Читаем Журнал «Компьютерра» № 47-48 от 19 декабря 2006 года полностью

Я.: Сейчас в Госдуме рассматривается проект закона, который будет регламентировать ответственность в этих вопросах. Все вопросы должны решаться на основе соглашения государства, бизнеса и гражданского общества. Эти соглашения и оформляются в виде законов. Государственные органы юридически контролируют процесс, а бизнес в данном случае должен обеспечивать функциональную составляющую мер безопасности.

С.: Противоречия нет еще и потому, что эти компании — крупнейшие экономические игроки, и им не интересно пускать кого бы то ни было в свои информационные потоки. Там масса конфиденциальной информации, которую они не хотели бы показывать госорганам. Но зато государство теперь жестко навязывает сертификацию средств защиты. Всевозможные «отраслевые стандарты» больше не будут использоваться. Такой ситуации, когда, к примеру, криптографические средства заказываются у некоей частной компании, не имеющей серьезной гослицензии, но близкой к руководству заказчика, больше не будет. Но надо помнить, что существует рынок средств защиты информации. И система сертификации, хочет того государство или нет, становится активнейшим инструментом игры на этом рынке. Тот, кто является лицензиатом соответствующих структур (ФСТЭК [Федеральная служба по техническому и экспортному контролю, занимается противодействием иностранным техническим разведкам], ФСБ), автоматически получает преференции на рынке, поскольку многие компании обязаны покупать сертифицированные средства. Следовательно, отделы по лицензированию и сертификации находятся на острие экономической борьбы. Именно поэтому было принято решение, что в сертифицированных средствах должны использоваться только ГОСТовские алгоритмы. А как их воплощать — это уже другое дело. Те, кто сертифицирует, будут только смотреть, правильно ли реализованы эти стандарты.

Ну а «импортные» средства защиты и/или мониторинга коммерсанты могут у себя поставить?

С.: Их невозможно лицензировать. То есть для внутрикорпоративного использования — ради бога. Для обмена с Центробанком и госорганами — будь любезен поставить сертифицированные средства.

В Германии в начале 2000-х государство рекомендовало бизнесу использовать для деловой переписки программу GPG (опенсорсный аналог знаменитой PGP).

C.: Наши стандарты на электронную цифровую подпись построены на алгоритме типа Эль-Гамаля. Поэтому PGP, RSA и все, что вокруг них, у нас не лицензируется, насколько мне известно. Но там, где не нужна лицензия, — пожалуйста. Де-факто PGP сейчас почти стандарт для шифрования частной переписки в Интернете.

А опенсорсность дает преимущество в надежности? Ведь программу могут проверять все желающие.

С.: Чтобы аккуратно просмотреть такие коды, нужны огромные затраты, надо надолго занять группу высококлассных спецов. В Минатоме в начале 90 х изучали коды Microsoft Windows одной из тогдашних версий (они были предоставлены Microsoft в полном объеме), в связи с установкой специального ПО на предприятиях атомной отрасли по программе контроля за ядерными вооружениями. Аналогичная история была позже, в связи с использованием программ под Windows в госструктурах. Коды были открыты на каких то сверхжестких условиях, смотреть можно было только в отдельном помещении, с дискетой не заходить, смотреть с экрана и т. п. — но тем не менее. В результате — отдельные куски проанализировали, ничего не нашли. Ну и что? Полностью все эти гигабайты невозможно проанализировать. То же самое и с опенсорсом.

У нас есть разработки своих защищенных операционных систем?

Я.: Леонид, что значит «у нас»? Все равно каждая фирма, организация доверяет только себе. Из-за того, что сегодня все демократично, понятие «у нас» лишается того смысла, который вы, я полагаю, в это слово вкладываете.

С.: Классический пример. Я вел переговоры с одним банком о проекте по оценке их инфобезопасности. Говорю: в нашем институте есть специалисты, которые могут провести так называемое «обследование безопасности информационных систем» (мы такие работы часто делаем, в том числе для коммерческих фирм). Объясним, где у вас дыры могут быть. Смотрю — нет реакции. Потом объясняют: «Алексей, приходи к нам в банк работать, и тогда ты это сделаешь. Но заказывать на стороне такое исследование мы не хотим, потому что придется раскрыть информацию, которую не хотим раскрывать. Мы доверяем только себе и своим сотрудникам». Это просто классический пример отношения к внешнему аудиту.

И в критических ИС то же самое?

С.: Естественно.

Я.: Я совсем по-простому скажу. Вторая сторона вопроса — не всегда даже крупный игрок заинтересован, чтобы у него не было дыр в ИБ.

Почему?