Центр стратегических оценок и прогнозов

Автономная некоммерческая организация

Главная / Оборона и безопасность / Вопросы информационной безопасности / Статьи
Безопасность электронных коммуникаций
Материал разместил: Гриняев Сергей НиколаевичДата публикации: 16-09-2003

В конце XX века в нашу жизнь стремительно ворвались информационные и телекоммуникационные технологии. По заявлению ряда зарубежных экспертов, именно прогресс в области информационных технологий и средств связи в значительной мере будет определять в следующем десятилетии уровень благосостояния населения практически всех стран мира. С конца 90-х годов обозначился рост объемов продаж в российском сегменте Интернета, успешно функционирует ряд межбанковских информационно-платежных систем, активно разрабатываются и внедряются другие проекты.

Наряду с этим дальнейшему поступательному развитию Интернет-экономики в мире в целом и в России в частности препятствуют серьезные проблемы, выявленные на этапе ее становления. Важнейшая из них — обеспечение информационной безопасности электронных коммуникаций.


Особенности электронной экономики в России


Вследствие объективного роста угроз, вызванного активизацией деятельности террористических групп, многие аналитики прогнозируют в ближайшее время существенный рост отрасли, выпускающей продукты безопасности, несмотря на явную рецессию компьютерной индустрии в целом. Как отмечается в ряде изданий по безопасности, наиболее интенсивный рост предсказывают сектору «3A» (аутентификация, авторизация и администрирование). В частности, рынок в Европе увеличится с 742 млн. в 2000 году до 2,4 млрд. долларов в 2005-м.

Данные агенства Ernst&Young

Характер угроз информационной безопасности

 

 

 

 

 

 

 

 

 

 

 

Увеличение коснется не только рынка отдельных продуктов, но и услуг. Например, уже сейчас некоторые операции, значимые с точки зрения безопасности, компании сознательно передают для обслуживания фирмам, специализирующимся на этом виде бизнеса.


Результаты маркетингового исследования, проведенного летом 2001 года компанией Ernst&Young (1), а также проекта «Готовность России к информационному обществу» (2) показали, что сегодня 78% российских компаний уже имеют собственное представительство в Интернете. Однако некоторые компании (30%) поддерживают свои веб-сайты исключительно для публикации сведений о фирме или в рекламных целях. Вместе с тем многие компании уже приступили к ведению электронного бизнеса через свои сайты. Причем 20% из них используют веб-сайты только для работы в секторе «бизнес — потребитель» (B2C), 7% — в секторе «бизнес — бизнес» (B2B) и 21% — в обоих секторах.

Таким образом, учитывая постоянный процесс расширения сфер использования информационных сетей и Интернета в деятельности компаний, есть основания полагать, что электронный бизнес в России имеет достаточно серьезные позиции. Более того, почти 25% опрошенных представителей компаний рассматривают возможность реализации первого в их практике проекта электронной коммерции.

Общая тенденция развития этого сектора экономики приводит к тому, что интерес инвесторов к решениям в области В2В в России растет. Уже сейчас в российском сегменте Интернета существуют десятки В2В-проектов (по разным оценкам, около 50 ромышленности, металлургии, компьютерной и других отраслях. Кроме того, наметилась тенденция интеграции отечественных предприятий (прежде всего из сырьевых и обрабатывающих отраслей) с западными В2В-системами, что в целом характерно для мировых процессов глобализации.

В 2000 году заявили о себе первые российские Интернет-магазины. Сегодня в Рунете, по мнению ряда изданий, активно покупают книги, музыкальные диски, билеты, продукты, компьютерную технику и электронику, домашнюю утварь и садовые принадлежности.

Тем не менее около 90% компаний признают наличие различных факторов, препятствующих расширению электронного бизнеса. Обеспокоенность вызывают в основном недостаток ресурсов, квалификации и опыта, проблемы обеспечения безопасности и конфиденциальности. Сообщения в прессе о краже информации кредитных карт, а также простота, с которой хакеры получают доступ к информации, являющейся коммерческой тайной, через Интернет, служат для потребителей поводом отказаться от покупок через электронные магазины, а для бизнесменов — от участия в проектах.
В 2000 году общее количество Web-витрин, Интернет-магазинов и торговых Интернет-систем, по различным экспертным оценкам, приблизилось к 600. Вместе с тем практика показывает, что только в 40% случаев покупателям разрешается воспользоваться пластиковой картой при оплате заказа. Некоторые виртуальные магазины избегают онлайновых платежей, оправдываясь тем, что ни одна схема организации электронной коммерции не может обеспечить 100%-ную безопасность.

Эксперты компании Ernst&Young отмечают, что в 2001 году как минимум 64% из опрошенных компаний подверглись нападениям. Характер атак говорит о том, что 43% из них связаны с хищением коммерческой информации, 15% относятся к сфере финансового мошенничества, 14% — несанкционированный доступ изнутри компании и 11% — проникновение в систему извне.

Одна из характерных тенденций, наметившихся в российском секторе электронной коммерции, — процесс передачи функций, связанных с внедрением, администрированием и обеспечением безопасности информационных систем, сторонним организациям. Так, 28% фирм привлекают их к проектированию инфраструктуры информационных систем, 40% — для разработки необходимых приложений.


Сферы использования сети Интернет в России

При этом четверть опрошенных представителей заявили о том, что привлекают сторонние компании для решения вопросов, связанных с обеспечением информационной безопасности и защиты информации в информационных системах. Это связано прежде всего с недостатком квалифицированных кадров и с необходимостью наличия у компаний, проводящих работы в области информационной безопасности, соответствующих разрешительных документов Гостехкомиссии и ФАПСИ.
Таким образом, основными негативными факторами, препятствующими повышению эффективности электронного бизнеса в России, являются следующие.

1. Соображения безопасности и конфиденциальности (45%). Именно они являются сегодня главной преградой для активного исполтехнологий в целом.

2. Недостаток ресурсов, квалификации и опыта (44%). Особенно это характерно для области, связанной с обеспечением информационной безопасности, несмотря на наличие большого количества грамотных специалистов в области информационных технологий. Во многих случаях на проведение комплекса работ, необходимых для достижения и поддержания требуемого уровня защиты информации в соответствии с действующими нормативными документами, у компаний просто не хватает средств.

3. Отсутствие стандартов и четкой законодательной базы (29%). Существует множество нерешенных вопросов, связанных с регулированием отношений между онлайновыми рынками и российским государством. В первую очередь неоднозначность трактовки российского законодательства, связанного с юридической правомочностью электронной подписи. Во-вторых, законы, определяющие понятие «электронной подписи» и регулирующие ее использование, во всех странах разные, что значительно осложняет деловые отношения на международном уровне и международную интеграцию.

4. Недостаток доверия к участникам рынка (19%). Почти 20% опрошенных заявляют, что организации полноценной работы в Интернете препятствует отсутствие доверия среди участников электронного рынка.

Таким образом, в последнее время в России отмечается достаточно тревожная ситуация в сфере обеспечения информационной безопасности и защиты информации, особенно для предприятий частной формы собственности. Складывается впечатление, что бизнес существует сам по себе, а государство — само по себе. Принимается Доктрина информационной безопасности, где вроде прописан и частный сектор, но в дальнейшем о его существовании благополучно забывают и предпринимаются попытки обеспечить информационную безопасность России без учета более половины ее экономики.

Одну из причин создавшегося положения эксперты видят в том, что у основных участников данного сектора экономики — банков практически исчез интерес к обеспечению безопасности своих информационных систем. Это в свою очередь обусловлено тем, что сегодня стоимость создания надежной системы информационной безопасности намного выше потерь, которые несет тот или иной банк в результате несанкционированного доступа к его информационным ресурсам. Не секрет, что сейчас предпочтительнее улаживать проблемы за счет «внутренних резервов» и не афишировать возникающие проблемы. Зачастую, приобретая тот или иной программный продукт, банк отказывается доплачивать за обеспечение необходимого уровня защиты информации. Подобная ситуация негативно отразилась и на разработчиках. Теперь многие из них просто игнорируют необходимость обеспечения защиты информации.

Однако следует помнить, что обеспечение защиты информации позволяет не только предотвратить нежелательные последствия, связанные с нарушением нормального функционирования информационных систем или утраты информации, но и иметь полный контроль над информационной системой, что позволит обеспечить собственную безопасность от нзования информационной системы банка в интересах преступных групп и конкурентов.

О защите информации и перспективах вступления России в ВТО

Идет к завершению процесс согласования условий для вступления России во Всемирную торговую организацию. Наряду с массой других проблем это событие будет иметь определенные последствия и для организаций, занятых вопросами обеспечения информационной безопасности.
Области привлечения независимых подрядчиков

Как отмечается в Доктрине информационной безопасности, за последние десять лет российских реформ в сфере информационных технологий воцарился настоящий хаос, препятствующий формированию единого общероссийского информационно-финансового пространства. На рынке банковских систем доминируют аппаратно-программные средства иностранного производства, а отечественные разработки, адаптированные к российским условиям, зачастую остаются достоянием отдельных компаний-разработчиков.

Вступление в ВТО потребует адаптации российского законодательства и стандартов в области информационных технологий к международным образцам. Появится перспектива подписания Россией международного соглашения о взаимном признании сертификатов, выданных в рамках общих критериев оценки безопасности информационных технологий. Это приведет к массовому наплыву на российский рынок зарубежных средств защиты информации.

Одним из главных вопросов станет обеспечение конкурентоспособности продукции российских разработчиков. Следовательно, уже сейчас необходимо заниматься разработкой профилей защиты и заданий на безопасность для сертификации отечественной продукции по требованиям «Общих критериев».

Упорядочение деятельности по внедрению и развитию информационно-телекоммуникационных технологий в банковской сфере позволит интенсифицировать процессы ее интеграции, достичь требуемого уровня унификации, стандартизации и информационной безопасности.

Кроме того, целесообразно проведение работ по формированию единого Реестра аппаратно-программных средств, рекомендованных Центральным банком РФ, Ассоциацией российских банков, Гостехкомиссией и ФАПСИ к использованию в информационно-финансовых системах банков и других финансовых организаций, соответствующих основным международным стандартам.

Включение аппаратно-программных средств в Реестр должно осуществляться путем выдачи сертификатов соответствия. Сертификация в этом случае должна проводиться на основе Перечня требований, разработанного с учетом требований Гостехкомиссии, ФАПСИ, Центрального банка и других заинтересованных организаций. Основным ее результатом кроме включения в Реестр может также служить право на страхование информационных рисков в сертифицированных системах.

Выводы и предложения

Условием успешного развития отечественного бизнеса является создание единого общероссийского технологического и информационного пространства. Эта проблема сегодня даже более актуальна, чем интеграция России в мировую финансовую систему, поскольку последнее невозможно бного в соответствии с мировыми стандартами технологического потенциала.

Вероятно, в ближайшее время предстоит пересмотр основных подходов к формированию концепции национальной безопасности ряда государств, в том числе России. Характер угроз, исходящих от международного терроризма, повлечет за собой формирование новой модели безопасности.

В этой ситуации можно предположить, что основной акцент будет сделан именно на развитии широкой сети служб безопасности как на крупных, так и на средних и малых предприятиях. Задачи государственных служб безопасности будут сведены в основном к координации «сети безопасности», сформированной из подобных структур.

Таким образом, имеет смысл более активно привлекать российский бизнес к законотворчеству в области информационной безопасности и электронной торговли. Его участие в процессе формирования государственной информационной политики в области защиты информации и электронной торговли позволит приблизить принимаемые законодательной властью решения к интересам бизнеса и в конечном итоге будет способствовать развитию российской экономики.

 Сергей Гриняев


Источник: http://www.connect.ru/article.asp?id=3097


МАТЕРИАЛЫ ПО ТЕМЕ: Оборона и безопасность
Возрастное ограничение