16.04.2015

Доверенность в ИБ – вопросов больше, чем ответов

Интернет-блог PC Week/Безопасность, апрель, 2015<br>
Статья о круглом столе с участием Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

"Доверенность как основа информационной безопасности" – так называлась тема основного круглого стола, проведённого в рамках состоявшегося на днях четвёртого форума АЗИ "Актуальные вопросы информационной безопасности России".

Как заявил в своём, предваряющем дискуссию, выступлении модератор круглого стола Виктор Гаврилов, советник генерального директора ИПИ РАН, термин доверенность в контексте ИБ (например, доверенные программно-аппаратные средства, доверенная среда и т.п.) остаётся на сегодняшний день не понятным до конца.

Приглашённые как закоперщики обсуждения заявленной темы эксперты начали с выяснения того, является ли понятие доверенность новым, или так пытаются обозначить давно известную сущность. И началось тут мало понятное теоретизирование на заданную тему. Каких только терминов и понятий взамен заданного к обсуждению (доверенность) не прозвучало: доверие, защищённость, уровни доверенности, доверенная среда, оценки доверия, степень уверенности, степень доверия, степень недоверия, уровни доверия, конфиденциальность + целостность + доступность, области применения термина доверие в контексте ИБ, контролируемая вычислительная среда, функционально замкнутая среда, изолированная программная среда, доверенная вычислительная среда, доверенный сеанс связи…

Определение доверенности, которое предложил заместитель генерального директора ФГУП ГНИВЦ ФНС России Александр Баранов: доверенность – это соответствие заявленным свойствам, только подлило масла в огонь, но никак не помогло нахождению "общего знаменателя". К тому же и зал не оставался равнодушным, внеся свою лепту в разногласие.

Замечу, что в моей практике с термином доверенность в контексте ИБ я встретился не сегодня и не вчера - несколько лет назад, а, заместитель генерального директора компании "Аладдин Р.Д. Алексей Сабанов напомнил, что понятие доверенной среды было введено в нашей стране в документах ФТЭК РФ аж в 1992 году, после перевода на русский язык "оранжевой книги".

От круглого стола осталось впечатление преобладания сумбура в понимании доверенности и доверия в ИБ. При этом лично у меня нет никакого сомнения в том, что если бы кто-либо обратился к каждому из приглашенных к обсуждению заданной темы экспертов по отдельности, то он получил бы весьма полезные в практическом смысле рекомендации по построению доверенных ИКТ-сред.

Тем не менее, в ходе обсуждения экспертам удалось ещё раз обратить внимание участников на ряд важных и актуальных с позиции ИБ аспектов: необходимость различать требования к ИБ для разных объектов и субъектов; обусловленность присутствия на рынке ИБ-средств разной надёжности; необходимость выработки оценок состояния ИБ для потребителей средств защиты информации (т.е. для непрофессионалов); необходимость сохранения защищённости на протяжении всего жизненного цикла защищаемой среды и др.

Напрашивается вывод: российская ИБ-практика сегодня опережает ИБ-направления, связанные с обобщениями понятий и терминов в этой области (начиная с законотворчества, регулирующего ИБ). Это, конечно, порождает немало трудностей, но не смертельно опасно на практике даже в условиях доминирования в ИКТ и ИБ импортных продуктов. Российские специалисты (возможно, пока) сегодня умеют защищать доверяемы им ресурсы.


Эксперты круглого стола слева направо: Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д."; Александр Баранов, заместитель генерального директора ФГУП ГНИВЦ ФНС России; Сергей Вихорев, заместитель генерального директора по развитию компании "ЭЛВИС-ПЛЮС"; Виктор Гаврилов, советник генерального директора ИПИ РАН; Валерий Конявский, научный руководитель ФГУП ВНИИИПВТИ; Дмитрий Гусев, заместитель генерального директора компании "ИнфоТеКС".