Журнал Компьютерра - Журнал «Компьютерра» № 47-48 от 19 декабря 2006 года (Компьютерра - 667-668)

У нас есть разработки своих защищенных операционных систем?

Я.: Леонид, что значит «у нас»? Все равно каждая фирма, организация доверяет только себе. Из-за того, что сегодня все демократично, понятие «у нас» лишается того смысла, который вы, я полагаю, в это слово вкладываете.

С.: Классический пример. Я вел переговоры с одним банком о проекте по оценке их инфобезопасности. Говорю: в нашем институте есть специалисты, которые могут провести так называемое «обследование безопасности информационных систем» (мы такие работы часто делаем, в том числе для коммерческих фирм). Объясним, где у вас дыры могут быть. Смотрю - нет реакции. Потом объясняют: «Алексей, приходи к нам в банк работать, и тогда ты это сделаешь. Но заказывать на стороне такое исследование мы не хотим, потому что придется раскрыть информацию, которую не хотим раскрывать. Мы доверяем только себе и своим сотрудникам». Это просто классический пример отношения к внешнему аудиту.

И в критических ИС то же самое?

С.: Естественно.

Я.: Я совсем по-простому скажу. Вторая сторона вопроса - не всегда даже крупный игрок заинтересован, чтобы у него не было дыр в ИБ.

Почему?

С.: Потому что иногда он думает: «Если ты придешь ко мне и сделаешь все как надо - как же я тогда буду воровать деньги?»

С.: Пример с нестыковкой ведомств в Нью-Йорке, о котором мы говорили, показывает одну из самых больших опасностей, связанных с ИБ критических ИС. Эти ИС - огромные и очень сложные, но часто построены на сегментах, которые мало связаны друг с другом. Внутренние сети министерств и ведомств очень плохо совместимы, и это глобальная проблема. К счастью, этим всерьез занялись Минсвязи и Федеральное агентство по инфотехнологиям.

Я.: У нас когда то пустили создание этих сетей на самотек, и каждый лепил, как мог. Но два года назад все это было проанализировано, и приняли единственно возможное решение - делать надстройку, через которую все будут общаться, то есть создать федеральный информационный центр для межведомственного взаимодействия. В этом году уже демонстрировался макет системы. Данные из Москвы передавались в центр другой организации, условно говоря - кто-то пришел в Москве в ГИБДД, и запрос об этом человеке, о машине идет по всем ведомствам. И по квартире, кажется, был такой тестовый запрос. Все сработало более или менее нормально.

Где же берутся кадры для всех этих проектов? ИБ сегодня - это множество рабочих мест. ИБ - самая модная ИТ- специальность в любом вузе. Действительно тут есть большое поле деятельности или это просто мода?

Я.: Специальность и правда модная, но люди, которые закончили МГУ - ВМК, мехмат, не очень востребованы по этой линии. В основном нужны не разработчики, а те, кто будет эксплуатировать готовые системы.

С.: Не совсем согласен. Я знаю, что в коммерческих структурах, в банках на самом деле востребованы квалифицированные люди, которые могут разрабатывать и сопровождать именно построение системы ИБ в целом. Конечно, надо ее и наполнить - купить нужное железо, поставить нужные программы, но в первую очередь грамотно придумать концепцию системы. Если же говорить о науке - например, о криптографии, то в ней и в смежных вопросах ИБ сейчас огромное количество новых научных задач. Надо только учитывать сейчас степень востребованности науки в России вообще.

Я.: По поводу задач в более широком смысле слова - существует официально утвержденный в 2001 году список 114 приоритетных научных задач в области ИБ (показывает документ: «Научные и методологические проблемы информационной безопасности», сборник статей под ред. В. П. Шерстюка, М., МЦНМО, 2004).

Беру наугад. Задача 2.2.1.5 - «исследование проблем информационной безопасности общероссийской информационной структуры». Нужное дело, бесспорно. Но как может быть сразу 114 приоритетных задач? В каком смысле они приоритетные?

Я.: Это очень полезный список, здесь представлены все аспекты ИБ, от фундаментальных философских до математики, криптографии, стеганографии, и кончая кадровыми вопросами. Многое имеет отношение и к критически важным ИС.

Отлично. Но давайте в заключение обсудим простой житейский вопрос: с чего начать компании, которая хочет себя защитить?

С., Я. (хором): От чего?

От атаки по информационным каналам.

С.: Нет, так не ставится вопрос. Компания должна четко объяснить специалисту, от чего она хочет защититься. Все компании всегда произносят те же слова, что и вы сейчас! Тут и начинается работа специалиста, который конкретизирует - от кого защитить, что защитить.