С 6 по 10 сентября в Сочи прошла 10-я Всероссийская конференция «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ – 2011», организованная «Академией Информационных Систем». Более 270 представителей органов государственной власти, регуляторов, бизнес-сообщества и разработчиков средств ИБ обсудили широкий спектр вопросов, касающихся информационной безопасности.
Главной темой прошедшего мероприятия стало обеспечение информационной безопасности в информационном обществе. В связи с этим активно обсуждались вопросы построения защищенной инфраструктуры Электронного правительства, защиты персональных данных, использования электронной подписи, универсальной электронной карты, обеспечения безопасности при предоставлении электронных госуслуг, безопасности облачных вычислений, создания системы межведомственного электронного взаимодействия (СМЭВ), совершенствования нормативно-правовой базы, а также регулирования и саморегулирования в сфере информационной безопасности. Ряд тематических секций проходили в формате экспертных панельных дискуссий, круглых столов и семинаров.
В связи с утверждением Правительством РФ государственной программы «Информационное общество, 2011-2020 гг», центральное внимание специалистов в области ИТ и ИБ обращено сегодня к проблемам надежного и безопасного функционирования инфраструктуры Электронного правительства и механизмов предоставления электронных государственных услуг бизнесу и гражданам. Начальник отдела информационной безопасности проекта «Информационное общество» ОАО «Ростелеком» Илья Трифаленков отметил, что задачи формирования электронного правительства хотя и занимают значимую часть программы «Информационное общество», но далеко не исчерпывают ее услуги. Инфраструктура Электронного правительства (ИЭП) представляет собой совокупность автоматизированных и телекоммуникационных систем, обеспечивающих поддержку процессов информационного взаимодействия всех субъектов Электронного правительства с целью обеспечения необходимого уровня предоставления государственных услуг конечным потребителям. Именно эта инфраструктура создается в рамках программы «Информационное общество» и является базой для формирования решений других проектов данной государственной программы. Представитель «Ростелекома» подчеркнул, что переход на предоставление услуг в электронном виде требует обеспечения такой же степени безопасности и доверия, как это принято в традиционных механизмах предоставления услуг.
«Система обеспечения информационной безопасности является комплексной для ИЭП в целом, - продолжил Илья Трифаленков. - Это означает, что она интегрирует разнородные средства защиты информации, необходимые для нейтрализации существенных угроз безопасности для всех компонентов ИЭП, в единую взаимосвязанную системную среду, обеспечивающую выполнение целевых задач по информационной безопасности, вытекающих из моделей угроз и нарушителя, частных и общесистемной политики безопасности».
Заместитель начальника Управления Центра ФСБ России Виктор Гаврилов, выступая на конференции, остановился на некоторых системных проблемах безопасности информации при построении информационного общества в Российской Федерации. В частности, он сообщил, что для обеспечения безопасности информации автоматизированных систем уполномоченными федеральными органами ФСБ и ФСТЭК сертифицированы сотни средств защиты информации, накоплен большой опыт по аттестации систем, имеется достаточно полная, научно обоснованная нормативно-методическая база. «Вместе с тем, вспоминая одно из канонических определений безопасной информационной системы как системы, в которой уровень информационных рисков снижен до приемлемого хотелось бы обратить внимание на системную часть подсистемы обеспечения безопасности, - сказал он. - Даже правильное применение сертифицированных средств защиты в сочетании с организационными мерами не обеспечивает безопасность информационной системы в указанном выше смысле, если регламент обработки информации не в полной мере соответствует поставленным задачам».
В качестве примера уязвимости, способной порождать негативные юридические последствия, он привел систему электронного документооборота, в которой не полностью реализованы все функции делопроизводства. Представитель ФСБ России призвал разработчиков элементов системы электронного правительства обратить внимание на необходимость тщательного анализа разработанных заказчиком административных регламентов на предмет выявления возможных угроз. Такая работа, по мнению Виктора Гаврилова, может быть выполнена только с активным участием заказчика.
Тему обеспечения отрасли информационной безопасности квалифицированными кадрами поднял на пленарном заседании конференции заместитель начальника Управления ФСТЭК России Алексей Шляхин. По его оценкам, дефицит специалистов по защите информации со временем только увеличивается. Особенно это касается специалистов, прошедших обучение по программам, согласованным со ФСТЭК России и ФСБ России, и получивших соответствующие сертификаты. Обсуждение вопросов подготовки, переподготовки и повышения квалификации кадров в области ИБ было продолжено в рамках специализированной секции, проведенной под эгидой ФСТЭК России и УМО ВУЗов России в области информационной безопасности.
По-прежнему остается высоким интерес профессионального сообщества к проблеме защиты персональных данных. В своем выступлении на конференции заместитель начальника Управления по защите прав субъектов персональных данных – начальник отдела правовой и методической работы Роскомнадзора Юлия Забудько рассказала об основных итогах деятельности Роскомнадзора, как уполномоченного органа в области защиты прав субъектов персональных данных. Была отмечена поступательная динамика количества жалоб и обращений граждан и юридических лиц о нарушениях российского законодательства в области ПДн. Особое внимание было уделено результатам судебной и административной практики в области защиты прав субъектов персональных данных и принятым мерам реагирования. По словам Юлии Забудько, за период 2010 г. – первое полугодие 2011 г. Роскомнадзор прекратил деятельность (в том числе, в судебном порядке) 21 интернет-ресурса, незаконно распространявшего персональные данные граждан Российской Федерации.
Одной из основных форм реализации профилактических мер является мониторинг деятельности операторов, осуществляющих обработку персональных данных, как в СМИ, так и в сети Интернет. В ходе мониторинга сети Интернет Роскомнадзором были установлены факты предоставления с помощью общеизвестных поисковых систем (Яндекс, Google, Mail и др.) доступа неограниченному кругу лиц к персональным данным клиентов интернет-магазинов, при оформлении ими заказов на предлагаемую продукцию. Владельцы данных интернет-магазинов установлены, а соответствующие материалы направлены в органы прокуратуры, по результатам рассмотрения которых на сегодняшний день, возбуждено пять дел об административных правонарушениях. В целях пресечения деятельности интернет–сайтов, зарегистрированных в доменных зонах, расположенных на технических площадках за пределами Российской Федерации («com», «org», «net» и др.), Роскомнадзором были направлены официальные письма об оказании содействия и соответствующие материалы в адрес Комиссара по защите персональных данных и свободы информации в Федеративной Республике Германия; компетентных органов Белоруссии, Канады, США и Индии.
10-я юбилейная конференция «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ – 2011» положила начало еще одной важной традиции – оказания благотворительной помощи. Часть средств, полученных от спонсоров конференции, организаторы нынешней конференции направили на приобретение первоочередных товаров и материалов для сочинского специализированного «Дома ребенка №2», в котором проживают дети с органическим поражением центральной нервной системы и нарушениями психики.
«В этом году конференция проводилась в десятый, юбилейный раз – делится впечатлениями Юрий Малинин, ректор «Академии информационных систем». – Это своего рода срез всего, что было сделано за прошедшие десять лет и оценка результата, которого мы достигли. «ИнфоБЕРЕГ» стала де-факто ежегодным съездом профессионалов по информационной безопасности России. В этом году в Сочи снова собрались представители государственных и коммерческих организаций, научных учреждений и общественных объединений, которые приняли участие в круглых столах, выступили с докладами, и проанализировали практические аспекты в сфере информационное безопасности. Конференция стала не просто дискуссионной площадкой для обсуждения важнейших вопросов безопасности, а эффективной площадкой для проведения деловых встреч среди делегатов конференции. За 10 лет проведения конференции многие ее участники стали не только деловыми партнерами, но и друзьями».