10.04.2015

От Доктрины ИБ к стратегии кибербезопасности и обратно

Итак, продолжим. Вчера мы поговорили о проекте Конвенции по обеспечении международной ИБ для стран БРИКС. Сегодня поговорим о новой Доктрине ИБ, о которой сообщил Совет Безопасности, и о проекте нового закона, о котором написал позавчера "Коммерсант".

О том, что Доктрину достали с полки и начали переписывать стало известно еще в 2013-м году. Именно тогда в Совете Федерации была начата работа над Стратегией кибербезопасности. Собственно идея-то и состояла в том, чтобы актуализировать Доктрину и сделать документ, более соответствующий и современным угрозам и современной геополитической ситуации (правда, тогда еще Крым не присоединился к России путем народного волеизъявления). К концу 2013-го года две трети работ по Стратегии были завершены и она была представлена на Парламентских слушаниях. К сожалению, 8-й Центр ФСБ забраковал эту инициативу, а чуть позже и ее главный инициатор, сенатор Руслан Гаттаров, покинул Совет Федерации, став заместителем губернатора Челябинской области. В отсутствие инициатора и в виду противодействия со стороны ФСБ и Совета Безопасности (а он тоже высказывал свои сомнения в необходимости Стратегии) работы по Стратегии кибербезопасности были свернуты.



Но это не значит, что Доктрину не нужно было менять. Поэтому в Совете Безопасности стали негласно готовиться к внесению поправок в документ 2000-го года. Как это часто бывает в таких вопросах, публично заявлять о начале работ над чем-то принято уже в самом конце :-) Поэтому могу предположить, что работы находятся на финишной прямой и относительно скоро мы все увидим этот документ, готовящийся в строжайшей секретности.

Секретность, кстати, при подготовке данного документа была лишней. И хотя со мной многие не согласятся (и мы уже дискутировали на эту тему), но все-таки я считаю, что в подготовку документа, тем более устанавливающего правила игры на годы вперед, должны быть вовлечены специалисты совершенного различного профиля и из разных организаций и ведомств. У меня перед глазами пример последних 3-х приказов ФСТЭК и их сравнение с СТР-К и первым четверокнижием по ПДн. Небо и земля. Да, приглашение внешних экспертов - это непростая задача и пускание на самотек (как это, к сожалению, было с основами госполитики по вопросам формирования культуры ИБ в РФ) ни к чему хорошему не приведет. Поэтому я еще 2 года назад сформулировал правила коллективной работы над документами по ИБ.

Упомянутые в новости СовБеза ключевые положения новой Доктрины - это ни о чем. Все тоже самое постулировалось и в предыдущей редакции. Там также говорили о необходимости развития своих технологий, повышения их конкурентоспособности и т.п. А вообще история продвижения темы защиты национальных интересов в информационной сфере началась задолго до текущей геополитической ситуации. Еще в 1992-м году учеными РАН и российских НИИ была подготовлена "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России”. Примерно в тоже время Гостехкомиссией России, позже переименованной в ФСТЭК России, был подготовлен проект Концепции защиты информации в системах обработки информации. Оба эти документа уже тогда предлагали развивать и стимулировать отечественных разработчиков в области информационной безопасности, видя растущую угрозу со стороны ряда государств дальнего зарубежья.

Пока еще действующая Доктрина информационной безопасности тоже не обошла вниманием этот вопрос, постулировав необходимость развития отечественных информационных технологий и средств защиты информации, а также сертификацию продукции иностранного происхождения, как гарантию ее соответствия требованиям по безопасности и, в ряде случаев, отсутствия в ней недокументированных возможностей. По сути сейчас мы вновь поднимаем на флаг тезис “Поддержим отечественного производителя”, не предлагая пока никаких конкретных и практических шагов для этого.

Как и 15 лет назад, так и сейчас, остается открытым вопрос о месте Доктрины в иерархии нормативных актов. Она не является федеральным законом и ее положения не обязательны к исполнению. Поэтому, без работы над целой структурой нормативно-правовых актов, которые бы уточняли и развивали положения Доктрины, курс на импортозамещение и обеспечение гарантий при использовании технологий, не имеющих отечественных аналогов, так и не выйдет за набор красивых лозунгов.

Возможно ситуация сдвинется с мертвой точки. По крайней мере сделан первый шаг в этом направлении - в Госдуме приступили к разработке законопроекта "О мерах по обеспечению информационной безопасности Российской Федерации" (кстати, в 2008-м году уже был принят до сих пор действующий одноименный Указ Президента №351, в который последние изменения вносились в июле 2014-го года). Автор проекта, член думского комитета по экономической политике Александр Потапов (почему не комитет по безопасности выступил иницииатором?) предлагает узаконить импортозамещение программного обеспечения, по сути повторив тоже, о чем говорит проект Постановления Правительства, подготовленный Минкомсвязью, но на уровне федерального закона и включив в него вопросы информационной безопасности.

Правда, пока это даже не законопроект, а проект законопроекта, в котором 10 пунктов (защитных мер), которые должны лечь в основу законопроекта. Помимо идеи импортозамещения, в тексте говорится и о резервном Интернет, и о проведении различных исследований, и ряде других "обеспечительных" мер. Но документ очень и очень сырой.

В 2006-м году, был уже один законопроект, который готовился под тем же соусом. В пояснительной записке к нему говорилось, что "программное обеспечение для обработки информации, в том числе составляющей государственную и служебную тайну, в большинстве случаев приобретается у случайных поставщиков и, соответственно, проверку на наличие недекларированных возможностей не проходит, поэтому его применение создает условия для неконтролируемого воздействия на объекты информационной и телекоммуникационной инфраструктуры, где оно установлено". Законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры" должен быть снизить риски использования такого ПО (депутаты-авторы преимущественно говорили о продукции Microsoft) и повысить защищенность критической информационной инфраструктуры России. Этот, так и не рассмотренный даже в первом чтении законопроект, был не в пример лучше того, который готовится сейчас. У него была четкая сфера действия, четкий набор мероприятий, раздел про ответственность за несоблюдение и т.п. Но, к сожалению, он так и не был принят. И вот, спустя почти 10 лет, мы вновь возвращаемся к этой теме, но в гораздо худшем по реализации варианте :-(

Но даже если предположить, что депутаты (и приближенные эксперты) разработают и примут упомянутый законопроект, то этого недостаточно для реализации положений Доктрины ИБ (не только новой, но и старой). Ее должен дополнять план мероприятий и разработки нормативно-правовых актов, направленных на реализацию положений Доктрины ИБ. И кто-то должен быть ответственным за реализацию этого плана (как и за срыв сроков этой реализации). Только вот кандидатов на эту роль я не вижу :-( Учитывая ту неразбериху в ответственных за вопросы ИБ в России, учитывая отсутствие координации между ними, учитывая подковерные игры и конфликты даже между подразделениями в одном регуляторе, ждать чего-то стоящего пока не приходится :-( А единый орган исполнительной власти, уполномоченный по всем вопросам информационной безопасности, о котором говорилось в предложениях академиков РАН еще в 1992-м году, так и не создан и, похоже не будет.

Кадр из диафильма "Лебедь, рак и щука"
Главное, чтобы поздно не было...