XIV международная конференция «РусКрипто-2012», посвященная основным вопросам информационной безопасности, прошла 28-31 марта в Солнечногорском районе Подмосковья. Более 250 специалистов в области криптографии, защиты информации и IT прибыли не только из России и стран СНГ, но и дальнего зарубежья. «РусКрипто» уже в 14 раз стала уникальной специализированной площадкой для обсуждения наиболее значимых проблем и разработок в сфере информационной безопасности и защиты данных.
Сразу отметим, что приятно удивила открытость регуляторов, в частности - ФСБ России, которые прямо указывали на проблемы в законодательстве и вопросах реализации требований, предъявляемых к защите информации и персональных данных. Наверное, это одно из немногих мероприятий, на котором участники смогли получить максимум ответов на вопросы, в том числе - и прогнозы на ближайшее будущее.
Открывая пленарное заседание, представители Ассоциации «РусКрипто» представили своего рода дайджест новостей мировой криптографии и рассказали о перспективах открытой криптографии в России. Первый заместитель начальника центра ФСБ России А. Кузьмин в докладе «Информационное общество и криптография» также обратил внимание на этапы развития криптографии в стране, правовые аспекты и актуальность обсуждаемой темы.
На круглом столе «Закон “Об электронной подписи” и его подзаконные акты. Как быть Удостоверяющим Центрам и операторам информационных систем?» были подняты такие темы, как состояние и перспективы так называемого «единого пространства доверия» (ЕПД), функционирующего как реально действующий набор сервисов, доступных пользователю вне зависимости от того, с каким управляющим центром, аккредитованным ЕПД, он работает. По словам начальника отдела информационной безопасности проекта «Информационное общество» ОАО «Ростелеком» И. Трифаленкова, уже в ближайшей перспективе предполагается развитие основных сервисов с использованием ЭП, а также запуск целого ряда управляющих систем, обеспечивающих широкое применение ЭП в интересах коммерческих и государственных организаций. Начальник отдела системной экспертизы Департамента информационных технологий ОАО «Промсвязьбанк» Ф. Дзержинский отметил, что в июле этого года заканчивается действие закона о ЭЦП и предложил поговорить о том, какие перспективы развития ожидают системы ДБО и готовы ли к этому юристы и специалисты по информационной безопасности. Продолжая тему электронной подписи, представитель Академии Информационных Систем (АИС) Д. Левиев предложил обсудить вопросы использования ЭП в ежедневной деятельности организаций, затронув в своем докладе вопросы реализации требований ФСБ России, рпедъявляемых к средствам ЭП, а также к удостоверяющим центрам. В том числе, в его докладе речь шла об организационно-технических мероприятиях и локальных нормативных актах организации, использующей ЭП в своей регулярной деятельности с собственным и внешним удостоверяющим центром.
Настоящие дебаты развернулись на площадке «Криптография и криптоанализ», где стало понятно, что помимо выполнения технической части, нельзя забывать и о взаимодействии между создаваемыми системами. В частности начальник отдела защиты коммерческой тайны и персональных данных ОАО «Универсальная электронная карта» Д. Азин рассказал о средствах криптографии, применяемых в проекте Единой платежно-сервисной системы УЭК и сочетании применения отечественных и зарубежных криптографических стандартов. Начальник отдела смарт-карт ОАО «НИИМЭ и Микрон» К. Мытник поделился информацией о схеме защищенной сессии между УЭК и терминалом. Но в процессе дискуссии остались без ответа вопросы о том, как будут защищены терминалы от считывания персональной информации с этих самых карт. Производители микрочипов объясняют это тем, что отвечают за свой участок работ, архитекторы УЭК - за свой. Но «конечного пользователя» интересует именно механизм и гарантия защиты персональных данных, которые будут заложены в карту. На данной секции обсуждались и вопросы развития криптографической защиты в России и Европе, и, конечно, много говорилось о деятельности ТК26, итогах пошедшего года в части развития стандартов, разработке и экспертизе контейнеров хранения ключей, транспортных контейнеров, дополнений к криптографическим протоколам, которые, возможно, станут рекомендациями по стандартизации и войдут в новые документы.
Все это - только первый день конференции. Но за весь период мероприятия было обсуждено огромное количество вопросов и проблем, и самое главное, что на протяжении всей конференции представители ФСБ России принимали самое активное участие во всех дискуссиях. Служба, которая совсем недавно была грозой предпринимателей, операторского сообщества, лишний раз доказала, что регуляторы открыты, готовы к достаточно плотному сотрудничеству с компаниями-операторами, производителями и вендорами СКЗИ. «Мы также, как и вы, понимаем, что требования по защите персональных данных стали обузой для многих операторов, но мы готовы принять ваши предложения, они будут обязательно рассмотрены. Кроме того, мы работаем над законодательной и нормативной правовой базой и хотим сделать требования более ясными, чтобы не осложнять вашу жизнь, а наоборот ее облегчить,» - сказал представитель регулятора.
Конечно, в ходе конференции нельзя было не сказать и об антивирусной защите ПО. Эти секции шли скорее как дополнение к основным, но были достаточно интересны: разработчики антивирусных программ, вендоры, аналитики согласились, что на сегодняшний день технологии антивирусной защиты все-таки похожи на «затыкание дыр», нежели попытки принципиальной смены парадигмы защиты информации. И речь здесь шла и о виртуальной среде, которую на сегодняшний день очень сложно не просто защитить, но и грамотно преподнести конечному пользователю.
Подводя итог, хотелось бы сказать, что пример «РусКрипто» доказал, что прямой диалог между всеми участниками IT-индустрии и регуляторами необходим и вполне может быть конструктивным и эффективным. Как будет развиваться сотрудничество, какие в итоге документы будут разработаны и приняты - покажет время. Возможно, именно такие мероприятия заставят, наконец, понять, что операторское сообщество и государство в лице регулятороы - не противоборствующие стороны, в партнеры, готовое сотрудничать в общих же интересах.
Александр Волков