Февраль оказался богатым на ИБ-шные мероприятия. Сначала Инфофорум, потом ТБ-Форум. И если первое мероприятие – более пафосное, парадное, то второй форум – скорее камерный. Мне больше импонирует именно ТБ-Форум. Правда, он охватывает многие аспекты безопасности, но я буду говорить о том, что ближе: об информационной безопасности. В чем камерность? По своей сути ТБ-Форум – это совокупность разных конференций, каждый может найти себе нужную проблематику. А еще это гибридный формат конференций (куда же деваться в эпоху пандемии).Что общего в этих форумах? Чего не хватило? А как-то маловато будет нового. К сожалению, идут перепевки уже отговорившегося. Ну, понятно, и нормативки сейчас новой особо нет, да и уже все это обсуждалось. Поэтому я не буду давать отчет о проведенных форумах, кому это интересно – в интернете можно найти много отзывов. Я хочу поговорить о том, что навеяло в результате участия в этих форумах, о чем захотелось поразмышлять, поделиться своими мыслями, может, и не совсем правильными.
Почему-то вспомнились русские сказки. Там всегда есть перепутье: три дороги. Куда идти - тебе решать. Вот и я прикинул те проблемы, которые обсуждались на форумах. На глубокий анализ – не расчитывайте, впрочем как и на какие-то рекомендации по их решению, но проблемы – обозначу.
Импортозамещение
Говорим об импортозамещении уже давно, а воз пока медленно двигается. Разговоров много, эффекта – не очень. Итак, налево пойдешь – в санкции упрешься. Направо пойдешь – в отставание отечественых технологий упрешься. Прямо пойдешь – и куда бедному крестьянину податься – деньги потеряешь. Ищи компромисс, а он невелик: либо используешь пиратские копии, как в старые 90-е, потом платишь по искам обладателей, либо берешь наш, недоделанный, продукт и потом платишь за его доделку и кастомизацию. Думайте сами, решайте сами - иметь или не иметь.
Конечно, надо начинать с элементной базы. Но технологии наши к сожалению, не позволяют реализовать все задумки. Что делать? Думаю, надо искать международное сотрудничество. Да, возможности из-за напряженной международной обстановки небольшие, но они все-таки есть. Это и Китай, и Индия, и другие восточные страны. Так может, стоит посмотреть на Восток?
Апологетика
Это немного о нашей нормативке. Направо пойдешь – куда прешься! Иди по центру! Налево пойдешь – я тебе попереключаю! На первый, по центру! По центру пойдешь – в штрафы упрешься. Да, без репрессий в нашем обществе не всегда управишься. Но! Репрессии не защищают, а только создают иммунитет. Это как с КОВИДом: прививка – это иммунитет, а где лекарство? Прививкой не вылечишься, но и лекарством не защитишься, нужен комплекс. Нужны не только штрафы, но и цельные, грамотные, обоснованные с точки зрения экономики рекомендации. Вот на это и надо направлять наши ИБ-шные мероприятия. Я уже много писал и про БДУ, и про стандарт по архитекуре СОБИ, и про методику категорирования. Вроде все есть, но как-то далеки они от народа… Неувязочка. Никак их не соединишь и не получишь целостную картину. И проблема здесь, на мой взгляд, в отсутствии единой теории построения систем безопасности информации. Книг много и даже в ВУЗах читают курсы (сам читал), но единой теории – нет. Вот, как мне кажется, достойная тема для ГНИИПТЗИ. А отсутствие единой теории порождает разрозненные нормативные документы.
И еще, о нашем менталитете. К сожалению, если все отдать на откуп хозяину информационной системы – никакой защиты не будет. Убеждать, что это важно, нужно, необходимо – это хорошо, но не эффективно. Российский человек, если его не заставлять, делать не будет. Раньше, в стародавние времена, все требования были обязательны (но и время было такое). Потом была определенная вольница (вспомните хотя бы эпопеи с профилями защиты, когда каждый хозяин хотел сделать свой профиль). Так может настало время, когда надо совместить два эти подхода?
С.В. Вихорев,
Советник Генерального директора
ООО «ИТ-Экспертиза»