Контакты
Подписка
МЕНЮ
Контакты
Подписка

Важнейшая задача – достижение технологического суверенитета

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Важнейшая задача – достижение технологического суверенитета

Состояние информационной безопасности в России требует пересмотра и модернизации как с нормативной, так и с технической стороны, что неоднократно подчеркивается не только специалистами, но и руководством страны. Однако выбор дальнейшего пути развития – сложная задача, не имеющая однозначного решения. Прежде всего для выхода из кризиса необходимо задать правильные вопросы – только это поможет начать двигаться в нужном направлении. О том, какие проблемы стоят перед отраслью и какие есть пути их решения, расскажет Андрей Неклюдов, независимый эксперт по безопасности информационных технологий
Андрей Неклюдов
Независимый эксперт по безопасности информационных технологий

– Каковы особенности обеспечения информационной безопасности на объектах и предприятиях топливно-энергетического комплекса?
– Особенности обеспечения информационной безопасности на объектах ТЭК напрямую связаны с особенностями используемых на объектах систем обработки информации. С системами обработки информации общего назначения проблем вообще нет, там все, как и везде. В системах обработки информации реального времени имеется дефицит функций безопасности реального времени. Ряд зарубежных центров компетенции в области информационных технологий ведут работу над функциями безопасности реального времени. В России в аналогичном направлении работ не ведется, а то, что делается, является профанацией и никакого отношения к функциям безопасности реального времени не имеет.

– Какие важнейшие задачи стоят перед специалистами ИБ при защите объектов нефтегаза и энергетики?
– За рубежом информационная безопасность не является самостоятельной и самодостаточной дисциплиной, она лишь отдельный, довольно рядовой, фрагмент информационных технологий. Поэтому там специалисты по информационной безопасности – это, прежде всего, специалисты в области информационных технологий, имеющие дополнительные компетенции в более узкой области – информационной безопасности.

В России информационная безопасность числится самостоятельной дисциплиной, но это иллюзия, обусловленная исключительно отсутствием суверенитета в области информационных технологий.

Следствием отсутствия технологического суверенитета является недостаточный уровень компетенции российских специалистов в области информационных технологий.

Поэтому, учитывая оценку состояния дел в области информационной безопасности, данную президентом, в качестве первостепенной задачи для российских специалистов можно определить повышение их компетенции хотя бы до среднемирового уровня, поскольку с текущим профессиональным уровнем специалистов достижение технологического суверенитета невозможно.

– Расскажите об одной-двух самых сложных задачах или проблемах, с которыми пришлось столкнуться в работе. Благодаря чему их удалось решить?
– Решенных проблем было много, и важны не они, а то, что позволяет их эффективно решать.

Первое – это учеба, учеба и еще раз учеба. Всегда и при любой возможности. Изящно и эффективно решать проблему невозможно без подведения под нее теоретической базы.

Второе – постоянная связь теории и практики в их непрерывном развитии.

Третье – умение видеть, предугадывать тенденции, определять точки, в которых возможен выбор направления развития.

Четвертое – умение эффективно отбраковывать ложные гипотезы. В определенной ситуации это может даже оказаться важнее, чем умение выбрать правильную гипотезу.

Пятое – в очередной раз все начать сначала.

Шестое – знание вопросов. Незнание ответов – это нормальное состояние, из которого с теми или иными издержками выход есть всегда. Незнание вопросов означает принципиальную невозможность поиска выхода.

– При создании современной и высокотехнологичной системы ИБ оборудование и услуги каких компаний стоит предпочесть: зарубежных или отечественных?
– Нет никакой необходимости создавать систему информационной безопасности. Надо создавать систему обработки информации, насыщенную функциями безопасности в том объеме, в котором это необходимо для обеспечения безопасности реализуемой информационной технологии, и обеспечить необходимый уровень доверия к безопасности. Это реалии современного уровня развития информационных технологий. А построение отдельной системы ИБ есть не что иное, как современная форма карго-культа, возникшего под впечатлением от информационных технологий, полного понимания которых нет.

Продукты для системы обработки информации надо выбирать, исходя из насыщенности их необходимым функционалом (в том числе и информационной безопасности) и из возможности обеспечения необходимого уровня доверия к безопасности. Увы, но выбор отечественных компонентов практически отсутствует, а те, что выдаются за отечественные, либо просто перемаркированные импортные компоненты, либо компоненты с очень высоким уровнем импортной составляющей.

– На какие этапы можно разделить глобальную задачу по обеспечению информационной безопасности?
– Архиважная задача – достижение технологического суверенитета. Без этого, при существующем уровне развития информационных технологий, ни о какой информационной безопасности не стоит даже и заикаться. Более того, по мере развития информационных технологии (то есть их усложнения) задача достижения технологического суверенитета также усложняется.

Достижение технологического суверенитета в существующих условиях требует колоссального рывка для того, чтобы перескочить с текущего витка спирали эволюции на следующий виток. Для этого требуются уникальные кадры, которые не просто обладают адекватным представлением о мировом уровне информационных технологий, но и понимают, где, когда и как надо выбрать направление движения, поскольку в случае неудачи можно промахнуться мимо следующего витка. Эти кадры еще предстоит найти и организовать в коллектив. За предыдущие 25 лет в этом направлении не было сделано ничего, и все, что мы имеем на текущий момент, – всего лишь карго-культ, причем карго-культ даже не информационных технологий в целом, а их фрагмента – информационной безопасности. С этим надо бороться.

– Назовите главные тренды информационной безопасности. Какие из них кажутся вам интересными и перспективными?
– В мире – это продолжение насыщения компонентов информационных технологий необходимым функционалом безопасности, адаптация функционала безопасности к меняющимся условиям (развитие математики, средств обработки информации), доказательное обеспечение доверия к безопасности. Специалисты этим занимаются уже много лет, особенно целенаправленно с начала 1980-х гг. На этом пути они много чем пожертвовали, много от чего отказались, много чего начинали сначала. Но имеется и бремя неизбежных компромиссов, которое, естественно, нарастает, а значит, им предстоит снова чем-то жертвовать, от чего-то отказываться, что-то начинать сначала. Наблюдения за процессами в мировых центрах компетенций информационных технологий (насколько это возможно в нашем положении) позволяют сделать вывод, что они готовы к переменам и перемены для них не являются проблемой.

В России тенденции должны бы быть те же самые: законы математики, физики, химии, на которых базируются информационные технологии, едины для всех. Но в отсутствие технологического суверенитета в России уже 25 лет преобладает наша отечественная тенденция. Ее нельзя осознать в рамках рационального взгляда на мир, зато все это вполне укладывается в рамки религиозного миропонимания. Все у нас базируется не на расчете, все базируется на вере.

– Расскажите об уникальных технологиях, с которыми вы работали. Как вы оцениваете перспективы применения этих технологий на объектах ТЭК?
– За все эти годы было столько всего придумано и сделано, что простое перечисление потребует выхода за данный формат вопросов и ответов. Важно, чтобы все, что придумывается и делается, обеспечивало формирование нарастающего итога, багажа знаний, навыков, решений. Многое из того, что имело место ранее, однажды обеспечило возможность сформулировать постановку проблемы безопасности систем обработки информации реального времени, обосновать состав, структуру и характеристики функций безопасности реального времени и опередить в этом мировые центры компетенции информационных технологий на три года. Технологическая и ментальная отсталость России не позволила реализовать все задуманное, но правильность подходов была подтверждена независимым выбором зарубежным центром компетенции аналогичных подходов к решению проблем. С учетом уровня развития информационных технологий за рубежом их успех весьма реален. Но часть того, что тогда мы были вынуждены отложить в багаж, оказалась востребована совсем недавно и послужила основой для разработки гибридной методики оценки безопасности информационных технологий. Данная методика базируется на адаптируемом наборе качественных инструментов измерения (ГОСТ Р ИСО/МЭК, средства моделирования) и позволяет производить оценку безопасности произвольных систем обработки информации с заданной степенью детализации, демонстрирует измерения безопасности в мере риска, соотнесенной с конкретными объектами информационных технологий (бит, байт, регистр, микросхема, плата, программа, структура данных и т.п.), посредством которых реализуются границы доверия. Методика адаптивна: например, при наличии такой потребности безопасность может быть оценена не только в смысле информационной, но и в смысле функциональной безопасности. В мире аналогов нашей гибридной методике нет. Для ее создания нам потребовались только бумага, ручка и первоисточники. Поэтому низкий уровень информационных технологий в России не являлся препятствием. Использование данной методики делает ненужным разработку и поддержку в актуальном состоянии множества разнородных требований безопасности, поскольку она универсальна. А инструменты измерений, на которых базируется методика, поддерживаются в актуальном состоянии международным сообществом.

– В чем состоит комплексный подход к построению системы защиты информации на объектах ТЭК?
– Системы защиты информации в мире не строят. В мире создают системы обработки информации, насыщенные функциями безопасности в необходимом объеме. В России соответствующие специалисты подключаются к работам по созданию системы обработки информации непозволительно поздно. В результате имеем в сухом остатке систему обработки информации, зачастую насыщенную функциями безопасности в объеме меньше необходимого. В процессе эксплуатации системы так же традиционно анонсированный уровень априорных рисков не подтверждается статистикой, и апостериорные риски имеют существенно меньшую величину. Кстати, расчет априорных рисков по нашей гибридной методике дает значения, существенно более близкие к апостериорным рискам, подтвержденным статистикой, чем если выполнять расчет априорных рисков на основе действующих в России прочих нормативных документов.

– Какие существуют угрозы информационной безопасности объектов ТЭК? И какие меры необходимо принять в первую очередь для борьбы с ними?
– Угрозой для любой системы обработки информации, а не только ТЭК, является нарушение заданной технологии обработки информации в результате воздействия либо на информационный поток, либо на средства обработки информации, что может повлечь за собой причинение ущерба организации или физическому лицу. Декомпозировать, структурировать, детализировать угрозу можно до бесконечности, но это ничего не даст. Практически целесообразно не заниматься избыточной детализацией угрозы, а сосредоточиться на определении перечня простых, понятных и измеряемых границ доверия, на которых будут реализовываться функции безопасности, и соотнести эти границы доверия с конкретными объектами информационных технологий (бит, байт, регистр, микросхема, плата, программа, структура данных и т.п.). Именно это мы делаем в нашей гибридной методике, а в качестве каталога способов противодействия используем надежный и многократно проверенный документ ГОСТ Р ИСО/МЭК 15408, часть 2. Но мало определить границы доверия и способы противодействия, надо обеспечить еще и необходимый уровень доверия к безопасности, в чем нам помогает ГОСТ Р ИСО/МЭК 15408, часть 3. Но ни одна деятельность не обходится без менеджмента, и для определения необходимых процедур менеджмента мы используем ГОСТ Р ИСО/МЭК 27001. Таким образом, все аспекты безопасности у нас выражены в показателях из официальных стандартов, а их взаимную увязку обеспечивает гибридная методика, которая нам позволяет поставить точный и правильный диагноз, что много значит для достижения успеха в обеспечении безопасности.

– На чем нельзя экономить в информационной безопасности на объектах ТЭК? Чем такая экономия может обернуться?
– Экономить нужно всегда и на всем, иначе невозможно получить эффективное решение, но всегда нужно знать меру, норму и предел.

Мы уже ранее говорили о том, что системы защиты информации в мире не строят. В мире создают системы обработки информации, насыщенные функциями безопасности в необходимом объеме. Поэтому можно смело сэкономить на создании системы информационной безопасности и нанять толковых специалистов по информационным технологиям с уклоном в область информационной безопасности на сопровождение вопросов безопасности с самого первого дня создания системы обработки информации. Вот тогда толк будет, только найти таких специалистов будет очень непросто, поскольку появляются они в России не часто.

– По каким критериям можно судить о защищенности информационной системы объекта?
– О любых характеристиках любых объектов можно выносить обоснованное суждение только в результате проведения измерений. Безопасность информационных технологий в данном случае не исключение. Для обеспечения заинтересованных сторон эффективным и точным инструментом измерения нами и была создана гибридная методика измерения безопасности информационных технологий.

– В каком направлении будут развиваться системы защиты информации?
– В мире системы защиты информации развиваться не будут, ибо в этом нет необходимости. Там заняты развитием функционала безопасности систем обработки информации, и в этом направлении добиваются и будут добиваться значительных результатов, что, в общем-то, закономерно.

Что будет в России, сказать сложно. Известны различные истории течения и исхода карго-культов. Некоторые карго-культы постепенно затухали, некоторые – стабильны из поколения в поколение, некоторые – повлекли негативные последствия для их адептов, поскольку разрыв между действительностью и верой оказался слишком велик. Можно сказать лишь одно: вопросы информационной безопасности России в настоящее время находятся в тупике, и президент с этим диагнозом согласен и даже публично подтвердил его на Петербургском экономическом международном форуме 2017. Выход из этого тупика возможен только через достижение технологического суверенитета, а это точный расчет и реальная работа, во время которой танцы с бубнами не уместны.

Опубликовано: Журнал "Системы безопасности" #4, 2017
Посещений: 3993

  Автор

Андрей Неклюдов

Андрей Неклюдов

Независимый эксперт по безопасности информационных технологий

Всего статей:  1

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций