Журнал Компьютерра - Журнал «Компьютерра» N 47-48 от 19 декабря 2006 года

И в критических ИС то же самое?

С.: Естественно.

Я.: Я совсем по-простому скажу. Вторая сторона вопроса - не всегда даже крупный игрок заинтересован, чтобы у него не было дыр в ИБ.

Почему?

С.: Потому что иногда он думает: «Если ты придешь ко мне и сделаешь все как надо - как же я тогда буду воровать деньги?»

С.: Пример с нестыковкой ведомств в Нью-Йорке, о котором мы говорили, показывает одну из самых больших опасностей, связанных с ИБ критических ИС. Эти ИС - огромные и очень сложные, но часто построены на сегментах, которые мало связаны друг с другом. Внутренние сети министерств и ведомств очень плохо совместимы, и это глобальная проблема. К счастью, этим всерьез занялись Минсвязи и Федеральное агентство по инфотехнологиям.

Я.: У нас когда то пустили создание этих сетей на самотек, и каждый лепил, как мог. Но два года назад все это было проанализировано, и приняли единственно возможное решение - делать надстройку, через которую все будут общаться, то есть создать федеральный информационный центр для межведомственного взаимодействия. В этом году уже демонстрировался макет системы. Данные из Москвы передавались в центр другой организации, условно говоря - кто-то пришел в Москве в ГИБДД, и запрос об этом человеке, о машине идет по всем ведомствам. И по квартире, кажется, был такой тестовый запрос. Все сработало более или менее нормально.

Где же берутся кадры для всех этих проектов? ИБ сегодня - это множество рабочих мест. ИБ - самая модная ИТ- специальность в любом вузе. Действительно тут есть большое поле деятельности или это просто мода?

Я.: Специальность и правда модная, но люди, которые закончили МГУ - ВМК, мехмат, не очень востребованы по этой линии. В основном нужны не разработчики, а те, кто будет эксплуатировать готовые системы.

С.: Не совсем согласен. Я знаю, что в коммерческих структурах, в банках на самом деле востребованы квалифицированные люди, которые могут разрабатывать и сопровождать именно построение системы ИБ в целом. Конечно, надо ее и наполнить - купить нужное железо, поставить нужные программы, но в первую очередь грамотно придумать концепцию системы. Если же говорить о науке - например, о криптографии, то в ней и в смежных вопросах ИБ сейчас огромное количество новых научных задач. Надо только учитывать сейчас степень востребованности науки в России вообще.

Я.: По поводу задач в более широком смысле слова - существует официально утвержденный в 2001 году список 114 приоритетных научных задач в области ИБ (показывает документ: «Научные и методологические проблемы информационной безопасности», сборник статей под ред. В. П. Шерстюка, М., МЦНМО, 2004).

Беру наугад. Задача 2.2.1.5 - «исследование проблем информационной безопасности общероссийской информационной структуры». Нужное дело, бесспорно. Но как может быть сразу 114 приоритетных задач? В каком смысле они приоритетные?

Я.: Это очень полезный список, здесь представлены все аспекты ИБ, от фундаментальных философских до математики, криптографии, стеганографии, и кончая кадровыми вопросами. Многое имеет отношение и к критически важным ИС.

Отлично. Но давайте в заключение обсудим простой житейский вопрос: с чего начать компании, которая хочет себя защитить?

С., Я. (хором): От чего?

От атаки по информационным каналам.

С.: Нет, так не ставится вопрос. Компания должна четко объяснить специалисту, от чего она хочет защититься. Все компании всегда произносят те же слова, что и вы сейчас! Тут и начинается работа специалиста, который конкретизирует - от кого защитить, что защитить.

Я.: Защита всегда конкретна. Нужно понять, какую информацию хотим сохранить, и самое главное - создать модель противника.

С.: Может быть такая постановка задачи: мне не страшно, что будут читать то, что я пишу, - но страшно, если там что нибудь изменят. Или так: если прочитают Петров и Сидоров, не страшно, а если мистер Джонс - страшно. Причем все они работают в моей компании.

Я.: Чтобы дать рецепт, нужно влезть в компанию. То есть если хочешь получить надежные рецепты - должен раскрыться. Вот это многих останавливает. Первый этап информационной защиты - твоя оценка того, кто тебе угрожает.

А у нас даже ИС этого не делают?

С.: Нет, конечно. Вместо этого они идут на большие расходы и создают собственные подразделения, куда и пытаются набрать лучших специалистов.