Автор: Аркадий Кремер, председатель Исполкома АДЭ, Председатель ИК17 МСЭ-Т
При использовании ИКТ можно выделить три составные части обеспечения доверия и безопасности:
- образовательная и просветительская работа;
- нормативное правовое регулирование;
- техническое регулирование (стандартизация).
Образовательная и просветительская работа. За 18 лет работы базовая кафедра АДЭ в МТУСИ осуществила специализированную подготовку более 2500 студентов по комплексному обеспечению информационной безопасности инфокоммуникационных сетей и систем. В последние годы совместно с МТУСИ мы регулярно проводим форумы для студентов отраслевых технических вузов и профильных лицеев по этическим, культурологическим и цивилизационным проблемам работы в сети Интернет. Такой форум состоялся и в рамках выставки «Связь-Экспокомм‑2015».
Повышение профессиональных знаний в сочетании с воспитанием этических и культурологических навыков являются важнейшими задачами отраслевых вузов в подготовке будущей телекоммуникационной элиты нашей страны. Фундаментальные научно-технические знания, изучение отраслевых традиций и культурного наследия гарантируют формирование критического подхода к познанию и восприятию новаций с учетом национальных интересов в современных условиях информационного противоборства.
Нормативное правовое регулирование. В последние годы усилиями российских законодателей и органов исполнительной власти получены важные результаты в деле совершенствования нормативного правового регулирования защиты персональных данных, фильтрации контента, персональной идентификации, проведения оперативно-розыскных мероприятий и в других сферах обеспечения информационной безопасности. Эффективная работа по модернизации нормативной правовой базы ведется постоянно. Рабочие группы АДЭ участвуют в рассмотрении и подготовке проектов нормативных правовых актов. Необходимо, однако, учитывать, что законодательное регулирование информационной безопасности имеет ряд объективных ограничений. Законодательство регулирует не технологии, а отношения, которые возникают при их использовании, поэтому не может оперативно отвечать на новые вызовы и угрозы информационной безопасности, сопровождающие развитие технологий. Кроме того, глобальная связность ИКТ-инфраструктур обусловливает в целом ряде случаев межгосударственный характер новых угроз безопасности, поэтому нормативное правовое регулирование противодействия таким угрозам требует принятия не только национальных, но и международных нормативных правовых актов. Вот почему в последнее время все большее значение в обеспечении информационной безопасности приобретают организационные, процедурные и технологические меры, которые регулируются международными и национальными техническими стандартами и относятся к техническому регулированию. Такие стандарты могут применяться только в соответствии с действующим законодательством, поэтому в их разработке, а также в оценке рисков, связанных с их принятием, необходимо участие национальных регуляторов. В этом отношении уникальные возможности предоставляет Международный союз электросвязи .
Техническое регулирование (стандартизация). Обеспечение доверия и безопасности при использовании ИКТ является одним из двух ключевых (наряду с развитием ИКТ-инфраструктуры) направлений деятельности МСЭ. Хотел бы отметить, что именно технические стандарты должны рассматриваться как основной конечный продукт деятельности МСЭ. При этом Резолюции, в отличие от Рекомендаций (стандартов), являются вспомогательными и должны быть ориентированы на создание благоприятных условий для разработки технических стандартов. Необходимо также содействовать внедрению принимаемых стандартов. Стандарт становится таковым лишь в том случае, если у него есть приложения. И здесь важное значение имеет координация деятельности секторов стандартизации и развития.
В секторе стандартизации разработку стандартов обеспечения доверия и безопасности при использовании ИКТ осуществляет исследовательская комиссия ИК17 МСЭ-Т. Она является головной по безопасности, управлению идентификацией и формальным языкам. Комиссия организует работу международных координационных групп по управлению идентификацией и защите детей при доступе к сетевым информационным ресурсам и отвечает за сопровождение более 330 принятых Рекомендаций. В настоящее время ИК17 разрабатывает 89 новых документов. В составе ИК17 МСЭ-Т функционируют пять рабочих групп (РГ).
РГ 1 «Фундаментальные аспекты безопасности» занимается координацией исследований с другими исследовательскими комиссиями сектора стандартизации, с другими секторами МСЭ, а также с другими органами по стандартизации. Кроме того, РГ 1 разрабатывает Рекомендации по архитектуре безопасности и управлению безопасностью.
РГ 2 «Сетевая и информационная безопасность» исследует вопросы кибербезопасности (обмен информацией о проблемах безопасности между организациями, участвующими в обеспечении безопасности) и противодействия спаму техническими средствами.
РГ 3 «Управление идентификацией и безопасность облачных вычислений».
РГ 4. «Безопасность приложений» исследует «повсеместные» сервисы (технологии мобильной связи и радиометок) и телебиометрию.
РГ 5 «Формальные языки». Сюда относятся язык определения протоколов и форматов файлов (ASN.1), язык регистрации на основе объектных идентификаторов (OID), языки системного дизайна (SDL), языки тестирования (TTCN.3), а также директории и защищенные директории (Х.500-Х.525). Формальные языки широко используются для описания инфокоммуникационных инфраструктур с целью их последующего мониторинга, для структурирования и категоризации информационных ресурсов, для разработки тестируемых рекомендаций
Среди текущих работ, выполняемых ИК17 МСЭ-Т, следует отметить Рекомендации по кибербезопасности, безопасности облачных вычислений, управлению идентификацией, защите персональных данных, телебиометрии, архитектуре безопасности, управлению безопасностью, безопасности инфраструктуры открытых ключей, безопасности IPv6, безопасности энергетических распределительных систем (smart grid).
В план исследований ИК17 МСЭ-Т постоянно включаются новые направления. Прежде всего хотел бы назвать разработку технического отчета по практике успешного применения стандартов безопасности. Началась разработка Рекомендаций по обнаружению и противодействию фроду, безопасности Интернета вещей, интеллектуальных транспортных систем, программно-конфигурируемых сетей, больших данных, мобильных финансовых транзакций, по управлению доступом к информации о проблемах безопасности, инструментам оценки безопасности в телекоммуникациях, контролю доступа в телебиометрии на принципах приватности, синтезу криптографических сообщений в рамках ASN.1, защите критических инфраструктур. С сожалением следует отметить, что доля вкладов в ИК17 МСЭ-Т, представляемых Администрацией связи Российской Федерации, не превышает одного процента, в то время, как более 80% вкладов приходится на страны Азиатско-Тихоокеанского региона.Участие в разработке международных технических Рекомендаций в рамках ИК17 МСЭ-Т содействует получению информации о современных научно-технических достижениях и тенденциях развития технологий, повышению имиджа Российской Федерации на международной арене при представлении и продвижении новых технических решений, обеспечивает участие в международном разделении труда. Участие в международной стандартизации информационной безопасности является важнейшим условием успешного решения задачи импортозамещения, фундаментом функционирования систем обязательного и добровольного подтверждения соответствия оборудования и услуг связи устанавливаемым требованиям, повышения качества оказания услуг связи. Разработка и продвижение международных технических Рекомендаций в сфере безопасности должны подчиняться соответствующей стратегии. В ее отсутствии Российской Федерации гораздо сложнее реализовывать свои национальные интересы в рамках МСЭ.