04.08.2011

Куда дует ветер перемен?

Написал по глупости в Твиттере, что мозаика сложилась и я теперь знаю, куда дует ветер, и вот приходится раскрывать вырвавшееся высказывание ;-)

Итак, что мы имеем? Ст.19, инициированная ФСБ, и приведшая к серьезному ужесточению ситуации на рынке ИБ, которая, как писали многие СМИ, ставит многих под контроль наших регуляторов. Причем ФСТЭК мало кто упоминает, эта структура в парочке совсем неглавная и в нормативной базе она прописана, видимо, до кучи. Одна из самых распространенных версий сделанных поправок - желание урвать побольше и расширить кормушку. Версия допустимая, но... очень уж много этих "но". Я лично в нее не очень верю - у регуляторов и до нового старого ФЗ было много способов заработать достаточно законными методами.

Все на самом деле просто и вполне открытоне раз декларировалось сотрудниками ФСБ на мероприятиях и в прессе. Мотив такой - "национальная безопасность". Из него вытекает множество иных субмотивов - "борьба с терроризмом и экстремизмом", "поддержка отечественного производителя", "обеспечение безопасности" и т.д.

Что говорит в пользу такого, лежащего на поверхности, тезиса? Начну с фрагмента годового отчета одного из ведущих отечественных разработчиков средств защиты (отчет найден путем использования правильных запросов в Google; тайной этот отчет не является, т.к. по закону должен быть доступен акционерам). В нем, в разделе рисков, он на первое место ставит "риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ". Дальше идет вывод - "Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на  продукцию отечественных производителей программного обеспечения". Могу предположить, что аналогичные опасения есть и у других игроков рынка, а также у самих регуляторов.

Идем дальше. По данным Совета Безопасности, в российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования. ФСБ в первую очередь беспокоит именно это и они это не раз заявляли. Например, на Неделе российского бизнеса в 2009-м году об этом прямо говорил начальник отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ Леонид Беляев. В своем интвервью он, кстати, ссылается на проект Указа, который я уже обсуждал в блогетут). Основной упор делается на два аспекта - недопущение на российский рынок западных продуктов и сертификация средств защиты информации.

Спустя полтора года об аналогичной проблеме заговорили в Совете Безопасности и информация об этом просочилась в прессу. Если убрать постоянные нападки на Cisco и забавные высказывания, что через маршрутизаторы Cisco проходят линии правительственных АТС-1 и АТС-2 (автору стоило бы добавить для красоты изложения, что через Cisco циркулирует трафик "Кавказа", "Севера", "Ай-Петри-Памира", "Росы" и "Интеграл-Градиента"), то идея материала понятна - все под колпаком и нужно что-то делать.

А годом ранее, в конце 2009-го года в Госдуме проходило заседание экспертного совета при Комитете по безопасности, посвященное той же проблеме. Там также заявлялось о том, что Россия зависима от западных технологий, разработчики которых пляшут под дудку западных же спецслужб. Говорилось про невозможность бороться с киберпреступниками, про готовящиеся кибервойны, законодательство других стран, дающее право спецслужбам контролировать весь Интернет-трафик и т.д. Были предложены ряд мер по недопущению развития ситуации. Число их было магическим - 7. Среди них - "выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления". Некоторые из мер уже реализовываются.

Это все? Нет. В утвержденной в 2000-м году Доктрине информационной безопасности (а именно она является основополагающим документов в области ИБ в России) среди угроз безопасности информационным и телекоммуникационным средствам и системам, как уже развернутых, так и создаваемых на территории России, числится среди прочего и "использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры". "Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения ряда задач", среди которых и "разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств". А какие системы сертификации средств защиты и каковы их требования все и так знают.

Это далеко не все доказательства моей гипотезы, но достаточно и их (тем более, что учитывая специфичность темы, многие доказательства непубличны). В целом, все это крутится вокруг одного ключевого тезиса - западные продукты доминируют на рынке и продолжают усиливать свои позиции, а это создает угрозу для национальной безопасности России.

Посыл понятен и многие развитые страны следуют той же идеологии, защищая собственные интересы. Только вот методы там выбирают немного иные. Собственно, сценариев на Западе или Востоке ровно два:
  • Развивать свое, постепенно выдавливая все зарубежное. Яркий пример страны, действующей по этому сценарию, - Китай. То, что Китай развивает "свое", сначала скопировав чужое в нарушении прав на интеллектуальную собственность, немного в стороне от темы обсуждения. По этому пути идут страны либо с большим самомнением, либо с большими ресурсами.
  • Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, военка и т.п.), пытаясь внедрить в них собственные разработки. Так поступает большинство стран, иногда даже в критичных приложениях используя западные наработки.

Могу сказать, что часто приводимый пример США (мол они используют только свое и т.д.) в данном случае неприменим. В США разрабатывается чуть ли не 90% всего мирового ПО и железа. Я имею ввиду не физически, а юридически. Собирая железо в Китае или привлекая программистов в Индии, разаботанный продукт все равно считается разработанным в США. Но хочу заметить, что даже в США не гнушаются применением для критичных применений произведенных за пределами США технологий (есть четкое деление продуктов на GOTS и COTS - для применения в государственных и коммерческих организациях соответственно). Только с соблюдением определенных требований и правил.

На упомянутом выше заседании Госдумы было предложена достаточно здравая идея - о содействии развитию отечественного производства средств связи и телекоммуникаций, ПО (хотя все заявления о взятом курсе на собственное СПО после объявления Microsoft основным поставщиком ПО для Сочи-2014 выглядят забавно), микроэлектронной базы. Правда, здравым выглядело бы сначала развить отечественные технологии, а потом минимизировать влияние западных. У нас же получилось наоборот - сначала по сути запретили западные, а как развивать отечественные никто не думает (либо ФСБ поторопилась запретить, либо Минкомсвязи не успевает развить).

Что в итоге? А ничего ;-( Я вижу несколько сценариев развития событий с разными их вероятностями. Описывать их сейчас не буду - задачи такой не стоит. Могу только предположить, что пока, по инерции, многие потребители (включая государственных) будут жить по старым правилам игры, покупаю то, что им надо, а не то, что им навязывают. Ведь мало кого из государевых потребителей волнует (а многие и не знают), что в госорганах уже почти год как должны использоваться средства защиты, сертифицированные в системе ФСБ, а не ФСТЭК. Постепенно ситуация начнет меняться и в среднесрочной перспективе регулятор (или регуляторы), усиливший свое влияние (что будет зависеть от результатов выборов, которые многие считают уже предрешенными), начнет закручивать гайки и требовать применения только решений, соответствующих требованиям (как правило, секретным). А вот в долгосрочной перспективе потребитель столкнется с тем, что спектр предлагаемых ему продуктов очень узок и не позволяет решать все поставленные бизнесом или государством задачи (особенно в рамках госпрограммы "Информационное общество 2012 - 2020"). И тут мне сложно уже предсказывать последствия. Или требования регулятора будут пересмотрены или Россия будет отброшена в своем инновационном развитии далеко назад.

Зато с национальной безопасностью у нас все будет в порядке. Террористы безусловно будут применять только сертифицированные ФСБ продукты. Экстремисты конечно же будут размещать свои материлы только на отечественном хостинге (причем тут экстремисты читайте тут и тут). А диссиденты будут использовать только сети 3G большой тройки (причем тут диссиденты, читайте тут). И все у нас будет в порядке.

Кружит Земля, как в детстве карусель
А над Землей кружат Ветра Потерь
Ветра потерь, разлук, обид и зла
Им нет числа, им нет числа

Им нет числа - сквозят из всех щелей
В сердца людей, срывая дверь с петель
Круша надежды и внушая страх
Кружат ветра, кружат ветра...

32 коммент.:

Turkish комментирует...

"Инновационное развитие России"... Чтоб об этом думать, нужно смотреть хотя бы на 2 шага вперед. Думаете, кто-то на олимпе в такую даль заглядывает?

Алексей Волков комментирует...

Для существования любого госаппарата нужна соответствующая среда, а для его развития - развивающаяся среда. Для того, чтобы поддерживать престиж этого аппарата - необходимо а) обеспечить приток молодых высококвалифицированных кадров 2) гарантировать кучу привилегий штатным сотрудникам 3) обеспечить достойное существование пенсионеров. ФСБ в этом направлении действует блестяще. Особенно в третьем из последних двух. Стоит только взглянуть на такие организации как Газпром и Роснефть. Что касается второго пункта - то ПДн и СЗИ - далекоооо не самый выгодный аспект. Так что я склонен относить его все же к "престижу фирмы".

Алексей Волков комментирует...

Относительно перспектив развития отечественной индустрии ИТ... Не будет никакой индустрии. Будет "псевдоиндустрия" в виде дешевых китайских поделок с отечественными лейблами (по типу МТС ГЛОНАСС), дорогие сертифицированные бренды и может быть какое-то подобие "автоВАЗа" в ИТ. И так будет продолжаться до тех пор, пока страна будет сидеть на трубе, а чинуши будут обирать народ и бизнес.

Евгений Родыгин комментирует...

А какие системы сертификации средств защиты и каковы их требования все и так знают.

- Вот тут ты конечно заблуждаешься...

Алексей комментирует...

Мысли вслух: поддержка отечественных разработчиков (тем более ИБ) - конечно благо, но нельзя ведь создавать им гипертрофированно тепличные условия, когда они в задавленной конкуренции будут забивать на улучшение соотношения цена/качество.

Ведь можно их поддерживать, добавив пару оговорок:
1) там, где уже используются иностранные СЗИ (куплены до 01.07.11), разрешить их по упрощённой процедуре декларирования (включая СКЗИ);
2) там, где нет отечественных аналогов - разрешить иностранные опять же с декларированием;
3) разрешить самописные СЗИ - опять же, с декларированием по какому-нить хорошему открытому стандарту.

Алексей: такой вариант не предлагался регуляторам?

Тогда нужно будет всего лишь:
1. Выбрать стандарты для декларирования.
2. Регуляторам разработать методики проверки корректности "деклараций".

Евгений комментирует...

Алексей, странно что только сейчас об этом пишешь.
Этот мотив - "поддержка и развитие отечественного рынка СЗИ" - я помню озвучивал клиентам еще в 2009 году, как одну из причин принятия такого жесткого законодательства в сфере ПДн.

Вот только, на мой взгляд, может кто-то наверху и хочет такой благородной цели, однако ведь давно известно к чему приводит конкуренция при малом числе участников, да еще с большим опытом коррупционных схем.

Будут четко поделенные между участниками рынка конкурсы в госструктуры - по сути плановое распределение бюджетных средств между несколькими крупными игроками. Зачем при этом развивать СЗИ? Зачем держать профессиональных разработчиков, если студенты делают тоже самое и гораздо дешевле?

Неужели аналитика в ФСБ настолько умерла и они не понимают, что сами загоняют страну в тупик "каменного века технологий"? Или у нас много танков и (будет) подводных лодок, значит мы победим? :)

ЗЫ. пример Автоваза ничему не учит, а жаль

Алексей Лукацкий комментирует...

Евгению Родыгину: Ну конечно я заблуждаюсь ;-) Я не понимаю, почему фермер должен покупать МСЭ, сертифицированный на отсутствие НДВ. НАФИГА?

Алексей Лукацкий комментирует...

Евгению: Да только сейчас эта проблема встала в полный рост. Раньше было попроще.

Евгений Родыгин комментирует...

2 Алексей:
Я про то что знают!
А фермеру я вообще не знаю зачем МЭ!!! Ему бы хрюшку купить добрую и ласковую ;)

Алексей Лукацкий комментирует...

Да фермеру он и не нужен, но почему-то ФСТЭК в 58-м приказе установил, что для защиты нужен межсетевой экран, обязательной сертифицированный не ниже 3-го класса. А для этого нужна сертификация НДВ.

Евгений Родыгин комментирует...

2 Алексей:
Ага, сказали суровые лесорубы, - у вас там закладки значит потому и бесит!!!

Евгений комментирует...

Так, мало того, что программные, так еще ведь на уровне аппаратной логики встроено однозначно! :)

Евгений Родыгин комментирует...

Интересно - а если кто то найдет...
Выгонят из страны ? Или мы уже договорились ?..

vsv комментирует...

Алексей, почему Вы увязываете 3-й класс МЭ и провепрку на НДВ? по 58-му приказу проверка на НДВ обязательна только для ИСПДн 1 класса, для остальных решение принимает оператор (п. 2.12 Приложения к приказу) Я не дум аю, что у фермера будет ИСПДн 1 класса

vsv комментирует...

Кстати и проклассы МЭ в 58-м ничего не сказано. Там дан только набор функциональных требований, которым должен удовлетворять МЭ....

Алексей комментирует...

Вопрос: почему удаляются мои сообщения? вроде пишу "в тему"...

max7253 комментирует...

Если посмотреть на РД ФСТЭК по МЭ и на требования Приказа №58, то, как мне показалось, 3 класс МЭ в Приказе №58 обязателен только для ИСПДн 1 класса.
Для ИСПДн иных классов достаточно МЭ 4 класса.

Albert комментирует...

Лукацкому:"Да фермеру он и не нужен, но почему-то ФСТЭК в 58-м приказе установил, что для защиты нужен межсетевой экран, обязательной сертифицированный не ниже 3-го класса. А для этого нужна сертификация НДВ".
А что ФСТЭК предлагает работать фермеру с гостайной.

Алексей Лукацкий комментирует...

Алексею: Ничего не удалял и даже не заходил на сайт в это время. Я замечать стал, что Гугл какие-то комменты удаляет или просто не размещает. На почту уведомление о них приходит, а на блоге они не отображаются ;-(

Алексей Лукацкий комментирует...

Сергей Викторович: Это Вам должно быть виднее ;-) Почему, например, Элвис+ отказался недавно сертифицировать Cisco ASA по 3-му классу, сославщись на устное распоряжение ФСТЭК, что теперь для сертификации на 3-й класс МСЭ обязательно проходить еще и сертификацию на НДВ? И это при том, что Элвис+ на протяжении многих лет сертифицировал на 3-й класс сначала Pix, а потом и ASA...

А вы говорите, все прозрачно...

ЗЫ. Я вас, кстати, не обвиняю в желание подорвать бизнес Cisco отказом сертификации или тем, что у нас с вами разные взгляды на новый ФЗ ;-) Тот же мотив у всех остальных сертификационных лабораторий.

Алексей Волков комментирует...

Алексей, это - нокаут.

Алексей Лукацкий комментирует...

Кто кого нокаутировал?

Алексей Лукацкий комментирует...

Надеюсь не меня ;-)

Алексей Лукацкий комментирует...

Хотя иногда в этом состоянии полезно бывать, чтобы подняться, отряхнуться и с новым задором запалом добить соперника ;-)

Евгений Родыгин комментирует...

"Тот же мотив у всех остальных сертификационных лабораторий."
Нам такие указания не давали!
Вообще ИЛ не решает проводить или не проводить... Заявитель подает Заявку официальным письмом а Орган выпускает Решение или мотивированный отказ!

Алексей Лукацкий комментирует...

Женя, т.е. если я тебе завтра напишу заявку, ты возьмешься? Я ведь напишу ;-)

Евгений Родыгин комментирует...

Почему мне то...
Уж тебе бы знать нужно куда слать...
Вот по шагам расписано с примерами !
Вписывай ИЛ нас и подавай заявку ! А какое будет Решение посмотрим...
http://goo.gl/PhZhl

Алексей Волков комментирует...

Нет, ты пока победил :) Я про это:

>Элвис+ отказался недавно сертифицировать Cisco ASA по 3-му классу, сославщись на устное распоряжение ФСТЭК, что теперь для сертификации на 3-й класс МСЭ обязательно проходить еще и сертификацию на НДВ

Евгений Родыгин комментирует...

Итак ИЛ отказалась проводить испытания... Испытания проводятся в соответствии с Решением Федерального органа - ФСТЭК. Чтобы появилось Решение Заявителю необходимо подать заявку в ФСТЭК с указанием ***(см. ссылку выше). Я так понимаю Заявку с указанием требований схемы сертификации никто не подавал, был разговор с ИЛ и ИЛ отказалась или указала что есть требование при сертификации по 3 классу обязательно проводить и НДВ. Но официального ответа уполномоченного органа нет.
Посему - Заявитель формирует заявку и подает в ФСТЭК. ФСТЭК решает проводить с НДВ или без... Это они решают.

Алексей Лукацкий комментирует...

Алексею: Вот и из спама все убрал ;-) По поводу предложений о декларировании. Во второй версии четверокнижия был текст, что декларировать соответствие - это значит, чтобы вендор прислал в свободной форме декларацию ;-) Только вот понятие декларирование соответствие четкого определено в ФЗ о техрегулировании и самостоятельность тут не пройдет. А регуляторы не смогли (а может не захотели) описать процедуру признания западных сертификатов или "декларирования соответствия".

Алексей комментирует...

Ну вот я к тому, что может вам с коллегами ещё раз предложить регуляторам регламентировать процедуру декларирования? Раз уж от оценки соответствия они отказываться не собираются, то с декларированием был бы более-менее реальный компромисс.

Алексей Лукацкий комментирует...

Это уровень законодательства, а не регуляторов.