9 июня 2017 г.
Разработка, внедрение и эксплуатация ИТ-решений, использующих технологии криптографии — дело тонкое. Тут интересы граждан и бизнеса нередко вступают в противоречие с интересами государства. Да и поставщики этих решений иногда конфликтуют друг с другом, позволяя себе не очень корректные заявления как в СМИ, так и на специализированных мероприятиях. Много идет разговоров о дефиците грамотных специалистов в области информационной безопасности (ИБ). Однако не все участники ИБ-рынка вносят вклад в популяризацию ИТ-специальностей и выращивание ИБ-специалистов, предпочитая заниматься «охотой за головами», а не своего рода «культурным земледелием». Одним словом, проблем на рынке ИБ достаточно много.
Примерно год назад на одном из заседаний Правления Комитета АПКИТ по вопросам информационной безопасности возникла идея создания «Хартии владельцев и руководителей компаний, работающих в области защиты информации и криптографии». В декабре прошлого года эта идея обсуждалась участниками ежегодного Общего собрания АПКИТ. В марте этого года текст проекта Хартии был вывешен для обсуждения на сайте АПКИТ, а в апреле прошло его обсуждение на ИТ-саммите в Сочи. Точка над «i» была поставлена в конце мая, когда первые 12 подписантов хартии собрались в одном из Учебных центров «1C» и почти два часа обсуждали документ, оттачивая буквально каждую формулировку. Методика проведения этого завершающего «мозгового штурма», видимо, заслуживает отдельного разговора. Да и не только разговора, но и популяризации. Однако не будем отклоняться от темы и приведем (ниже он выделен курсивом) финальный вариант основной части Хартии.
Понимая общность интересов и задач развития отрасли ИБ, участники рынка, подписывая настоящую хартию, согласились считать для себя имеющими силу, обязательства, изложенные в нижеследующих пунктах:
- в своей профессиональной деятельности, наравне с действующим законодательством Российской Федерации, оказывать содействие российским компетентным органам в расследовании компьютерных преступлений по их запросу и в соответствии с законодательством РФ;
- при разработке нормативно-правовых актов в области защиты информации / ИБ оказывать экспертное содействие профильным ведомствам, таким как Совет Федерации ФС РФ, Государственная Дума ФС РФ, Правительство РФ, Совет Безопасности, федеральные органы исполнительной власти, Военно-промышленная комиссия РФ, межведомственные органы, создаваемые Президентом Правительством, ФСТЭК России, ФСБ России, Роскомнадзор России, МВД России, МО России и ЦБ России;
- оказывать содействие системе образования в подготовке квалифицированных кадров в области защиты информации (информационной безопасности) и разработке методических материалов, созданию полигонов и стендов по продуктам, предоставлению бесплатных демоверсий продуктов;
- при разработке защищенных систем и комплексов, СЗИ и СКЗИ руководствоваться принципами создания продукции соответствующей необходимым критериям безопасности, считать должной практикой наличие аттестатов и сертификатов регуляторов в области защиты информации;
- в случае конфликта между компаниями, том числе в спорных вопросах правообладания, воздерживаться от популистских заявлений и комментариев в СМИ; в случае невозможности разрешения конфликта путем переговоров, по обоюдному согласию привлекать к урегулированию отношений профессиональные объединения (например, ассоциации АПКИТ, АЗИ, АБИСС);
- придерживаться принципов честной конкуренции; способствовать созданию благоприятной среды для добросовестных участников рынка: добросовестно работать с заказчиком; не использовать возможности своих технологий для открытой демонстрации уязвимостей чужой продукции;
- осуждать практику использования коррупционных схем в ведении бизнеса;
- стремиться к контролю соответствия продуктов и услуг требованиям регламентирующих документов (как вариант — путем создания СРО, не затрагивая при этом существующие системы лицензирования и сертификации);
- обо всех случаях непорядочного поведения компании, обмана или введения в заблуждение заказчика уведомлять Комитет АПКИТ по информационной безопасности;
- прилагать усилия к расширению списка участников подписавших Хартию.
Первыми подписантами данной Хартии стали руководители 12 компаний:
- ООО «Бизнес компьютерс групп»;
- ОАО «ИнфоТеКС»;
- ФГУП НПП «Гамма»;
- ООО «Код Безопасности»;
- «Национальная компьютерная корпорация» (НКК);
- АО «Элвис-Плюс» ;
- «Инфосистемы Джет»;
- «Академия информационных систем»;
- ООО «Группа компаний ТОНК»;
- ООО «Центр Информационной Безопасности» (ЦИБ);
- АО «ЭлеСи»;
- Aladdin R.D.
Хартия открыта для новых подписантов. По мнению сопредседателя Комитета АПКИТ по вопросам информационной безопасности Дмитрия Кувшинникова, в России насчитывается несколько сотен компаний, предоставляющих конечным пользователям ИБ-решения с сертификатами и аттестатами, выданными госрегуляторами. В то же время круг потенциальных подписантов данной Хартии ещё шире.
Этот круг обозначен в преамбуле Хартии, где говорится о том, что данный документ охватывает круг вопросов этики, профессионализма и добросовестных практик участников рынка, работающих в сфере информационной безопасности, включая проектирование, разработку, изготовление, поставку и сопровождение средств защиты информации (СЗИ), средств криптографической защиты информации (СКЗИ) и создании систем защиты информации.
А согласно пункту 33 раздела V «Доктрины информационной безопасности Российской Федерации» (утверждённой Указом Президента РФ № 646 от 5 декабря 2016 г.), ими являются: «операторы информационных систем, организации, осуществляющие деятельность по созданию и эксплуатации информационных систем и сетей связи, по разработке, производству и эксплуатации средств обеспечения ИБ, по оказанию услуг в области обеспечения ИБ, организации, осуществляющие образовательную деятельность в данной области, общественные объединения, иные организации и граждане, которые в соответствии с российским законодательством участвуют в решении задач по обеспечению ИБ».
Исполнительный директор АПКИТ Николай Комлев говорит: «Целью данного документа является формирование отраслевого сообщества ответственных компаний, готовых работать на данном рынке в цивилизованной форме и участвовать в его развитии. В дальнейшем на основе компаний, подписавших Хартию, планируется отработать механизмы отраслевого саморегулирования. Выработка таковых механизмов будет происходить уже внутри круга подписавших».
Среди возможных направлений деятельности участников ИТ-рынка, подписавших упомянутую Хартию, АПКИТ называет следующие
- экспертиза правовых и программных (стратегии, концепции) документов, затрагивающих область ИБ;
- выработка механизмов организации экспертизы проектов в сфере ИБ (в т.ч. по поручению регуляторов в области ИБ);
- участие в урегулировании конфликтов и споров между участниками рынка ИБ;
- организация помощи участникам рынка ИБ в ситуации незаконченных и проблемных проектов;
- выработка механизмов саморегулирования на рынке ИБ;
- участие в разработке и продвижении мер, стимулирующих развитие отрасли ИБ.
Источник: Владимир Митин, для crn.ru