и др.). Российские интернет-технологии есть, они работают, и работают достаточно эффективно. В настоящее время обсуждается следующий этап проекта – создание типового отечественного модуля изучения технологий информационной безопасности.

Нужны ли России собственные стандарты в области ИТ и ИБ, чтобы качество отечественного оборудования удовлетворяло пользователей и было способно обеспечить стабильную работу Интернета?

Конечно, стандарты нужны. Они регулируют три важных направления разработки и внедрения новых технических средств: технологическое, организационное и процедурное. И в этом плане стандарты дополняют законодательное регулирование, которое должно быть технологически нейтральным и технологически инерционным. В области международной стандартизации информационной безопасности исключительно важную роль играет МСЭ. Участвуя в его деятельности, мы получаем доступ к знаниям, экспертизе и лучшим практикам, наработанным более, чем в 190 странах. Каждая страна имеет в МСЭ право вето, что позволяет блокировать и корректировать проекты международных стандартов, противоречащих национальным интересам. Мы улучшаем профессиональный имидж, когда наши представители выступают в МСЭ с яркими и дельными предложениями. И, наконец, мы участвуем в международном разделении труда. Развивающиеся страны, являющиеся членами МСЭ, получают значительные средства из бюджета этой организации на внедрение у себя новейших систем ИКТ и информационной безопасности. Конечно, нам выгодно, чтобы эти страны оснащались российским оборудованием, особенно, в сфере информационной безопасности.

Разработка и принятие национальных стандартов оправданы в том случае, если отсутствуют соответствующие международные требования. Начинать нужно с изучения того, что уже существует, а затем оценивать наличие соответствующих интеллектуальных и материальных ресурсов для разработки собственных решений по техническому регулированию.

В настоящее время много говорится о формировании информационной культуры. Обсуждается ли эта тема в рамках АДЭ?

Информационную культуру принято рассматривать как владение навыками восприятия, обработки и распространения информации, не причиняющими вреда себе, своим близким и своей стране. Такие навыки особенно важно формировать в молодежной и подростковой среде, не имеющей достаточного научного, практического и нравственно-этического опыта восприятия, обработки и распространения информации. Формирование информационной культуры молодежи обеспечивает ее адаптацию к новым, современным условиям работы в цифровой среде. Сложность состоит в том, что глобализация экономики и создание «глобального информационного общества» сопровождаются скорее разрушением ранее сложившихся этических систем, чем формированием глобального нравственного сознания. Серьезные расхождения в представлениях о поведении подобающем и недопустимом затрудняют совместную деятельность людей. Все чаще возникает необходимость договариваться о правилах, формулировать установки, которые должны разделяться всеми членами той или иной организации или сообщества, принимать этические кодексы и устанавливать санкции за их нарушение.

Мы ежегодно проводим молодежные форумы по данной тематике. В этом году форум состоялся 13 мая в МГЛУ. В итоговом документе форума говорится о поддержке тиражирования и масштабирования образовательных проектов по изучению интернет-технологий и технологий информационной безопасности, использующих отечественные аппаратные и программные средства. Участники форума обратились к федеральным органам исполнительной власти, уполномоченным реализовывать государственную политику в областях науки и образования, цифрового развития, информационных технологий и связи, с предложением об организации всероссийского публичного мероприятия «Всероссийский диктант по информационной безопасности» для популяризации знаний и навыков по обеспечению информационной безопасности.

Отмечая важность, сложность и многообразие обсуждаемых в рамках формирования информационной культуры вопросов, АДЭ планирует объединить усилия государственных, научных, производственных и образовательных организаций путем создания постоянно действующего научно-методического совета по вопросам формирования информационной культуры в цифровой среде.
Управление инцидентами и событиями информационной безопасности Политики информационной безопасности: первый уровень организационно-распорядительных документов системы информационной безопасности