7 июня 2017 г.
Разработка, внедрение и эксплуатация ИТ-решений, использующих технологии криптографии — дело тонкое. Тут интересы граждан и бизнеса нередко вступают в противоречие с интересами государства. Да и поставщики этих решений иногда конфликтуют друг с другом, позволяя себе не очень корректные заявления как в СМИ, так и на специализированных мероприятиях. Много идет разговоров о дефиците грамотных специалистов в области информационной безопасности (ИБ). Однако не все участники рынка ИБ вносят вклад в популяризацию ИТ-специальностей и выращивание ИБ-специалистов, предпочитая заниматься «охотой за головами», а не своего рода «культурным земледелием». Одним словом, проблем на рынке ИБ достаточно много.
Примерно год назад на одном из заседаний Правления Комитета АПКИТ по вопросам информационной безопасности возникла идея создания «Хартии владельцев и руководителей компаний, работающих в области защиты информации и криптографии». В декабре 2016 г. эта идея обсуждалась участниками ежегодного Общего собрания АПКИТ. В марте нынешнего года текст проекта Хартии был опубликован для обсуждения на сайте АПКИТ, а в апреле прошло его обсуждение на ИТ-саммите в Сочи. Точки над i были расставлены в конце мая, когда первые 12 подписантов Хартии почти два часа обсуждали документ, оттачивая буквально каждую формулировку. Ниже курсивом приведен финальный вариант основной части Хартии.
Понимая общность интересов и задач развития отрасли ИБ, участники рынка, подписывая настоящую Хартию, согласились считать для себя имеющими силу, обязательства, изложенные в нижеследующих пунктах:
- В своей профессиональной деятельности, наравне с действующим законодательством Российской Федерации, оказывать содействие российским компетентным органам в расследовании компьютерных преступлений по их запросу и в соответствии с законодательством РФ;
- При разработке нормативно-правовых актов в области защиты информации / ИБ оказывать экспертное содействие профильным ведомствам, таким как Совет Федерации ФС РФ, Государственная Дума ФС РФ, Правительство РФ, Совет Безопасности, федеральные органы исполнительной власти, Военно-промышленная комиссия РФ, межведомственные органы, создаваемые Президентом Правительством, ФСТЭК России, ФСБ России, Роскомнадзор России, МВД России, МО России и ЦБ России;
- Оказывать содействие системе образования в подготовке квалифицированных кадров в области защиты информации (информационной безопасности) и разработке методических материалов, созданию полигонов и стендов по продуктам, предоставлению бесплатных демоверсий продуктов;
- При разработке защищенных систем и комплексов, СЗИ и СКЗИ руководствоваться принципами создания продукции соответствующей необходимым критериям безопасности, считать должной практикой наличие аттестатов и сертификатов регуляторов в области защиты информации;
- В случае конфликта между компаниями, в том числе в спорных вопросах правообладания, воздерживаться от популистских заявлений и комментариев в СМИ; в случае невозможности разрешения конфликта путем переговоров, по обоюдному согласию привлекать к урегулированию отношений профессиональные объединения (например, ассоциации АПКИТ, АЗИ, АБИСС);
- Придерживаться принципов честной конкуренции; способствовать созданию благоприятной среды для добросовестных участников рынка: добросовестно работать с заказчиком; не использовать возможности своих технологий для открытой демонстрации уязвимостей чужой продукции;
- Осуждать практику использования коррупционных схем в ведении бизнеса;
- 8. Стремиться к контролю соответствия продуктов и услуг требованиям регламентирующих документов (как вариант — путем создания СРО, не затрагивая при этом существующие системы лицензирования и сертификации);
- Обо всех случаях непорядочного поведения компании, обмана или введения в заблуждение заказчика уведомлять Комитет АПКИТ по информационной безопасности;
- Прилагать усилия к расширению списка участников подписавших Хартию.
Первыми подписантами данной Хартии стали руководители 12 компаний:
- ООО «Бизнес компьютерс групп»;
- ОАО «ИнфоТеКС»;
- ФГУП НПП «Гамма»;
- ООО «Код Безопасности»;
- «Национальная компьютерная корпорация» (НКК);
- АО «Элвис-Плюс» ;
- «Инфосистемы Джет»;
- «Академия информационных систем»;
- ООО «Группа компаний ТОНК»;
- ООО «Центр Информационной Безопасности» (ЦИБ);
- АО «ЭлеСи»;
- Aladdin R.D.
Хартия открыта для новых подписантов. По мнению сопредседателя Комитета АПКИТ по вопросам ИБ Дмитрия Кувшинникова, в России насчитывается несколько сотен компаний, предоставляющих конечным пользователям ИБ-решения с сертификатами и аттестатами, выданными госрегуляторами. В то же время круг потенциальных подписантов данной Хартии еще шире.
Этот круг обозначен в преамбуле Хартии, где говорится о том, что данный документ охватывает круг вопросов этики, профессионализма и добросовестных практик участников рынка, работающих в сфере информационной безопасности, включая проектирование, разработку, изготовление, поставку и сопровождение средств защиты информации (СЗИ), средств криптографической защиты информации (СКЗИ) и создании систем защиты информации.
А согласно пункту 33 раздела V «Доктрины информационной безопасности Российской Федерации» (утверждённой Указом Президента РФ № 646 от 5 декабря 2016 г.), ими являются: «операторы информационных систем, организации, осуществляющие деятельность по созданию и эксплуатации информационных систем и сетей связи, по разработке, производству и эксплуатации средств обеспечения ИБ, по оказанию услуг в области обеспечения ИБ, организации, осуществляющие образовательную деятельность в данной области, общественные объединения, иные организации и граждане, которые в соответствии с российским законодательством участвуют в решении задач по обеспечению ИБ».
Исполнительный директор АПКИТ Николай Комлев говорит: «Целью данного документа является формирование отраслевого сообщества ответственных компаний, готовых работать на данном рынке в цивилизованной форме и участвовать в его развитии. В дальнейшем на основе компаний, подписавших Хартию, планируется отработать механизмы отраслевого саморегулирования. Выработка таковых механизмов будет происходить уже внутри круга подписавших».
Среди возможных направлений деятельности участников ИТ-рынка, подписавших упомянутую Хартию, АПКИТ называет следующие
- Экспертиза правовых и программных (стратегии, концепции) документов, затрагивающих область ИБ;
- Выработка механизмов организации экспертизы проектов в сфере ИБ (в т.ч. по поручению регуляторов в области ИБ);
- Участие в урегулировании конфликтов и споров между участниками рынка ИБ;
- Организация помощи участникам рынка ИБ в ситуации незаконченных и проблемных проектов;
- Выработка механизмов саморегулирования на рынке ИБ;
- Участие в разработке и продвижении мер, стимулирующих развитие отрасли ИБ.
Напомним, что весной 2015 г. Комиссия АПКИТ по импорту и дистрибуции, координатором которой является Марина Никитина, сформулировала «Этическую хартию бизнеса в сфере дистрибуции и импорта ИКТ-оборудования», которую подписали все ведущие дистрибуторами и импортеры ИКТ- оборудования. Также к ней присоединились вендоры, торговые сети и некоторые другие компании. Как известно, данная Хартия (по словам Марины Никитиной, ныне её подписали около 80 компаний) сыграла огромную роль в сокращении серого импорта ИТ.
Предполагается, что благодаря «Хартии владельцев и руководителей компаний, работающих в области защиты информации и криптографии» произойдет повышение компетентности, профессионального уровня, ответственности и добросовестности основных участников рынка ИБ, что позволит не только более эффективно решать задачи, стоящие перед участниками данного рынка, но и даст возможность ускоренного развития индустрии ИБ в России, повышения ее конкурентоспособности и экспортного потенциала.
Источник: Владимир Митин, для crn.ru