Не первый год рынок криптографических средств считается перспективным, но бурного роста пока не наблюдается
Пятая Международная конференция Российской криптологической ассоциации «РусКрипто’03» состоялась в начале февраля. Основные проблемы, обсуждавшиеся на форуме, — совершенствование законодательства в области ИТ, анализ рынка систем защиты информации и оценка его перспектив, формирование рынка систем защиты, использующих PKI (Public Key Infrastructure — инфраструктуры открытых ключей), развитие криптографических алгоритмов. В работе конференции участвовало около 150 специалистов из научных и учебных заведений, компаний-разработчиков, банков, инвестиционно-финансовых и промышленных предприятий, а также представителей законодательных органов и органов государственного управления.
На конференции выступил Церен Церенов, начальник департамента Министерства экономического развития и торговли РФ. Он коснулся новых инициатив министерства по дерегулированию в области ИТ, развития ФЦП «Электронная Россия» в 2003 г. и ряда других вопросов. В частности, он отметил, что практически во все законы, относящиеся к сфере ИТ, необходимо внести поправки.
Системы защиты на базе PKI — сложные и дорогие решения — сегодня делают первые шаги на российском рынке криптографии.
Кирилл Смирнов, эксперт фонда «Новая экономика», представил концепцию изменения регулирования в области защиты информации и ИТ, разработанную по заказу Минэкономразвития. Специалисты фонда предложили поправки к действующему законодательству. Особое внимание уделено документам в области лицензирования, а также регулирования внешнеэкономической деятельности. С предложениями фонда будут ознакомлены Минсвязи и ФАПСИ. Церен Церенов подчеркнул, что в его министерстве, в принципе, согласны с «вектором предложенных изменений».
Законодательные и нормативные акты, а также прочие регламентирующие документы, судя по всему, начинают видоизменяться, правда, пока еще никто не может сказать, окажет ли это позитивное влияние на развитие технологий и рынка систем защиты. Так, например, заместитель начальника отдела лицензирования Гостехкомиссии РФ Игорь Калайда представил доклад об изменениях нормативно-методической базы в области технической защиты информации, отметив, что «в настоящее время возникла необходимость выработки общей политики в области обеспечения, оценки и сертификации безопасности ИТ и построения целостной системы нормативно-методических документов, которые составили бы основу для деятельности различных органов».
На «круглом столе», в котором участвовали ведущие юристы, советник Госдумы и представители министерств было отмечено, что закон об ЭЦП оказался весьма неудачным, в него необходимо внести кардинальные поправки или принять новый закон.
По мнению некоторых участников дискуссии, использование ЭЦП должно быть полностью выведено из-под государственного регулирования.
Многих волнует новый федеральный закон «О техническом регулировании», который вступит в силу с 1 июля 2003 г. и наверняка затронет все области промышленности, поскольку призван регламентировать процедуры стандартизации и сертификации и должен сменить многочисленные ГОСТы и технические требования.
Не все просто в вопросе с удостоверяющими центрами (УЦ). Генеральный директор ЗАО «Удостоверяющий центр» Андрей Карпов заметил, что институт удостоверяющих центров, введенный законом об ЭЦП, подробно регламентирует их деятельность, но при этом указ Президента о назначении уполномоченного федерального органа (УФО) не подписан. «Это означает, — рассуждает Андрей Карпов, — что удостоверяющим центрам негде зарегистрировать свой корневой сертификат. Поэтому в целях защиты прав потребителей законом предусмотрено регулирование деятельности этих центров со стороны государства с помощью лицензирования. Однако в этом случае обнаруживается пробел в законодательстве и УЦ, описанные в законе об ЭЦП, не упоминаются в Федеральном законе «О лицензировании отдельных видов деятельности».
При этом Карпов замечает, что «крайним» оказалось управление по лицензированию и сертификации ФАПСИ, которому приходится под давлением заинтересованных в ЭЦП пользователей выдавать разрешения на опытную эксплуатацию УЦ под свою ответственность». Так что вопросы свободного обмена защищенными сообщениями не так-то просто решить, во всяком случае, пока нет точности в законодательстве — возможен произвол.
Не менее остро стоит проблема использования PKI. С развитием технологий Интернет/интранет в России многие руководители задумываются о безопасности и начинают присматриваться к системам, которые широко применяются в мире. Рядом с понятием открытых ключей стоит понятие цифровых сертификатов, и все это используется для решения конкретных бизнес-задач: аутентификации, обеспечения целостности данных, конфиденциальности и т. д. Сегодня на мировом рынке популярны такие системы, как UniCert компании Baltimore Technologies, Entrust (Entrust Technologies), Keon (RSA Security) и OnSite (VeriSign). Аналогичные технологии и решения предлагают и российские компании: «КриптоПро», «ЛанКрипто», «Сигнал Ком» и др.
Следует отметить, что ЭЦП, по поводу которой продолжают ломать копья наши законодатели, представляет собой одно из приложений PKI. В основу цифровой подписи и цифровых сертификатов, удостоверяющих ее, положены ключи шифрования. Для работы с цифровыми сертификатами предназначен центр сертификации — ЦС, сам по себе имеющий достаточно сложную структуру, включающую одну или несколько баз данных. Техническим и организационным проблемам ЦС (а в случае ЭЦП — удостоверяющих центров, УЦ) было посвящено немало выступлений.
Каким образом ЦС будут строиться организационно, должны ли они быть связаны с государственными органами, могут ли существовать публичные удостоверяющие центры, каким должно быть лицензирование — вот далеко не полный перечень вопросов, которые пытались решить специалисты в области защиты информации.
Даже при беглом знакомстве с PKI становится понятно, что это сложное и недешевое решение. По мнению ряда участников конференции, рынка PKI в России пока нет. Но отдельные проекты существуют. Так, представители «КомпьюЛинк» рассказали о внедрении у одного из клиентов системы компании Baltimore. В «КомпьюЛинк» говорят, что за рубежом рынок PKI бурно развивается, его потенциал велик, и в России начало уже положено. Но, по мнению специалистов, заказчики не смогут внедрять системы PKI собственными силами, поэтому необходимо готовить кадры компаниям-поставщикам и их партнерам по внедрению. Западные разработчики заинтересованы в нашем рынке, о чем свидетельствует планируемый визит в Россию главы Baltimore.
Правда, большинство участников сошлись во мнении, что такие тяжелые решения, как Baltimore, вряд ли будут необходимы большинству российских компаний. Приобретение подобных систем — порой дань моде. Созданные на пике увлечения электронной коммерцией, эти системы сейчас и в промышленно развитых странах продаются плохо, возможно, поэтому выросла активность компаний на нашем рынке.
Точка зрения
Президент «ЛанКрипто» Анатолий Лебедев утверждает, что рынок PKI в России пока небольшой, его годовой оборот не превышает 3 млн. долл. Тем не менее рынок начинает активно развиваться, игроки устанавливают партнерские отношения, набирает обороты процесс подготовки специалистов.
Один из важных вопросов, по мнению главы «ЛанКрипто», — урегулирование ситуации вокруг сертификационных центров. Он считает, что важен не статус удостоверяющего центра и не его принадлежность к какой-либо правительственной структуре, а быстрое и надежное решение потребностей клиента. Можно сказать, что сертификат — это электронный нотариус. Но ведь нотариус — нередко частное лицо, а нотариальная контора — частное заведение. Поэтому и УЦ, позволяющие совершать безопасные бизнес-операции с электронными документами, вряд ли должны полностью зависеть от государственных структур.