Процесс превращения информации сначала в продукт, а затем в товар стал знаковым явлением конца XX – начала XXI века. И информационно-товарно-денежные отношения естественным образом потребовали… безопасности. Причем обеспечение этой безопасности (если речь идет о серьезных организациях) по силам лишь профессионалам, специализирующимся в данной области.

На вопросы корреспондента “Computer World Казань” отвечает заместитель генерального директора казанского ОАО “ICL-КПО ВС” Валерий КРЫЖАНОВСКИЙ.

– Именно наше казанское предприятие – инициатор и бессменный организатор проведения традиционных всероссийских форумов “Информационные технологии специального назначения”. Но местные СМИ об этом почти не пишут…

– Подобные мероприятия в принципе проводятся без лишних глаз и ушей, такова международная практика… Вот уже в течение семи лет к нам приезжают специалисты, работающие в области разработки и создания систем информационной безопасности. На последней, седьмой конференции присутствовали наши постоянные партнеры из федеральных силовых структур и специалисты ОАО “Газпром”. Также в этом году интерес к нашим разработкам проявили ведущие московские НИИ, сотрудники государственных ведомств и органов государственной власти, ряда крупных предприятий Татарстана. Отнюдь не в качестве гостей присутствовали секретарь Совета безопасности Республики Татарстан Венер Салимов и начальник отдела информатизации Кабинета Министров РТ Рашид Юсупов.

Главной темой конференции было детальное знакомство с опытом ОАО “ICL-КПО ВС” по созданию комплексных систем информационной безопасности корпоративных информационно-управляющих систем. Также обсуждались стандарты и системы проектирования и эксплуатации.

Конечно, за восемь лет работы в этой области информационных технологий мы достаточно продвинулись. Нам было чем поделиться. Так, участники и гости с большим интересом отнеслись к докладу руководителя службы информационной безопасности ОАО “Газпром” Валентина Омельченко о действующей в концерне комплексной системе защиты информации, успешно прошедшей испытания и сертифицированной Гостехкомиссией РФ. Специалисты оценивают некоторые решения, использованные нами в этом проекте, как “революционные”. Именно за эту уникальную работу наше предприятие удостоено отраслевой премии ОАО “Газпром” по итогам 2000 года. Впрочем, могу сказать по секрету: на следующей конференции мы продемонстрируем нечто еще более “крутое”.

– “ICL-КПО ВС” – совместное предприятие, в составе совета директоров есть и иностранные граждане. Но ведь речь идет об информационной безопасности наших госструктур?

– Мы – российское предприятие, созданное, зарегистрированное и работающее по российским законам. Здесь работают российские граждане, а значит, мы наделены всеми правами и обязанностями, которые имеют другие российские акционерные общества. Члены совета директоров не имеют права вмешиваться в производственную и хозяйственную деятельность предприятия.

Соблюдая требование законодательства и иных нормативных актов Российской Федерации по лицензированию отдельных видов деятельности, мы располагаем лицензиями Минэкономразвития России, Гостехкомиссии Российской Федерации и органов государственной безопасности. При получении лицензий наше предприятие прошло специальную экспертизу, позволяющую оценить возможность и готовность к выполнению работ по защите информации. Причем лицензирующий орган, наряду с лицензиатом, несет определенную юридическую ответственность за качество выполняемых работ и конфиденциальность используемой информации. Это служит своеобразной гарантией. Кстати, предприятия, работающие в области защиты информации в России, можно по пальцам пересчитать.

– Кто чаще всего является заказчиком систем информационной безопасности?

– Федеральный закон “Об информации, информатизации и защите информации” относит информацию к объектам права и определяет само понятие информации, как “сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления”. Ясно, что часть информации носит закрытый характер, то есть знать ее должен ограниченный круг лиц. Она так и называется – “информация ограниченного доступа”. При этом определены три категории информации, составляющей, соответственно, государственную тайну, конфиденциальные данные и коммерческую тайну. Вот все это и подлежит защите. Важно лишь определиться, с какой именно информацией вы работаете.

С государственной тайной, думаю, все ясно. Есть Закон Российской Федерации “О государственной тайне”, есть определение самого понятия “государственная тайна”. Есть государство – собственник тайны, есть компетентные государственные органы, которые регламентируют требования по ее защите и контролируют их исполнение. А есть формы и методы защиты, не подлежащие обсуждению в публичной печати.

Далее. Конфиденциальная информация. Ее собственниками, например, являемся мы с вами. Ибо это – совокупность данных, затрагивающих нашу личную жизнь, и ее неприкосновенность гарантирована Конституцией. Осознавая степень ее важности, государство рассматривает ее защиту наравне с информацией, составляющей государственную тайну.

Коммерческая тайна – информация, содержащая сведения, утрата которых может принести экономический ущерб ее владельцу, под которым подразумеваются предприятия, учреждения и организации.

Следует помнить, что информация, на первый взгляд не содержащая сведения, относящиеся к категориям ограниченного доступа, может являться основой для принятия управленческих решений. Утрата, утечка или несанкционированные манипуляции с ней чреваты принятием ошибочных решений, последствия которых могут носить негативный, а иногда и непредсказуемый характер, не уступающий по значимости утрате государственной тайны.

Определившись с категорией информации, в соответствии с действующими нормами, собственник и допущенные пользователи информации должны обеспечить ее защиту.

Если вы работаете с электронными копиями документов ограниченного доступа, обязательно возникнут проблемы предотвращения утечки, хищения, искажения, подделки информации, несанкционированных действий по уничтожению, искажению или блокированию информации. Знакомы эти проблемы? Значит, вы – наш потенциальный заказчик. Можно, конечно, пытаться решить их самостоятельно, но…

– Существует масса программных продуктов, кодирующих информацию, в том числе сертифицированных ФАПСИ. Разве они не решают проблемы защиты?

– Все, что сертифицировано ФАПСИ, это действительно надежные средства, но шифротехника и криптография – лишь элементы системы защиты. Прежде чем декодировать “секретный” файл с информацией, его надо получить. А если разрушена операционная система или уничтожена программа декодирующего устройства? Или информация скопирована до ее кодирования? А как быть, если в пожаре погиб сервер с банком данных?

Под защитой информации следует понимать выполнение комплекса организационно-технических мероприятий, исключающих несанкционированные действия с информацией, а в случае таковых – выявление лица, совершившего несанкционированные действия.

– То есть ОАО “ICL-КПО ВС” занимается и охраной компьютерного парка организации, нуждающейся в защите информации?

– Мы предлагаем заказчику полный комплекс защиты информации, частью которого являются и организационные мероприятия. Ведь бессмысленно тратить деньги на разработки, специальные исследования, программы, если бумажный оригинал “закрытого” документа доступен работнику, имеющему “сомнительные связи”, а ремонт компьютеров осуществляет “случайный” инженер из какой-нибудь маленькой конторки, подрабатывающий по трудовому соглашению.

– А антивирусные программы, источники бесперебойного питания?

– Это лишь элементы целого комплекса мер. Мы помогаем заказчику защитить не только информационные ресурсы, а все его информационное пространство, включая операционную систему и прикладное программное обеспечение, аппаратные средства, ЛВС…

– Какие аппаратные средства, операционные системы и прикладные программы следует использовать при работе с закрытой информацией?

– Только сертифицированные. Компьютер должен соответствовать требованиям ГОСТ Р и иметь соответствующий сертификат, а операционная система и прикладные программные продукты – пользовательские лицензии производителя. Также рекомендую остановиться на одном поставщике, обеспечивающем вашу организацию качественной, сертифицированной техникой и программными продуктами. А еще лучше, если этот поставщик является производителем и системным интегратором, выполняет монтаж сетей, пожарно-охранной сигнализации и так далее. Чем реже вы пользуетесь услугами посторонних организаций, тем меньше головной боли. Важно знать, что и сама система защиты информации должна быть сертифицирована Гостехкомиссией России.

– Как вы оцените защищенность республиканских информационных ресурсов?

– Насколько мне известно, комплексных систем защиты информации в республике нет. Каждое ведомство решает эту задачу самостоятельно, под воздействием соответствующей федеральной вертикали.

Межведомственный проект “Создание банка данных адресной социальной защиты населения Республики Татарстан” пока вообще не предусматривает систему защиты информации, хотя банк на все 100 процентов будет состоять из конфиденциальной информации, а о требованиях к ее защите мы уже говорили. Значит, будут защищать позже, и обойдется это значительно дороже, чем сумма, сэкономленная на защите в период проектирования системы.

Правительством Республики Татарстан предусмотрено создание единой защищенной телекоммуникационной системы Департамента казначейства. Мы направили свои предложения в Правительство, их переслали в Минфин, оттуда – в казначейство, ну а казначейство хранит гордое молчание…

– Кто принимает решение о проведении мероприятий по защите информации?

– Конечно, руководитель. Но дать ему “полную картинку” положения дел в организации – обязанность руководителей служб информатизации и безопасности. Если хорошо “покопаться” в их функциональных обязанностях, то наверняка найдется пара пунктов о персональной ответственности за это направление работы.

– Что является исходным для построения системы информационной безопасности организации, и какова ее ориентировочная стоимость?

– Прежде всего следует определить объект защиты, его объем и вероятные угрозы. Сформулировать концепцию информационной безопасности, увязав ее с общей концепцией безопасности организации. Применить или разработать регламент работы с информацией ограниченного доступа в соответствии с ее категориями. Реализовать организационно-кадровые мероприятия, обеспечивающие регламент работы с информацией ограниченного доступа. Затем разработать и реализовать комплекс технических мероприятий.

– Как ни крути, стоит это удовольствие недешево.

– Тот, кто знает цену информации, которой владеет, и не хочет, чтобы она стала достоянием других, не жалеет денег на ее защиту. Скупой будет платить дважды. Защита информации штука дорогостоящая, но сопоставив цену потенциального ущерба с ценой затрат, вы сделаете правильный выбор.