Расширенный поиск
Тел.: +7 (925) 203-9511
Факс: +7 (495) 967-7600
E-mail: shop@globaltrust.ru
ICQ: 195623651

Не смогли дозвониться? Мы позвоним сами!
   Главная    Каталог    Ваши вопросы    Новинки    Словарь терминов     Статьи 

                      ВАША КОРЗИНА
    Товаров: 0 шт., 
    Сумма: 0 у.е.
  
    Оформить заказ

      Каталог
  Русские редакции стандартов
  Типовые документы и политики безопасности
  Программные средства менеджмента информационной безопасности
  Антивирусные программы для защиты от вредоносного ПО
  Программные средства управления доступом и идентификационной информацией
  ПО для мониторинга событий безопасности
  ПО для мониторинга действий пользователей
  СЗИ от НСД к информации. Комплексная защита конечных точек
  Средства контроля защищенности и сканеры безопасности
  Средства аутентификации и управление ключевой инфраструктурой
  Программные межсетевые экраны
  Средства предотвращения утечки информации (DLP-системы)
  Криптографические средства (шифрование, дешифрование, электронная подпись, восстановление паролей)
  Средства резервного копирования и восстановления данных
  Операционные системы и приложения
  Универсальные программно-аппаратные комплексы (UTM) для защиты периметра корпоративной сети
  Программно-аппаратные межсетевые экраны
  Системы предотвращения вторжений (IDS/IPS)
  Серверы защищенного удаленного доступа, VPN-шлюзы, SSL-VPN шлюзы
  Антивирусные шлюзы и котентные фильтры
  Аппаратные идентификаторы, токены, смарт-карты, генераторы одноразовых паролей, защищенные флэшки
  Учебные курсы
  Услуги по анализу защищенности корпоративной сети
  Услуги по обеспечению соответствия ФЗ-152 О персональных данных
  Услуги по разработке и внедрению Системы Управления Информационной Безопасностью
  Стандарты и руководства на английском
  Инструментальные комплекты (на английском)
  Книги по информационной безопасности и защите информации

      Разделы
  Оплата и доставка
  О магазине
  Контакты
  Партнерская программа
  Поставщики
  Бонусная программа
  Политика возврата платежа
  Обратная связь
  Партнерам

      Покупателям
  Логин:
     Пароль:
  

  
  Забыли пароль?
  Зарегистрироваться



 Статьи, Что мешает развитию ИБ в России?
  • Антивирусная защита
    Безопасность от Microsoft: шаг к обновленному миру?
    Выбор оптимального антивирусного решения для малого и среднего бизнеса
  • Аппаратные и программные файрволлы
    Актуальные тенденции: средства сетевой защиты
    Шесть советов от Stonesoft
    Как защитить удаленный банкинг?
    Защита по-крупному. Воплощение стандарта XTM для large-сегмента
    Практические преимущества Fireware® XTM
    Использование сервиса WatchGuard's Gateway Antivirus для защиты электронной почты
    Когда брандмауэры конфликтуют
  • Аудит информационной безопасности
    Фарминг DNS. Кто-то отравил источник!
    COBIT для ИТ аудиторов
    Аудит безопасности информационных систем
    Анализ защищенности корпоративных автоматизированных систем
  • Защита конечных пользователей
    Как защищать персональные данные в интернете
    Информационный бронежилет для простых пользователей
    Мы уверенны в безопасности мобильных устройств, утверждают пользователи
    Пользователи и безопасность
    Новые вопросы, старые ответы
  • Защита от инсайдеров
    WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)
    Внутренние угрозы: новый вызов корпоративным службам ИБ
    Шифрование мобильных устройств
    Новый подход к защите ПК от Symantec
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Как защищаться от инсайдера?
  • Кибератаки и кибертерроризм
    Черный DDOS
    Атака c воздуха
    Остерегайтесь обратных каналов
    Хаки, фрики и черви: события, которые изменили безопасность Интернет
    Свобода киберпространства
    Самые успешные проекты американского правительства в области информационной безопасности
    Реалии и мифы кибертерроризма
    Особенности обеспечения информационной безопасности промышленных систем
  • Мнения
    Нужен ли пользователю интернет-паспорт?
    Facebook и бесконечные разговоры о тайне частной жизни
    Боб Мур знает, как не быть уволенным
    Что мешает развитию ИБ в России?
    InfoSecurity Europe 2006: свежие впечатления
    Почему ВУЗ не способен подготовить специалиста по информационной безопасности?
  • Новинки программного обеспечения
    Microsoft Windows Server 2008. Обзор новых возможностей и некоторые практические заметки.
  • Стандарты информационной безопасности
    Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
    Введение в COBIT
    Международный опыт управления информационной безопасностью для российских компаний
    История стандарта BS 7799
    BSI и BS 7799 – Видение разработчиков
  • Управление информационной безопасностью
    Как управлять рисками информационной безопасности?
    Как построить и сертифицировать систему управления информационной безопасностью?
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Разработка и внедрение эффективных политик информационной безопасности
    Практика управления информационной безопасностью
  • Управление событиями, изменениями и инцидентами
    Программные средства аудита изменений компании NetWrix для обеспечения соответствия нормативным требованиям в области информационной безопасности
  •  Статья   Что мешает развитию ИБ в России?

    Александр Астахов, CISA

    24 мая 2006

    Введение

    Отрасль информационной безопасности в России на протяжении последних нескольких лет развивается быстрыми темпами, показывая в целом рост более 30% и опережая по этому показателю рынок ИТ. Это развитие могло бы быть еще более интенсивным, если бы не ряд сдерживающих факторов, к числу которых в первую очередь относится неполнота и противоречивость действующего законодательства, а также вытекающие из этого проблемы стандартизации отрасли.

    Для такой деликатной и зарегулированной сферы как информационная безопасность правовые вопросы являются критичными. Любая неразбериха в этой области может привести к серьезным потерям для участников рынка и для потребителей. К числу основных проблем отрасли также можно отнести бюджетирование по остаточному принципу, дефицит квалифицированных специалистов, неосведомленность рядовых пользователей и руководителей организаций в вопросах ИБ.

    Двойственность законодательства

    Российское законодательство в области ИБ проходит некоторую промежуточную стадию своего формирования и является еще недостаточно зрелым. Федеральные ведомства, регулирующие сферу ИБ (к их числу относятся, прежде всего, ФСБ, ФСТЭК и МО), в соответствии со стоящими перед ними задачами, до недавних пор были сосредоточены исключительно на вопросах обеспечения государственной безопасности. Применительно к ИБ речь шла главным образом о защите государственной тайны. Основным инструментом регулирования здесь традиционно являются лицензирование и сертификация. Когда же речь идет о защите конфиденциальной информации, а также критичных информационных ресурсов, принадлежащих не государству, а частным лицам, то собственник информации обычно сам определяет требуемую степень ее защиты. Такой подход, с некоторыми оговорками, и применяется во многих странах.

    Наше государство обратило внимание на вопросы не связанные с защитой государственной тайны относительно недавно. Первый в России руководящий документ Гостехкомиссии России, устанавливающий требования по защите конфиденциальной информации, СТР-К увидел свет в 1999 году. В качестве основных мер по защите информации он определяет сертификацию и аттестацию. Для коммерческих организаций, в отличие от государственных, требования этого документа носят рекомендательный характер, однако, это послабление компенсируется вышедшим в 2002 году Постановлением Правительства РФ № 290 "О лицензировании деятельности по технической защите конфиденциальной информации", согласно которому лицензированию подлежат все виды хозяйствующих субъектов и все виды деятельности по защите конфиденциальной информации, а в качестве обязательных лицензионных условий - использование сертифицированных СЗИ и аттестованных АС.

    Тем не менее, возможность неоднозначной трактовки законодательства в свою пользу позволяет коммерческим организациям игнорировать вопросы лицензирования и сертификации, тогда как интересы государственных предприятий в сфере ИБ целиком сосредоточены на получении всевозможных лицензий и сертификатов. Любая публичная либо приватная дискуссия с представителями государственных структур неизбежно сводится к обсуждению вопросов сертификации.

    Бюрократизированные процедуры

    Сертификация СЗИ в общем случае достаточно длительная и дорогостоящая процедура, которая далеко не всегда экономически оправдана, особенно когда речь идет о современных динамически изменяющихся информационных системах с непрерывным циклом установки программных коррекций, обновлений баз данных, внедрения новых приложений и т.п. Цикл разработки новых версий ПО зачастую короче цикла его сертификации. В то же время, стоимость сертификации и аттестации может быть сопоставима со стоимостью самой ИС. Оправдано ли такое удорожание?

    Сертификация в области ИБ преследует две цели: предоставление гарантий отсутствия в средствах обработки информации недекларированных возможностей и подтверждение качества (эффективности) продуктов. Первая цель достигается только в том случае, если анализу на недекларированные возможности подвергаются все программные (и аппаратные) компоненты ИС, что достижимо только для особой категории критичных систем. Для достижения второй цели требуются четко определенные критерии оценки, коими должны служить в данном случае профили защиты, которые сегодня в дефиците. Если же нет возможности анализа всех компонентов системы, а глубоко проработанные и согласованные критерии сертификации отсутствуют, как это в основном происходит на практике, то желаемого эффекта не достигается и сертификация превращается в формальную разрешительную процедуру. Таковой она и воспринимается всеми участниками рынка и специалистами. Средства, которые необходимо было бы потратить на реализацию практических мер по защите информации, расходуются на бюрократические бумажные процедуры.

    Впрочем, такая бюрократизация характерна не только для России. Так, например, в отчете американского Офиса Менеджмента и Бюджета Конгрессу о реализации Федерального Акта по управлению информационной безопасностью 2002 г. с гордостью сообщается о том, что 85 процентов ИТ систем федеральных агентств были сертифицированы и аккредитованы, что на целых 19% больше по сравнению с предыдущим годом. Количество систем с протестированными планами обеспечения непрерывности бизнеса увеличилось с 57% до 61%. Департамент по делам ветеранов сообщил о том, что все 585 принадлежащий ему ИТ систем были сертифицированы и аккредитованы. Однако, проверка отчетов о сертификации, проведенная одним из агентств, показала, что все испытания выполнялись поверхностно. Многие компании проводившие сертификации признаются, что их отчеты и заключения, даже не читались заказчиком, а в этом случае, вряд ли можно говорить о каких либо улучшениях. Количество выданных лицензий и сертификатов стремительно увеличивается, а безопасность остается на прежнем уровне. Миллиарды долларов американских налогоплательщиков были истрачены на бесполезную бумажную работу.

    Лицензирование и сертификация необходимы, но эти меры не должны подменять собой прочие механизмы безопасности. Необходимо сделать лицензионные требования более понятными и привязанными к реальной жизни. Сейчас участникам рынка приходится получать порядка дюжины лицензий ФСТЭК и ФСБ по существу на один и тот же вид деятельности. Требуется устранить существующие противоречия в законодательной базе, а критерии и методики сертификации связать с реальными свойствами сертифицируемых продуктов, чтобы сертификат соответствия являлся в глазах потребителей подтверждением качества продукции, ее надежности и защищенности.

    Запретительные меры

    В совершенствовании также нуждается регулирование в области использования криптографических средств. В 1995 году Указ Президента № 334 запретил использование государственными организациями шифровальных средств, не имеющих сертификата ФАПСИ, а также деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, без лицензий ФАПСИ. Ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ также был запрещен. Излишне говорить, что обязательными требованиями к лицензиатам ФАПСИ (ныне ФСБ) является использование только сертифицированных шифровальных средств.

    Криптографические средства в настоящее время входят в состав операционных систем, телекоммуникационного оборудования, повсеместно используемых приложений, СЗИ, как отечественных, так и импортных, поэтому выполнение запрета на их использование представляется фактически невыполнимым условием.

    Принятие законов об ЭЦП иностранными государствами позволило сформировать юридическую базу для повсеместного применения электронной коммерции, причем никаких существенных ограничений на технологические аспекты эти законы не накладывали. Российский же Закон об ЭЦП, принятый в 2002 году, жестко регламентировал применение только сертифицированных средств. Однако, сертифицированные отечественные криптографические средства различных производителей не всегда совместимы между собой, что существенно осложняет повсеместное внедрение ЭЦП. Использование в коммерческих целях RSA, не имеющего проблем с совместимостью, могло бы продвинуть применение ЭЦП. Российские организации, не имея возможности использовать стандартные криптопровайдеры, входящие в состав всех ОС и достающиеся потребителям бесплатно, вынуждены за дополнительные деньги обеспечивать процедуры ЭЦП и шифрования за счет встраиваемых модулей, реализующих отечественные криптоалгоритмы, что делает системы более дорогими и тяжеловесными.

    Действующее российское законодательство сдерживает естественное стремление общества к саморазвитию. В условиях законодательной неразберихи совсем непросто решается стратегически важный для страны вопрос с подключением государственных организаций к сети интернет. Указ Президента № 611 от 2004 г. запрещает «осуществлять включение ИС, сетей связи и автономных ПК, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения в интернет. Насчет гостайны все понятно и обоснованно, а вот с информацией ограниченного распространения дело обстоит сложнее. Хотя запрет носит вполне определенный характер, дебаты вокруг этого Указа не утихают. Предлагаются различные трактовки понятия «включения в состав сети», обыгрываются словосочетания «логическое и физическое, прямое и опосредованное включение», появляются сертифицированные СЗИ, предназначенные для подключения государственных организаций к интернет с соблюдением требований Указа № 611 (запрещающего такое подключение).

    Нет смысла оспаривать необходимость таких механизмов регулирования как лицензирование и сертификация, либо преимущества российской криптографической школы, однако, навязывание исключительно сертифицированных средств не оправдано, если речь не идет о защите гостайны.

    Нужны стандарты

    Важнейшим условием развития отрасли, является использование международных стандартов и лучшего мирового опыта. В мире распространены десятки международных стандартов ИБ. В России известны в основном серии стандартов: ISO 27000, ISO 13335 и ISO 15408. Одним из наиболее востребованных стандартов является ISO 17799, вышедший в 2005 году уже во второй редакции. В России данный стандарт пока не принят. ГОСТ/ИСО МЭК 15408 введен в действие с 2004 года, что должно бы было радикально поменять существующий подход к сертификации СЗИ, однако официального реестра русскоязычных профилей защиты до сих пор не существует, а Россия еще не присоединилась к соглашению о взаимном признании сертификатов с другими странами. О стандартах серии ISO 13335 существующих с 1998 года в России пока мало кто слышал. Прочие международные стандарты ИБ (ISO 18044, ISO 15947, ISO 15443 и т.п.) в России не известны и не применяются.

    Существенные изменения в области стандартизации в России должны были произойти в связи с принятием в 2002 году закона «О техническом регулировании», отменившего закон «О сертификации продукции и услуг» и закон «О стандартизации». Это вызвало определенную дезорганизацию на рынке ИБ. Прежние законы и принятые на основании их нормативные акты уже перестали действовать, а принципиально новые технические регламенты (45 и 46, "О безопасности информационных технологий" и "О требованиях к средствам обеспечения безопасности информационных технологий") еще не вступили в силу. Кроме того, статья 5 данного закона фактически выводит ИБ из области его действия, определяя, что «порядок разработки, принятия и применения документов о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, устанавливается Правительством Российской Федерации» отдельно. Поэтому все прежние нормативные документы в области ИБ продолжают действовать и поныне.

    В России, прежде всего, надо научиться применять существующие международные стандарты, адаптация которых пока проходит крайне медленно. Практика разработки и применения отраслевых стандартов, вместо того, чтобы использовать международные, а не в дополнение к ним, себя не оправдывает.

    Кадры и бюджетирование

    В России бюджетирование средств ИБ в процентном отношении намного ниже развитых стран. Обеспечение информационной безопасности редко является приоритетной задачей, а финансирование программ ИБ осуществляется по остаточному принципу. В организациях, как правило, не существует отдельной статьи расходов на ИБ, расходованием средств на эти цели распоряжается не отдел ИБ, а ИТ-отдел или служба безопасности. В коммерческих компаниях между ИТ и ИБ подразделениями часто возникают «битвы за бюджет», в которых ИТ обычно побеждает.

    Несмотря на то, что повсеместно специалисты горячо и охотно говорят об оценке информационных рисков, процессно-ориентированном подходе и экономически обоснованной безопасности, на практике ИБ остается затратной статьей для организаций. Руководство компаний, как правило, недопонимает важности вопросов обеспечения ИБ. Ситуация осложняется дефицитом квалифицированных кадров, поскольку службами безопасности заведуют обычно бывшие военные или сотрудники спецслужб, которые в подавляющем большинстве случаев далеки от вопросов ИТ и ИБ. Им часто бывает очень трудно обосновать руководству компании соответствующие статьи расходов.

    В большинстве случаев ИБ рассматривается исключительно как техническая задача, решаемая силами ИТ-специалистов, к сожалению, без привязки к бизнесу. Бывшие военные, которыми комплектуется штат отделов ИБ во многих организациях, обычно слабо разбираются в ИТ, а новое поколение менеджеров, способных видеть и управлять взаимосвязями между бизнесом, процессами ИТ и ИБ и технологиями, пока еще отсутствует.

    Рынок подрос и обнаружилась острая нехватка квалифицированных технических специалистов, менеджеров, консультантов и аудиторов по вопросам ИБ, а также крайне низкая осведомленность в этих вопросах всех рядовых пользователей и руководства организации, отсутствие их обучения элементарным правилам безопасной работы. В подавляющем большинстве организаций даже не слышали о таком понятии как «программа повышения осведомленности в области ИБ».

    Основы системы непрерывного профессионального образования специалиста в области ИБ уже были заложены. Она опирается на Учебно-методическое объединение (УМО) по образованию в области ИБ, созданное в 1996 году на базе Института криптографии, связи и информатики Академии ФСБ России), УМО Российского государственного гуманитарного университета, а также на сеть региональных учебно-научных центров по проблемам ИБ в системе высшей школы (головной вуз - МИФИ), созданную Минобрнауки России совместно с ФСТЭК и рядом других федеральных органов исполнительной власти в 1997 году. В рамках данной системы был разработан ряд государственных образовательных стандартов и образовательных программ по специальностям: «Криптография», «Компьютерная безопасность», «Организация и технология защиты информации» и т.п.

    Однако ВУЗы довольно далеки от реальной практической работы, они нередко не обладают информацией, позволяющей им выбирать наиболее перспективные и продвинутые технологии. Не хватает как необходимой методической базы, так самих средств обеспечения ИБ.

    Рынок не ждет

    В России насчитывается более 70 действующих нормативных документов регулирующих сферу ИБ, а отрасль все еще не отрегулирована. В каком направлении будет изменяться ситуация в дальнейшем?

    Логично было бы ожидать ужесточения требования законодательства в сфере ИБ, что вызвано угрозой кибертерроризма, необходимостью борьбы с мошенничеством, хищением конфиденциальной информации и прочими преступлениями в сфере ИТ. Кроме того, развитие рынка ИБ в немалой степени связано с возрастанием требований по ИБ в таких российских монополистах, как Банк России, РЖД, РАО ЕЭС, Газпром и пр., пытающихся создать собственную отраслевую нормативную базу в области ИБ для подконтрольных им структур. Например, в ЦБ введены в действие ряд стандартов по ИБ, которые пока носят рекомендательный для коммерческих банков характер, но в дальнейшем вполне может стать для них обязательным. При недостатке действенных мер со стороны Государства по наведению прядка в законодательстве в сфере ИБ и приведению его в соответствие с современным уровнем развития ИТ, рынок предпочитает действовать самостоятельно.

    Определенные надежды можно возлагать на вступление России в ВТО, в связи с которым следует ожидать положительное изменение российского законодательства в области ИБ, приближение к международным нормативам и признание иностранных сертификатов. Это особенно выгодно иностранным производителям, поскольку сейчас на российском рынке им приходится сертифицировать свои продукты дважды, а отдельные сегменты рынка для них вообще не доступны.

    Оригинал статьи на GlobalTrust.ru: http://www.globaltrust.ru/security/Pubs/Pub13_AAM_IS.htm

    Все статьи  



    Каталог по брендам    
       8man
       Acronis
       ActivIdentity
       Aladdin
       BSI
       CA
       Check Point
       Digital Security
       DrWeb
       eEye
       ElcomSoft
       eScan
       ESET
       Falcongaze
       Fortinet
       GFI
       GlobalTrust
       Handy Backup
       Imperva
       InfoGov
       Information Shield
       IronKey
       IT Governance
       Juniper
       Kaspersky
       Kerio
       KTE Labs
       Lumension Security
       McAfee
       Microsoft
       MobileIron
       NetworkProfi
       NetWrix
       Outpost24
       Panda
       PineApp
       Positive Technologies
       Q1 Labs
       SearchInform
       SonicWALL
       Sourcefire
       SpectorSoft
       Stonesoft
       Strohl Systems
       Symantec
       Trend Micro
       WatchGuard
       Websense
       Zecurion
       АлтэксСофт
       Аналитические бизнес решения
       АтомПарк
       Газинформсервис
       Код Безопасности
       Конфидент
       Цифровые Технологии

    Новости    
    01.07.2015 GFI LanGuard получил награду «Лучший инструмент для управления уязвимостями»
    30.06.2015 GlobalTrust присвоен статус золотого партнера компании GFI
    23.07.2014 Специальная акция: VIP-клиент GFI Software
    17.07.2014 Fortinet: сертифицированные ФСТЭК решения
    17.06.2014 Продукты линеек eToken ГОСТ и JaCarta ГОСТ от "Аладдин Р.Д." сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ "Об электронной подписи"
    05.06.2014 Stonesoft, McAfee Group Company, объявляет о получении продленного сертификата ФСТЭК России на систему предотвращения вторжений с функцией межсетевого экрана StoneGate IPS
    Архив новостей  

    Товары дня    
    SpectorSoft Spector 360 Recon

    SpectorSoft Spector 360 Recon
     Купить0 руб.
    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской

    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской
     Купить280269 руб.
    SPS 53102 SpectorSoft Spector 360 для сетей, 1 лицензия (при покупке 50-99 корпоративных лицензий)

    SPS 53102 SpectorSoft Spector 360 v.8,1 лицензия (при покупке 100-249 лицензий)
     Купить6042 руб.

      Copyright 2006-2012 © GTrust.ru Создание интернет магазина: BORNET.ru  
    Тел.: +7 (925) 203-9511 Факс: (495) 967-7600
    E-mail: shop@globaltrust.ru; ICQ: 195623651