05.08.2015

Чего я жду от новой Доктрины ИБ?

Совет Безопасности сейчас в процессе обновления Доктрины информационной безопасность, которая была утверждена в 2000-м году и с тех пор не менялась. За это время произошло много чего интересного и поэтому назрела необходимость основной документ по ИБ, задающий тон всему законодательству, обновить.

С другой стороны Совет Безопасности сейчас находится в непростой ситуации, как мне кажется. Он на перепутье. Текущая геополитическая ситуация достаточно сильно отличается от 2000-х и даже от 2013-го года, когда рабочая группа при Совете Федерации писала проект Стратегии кибербезопасности РФ. И в такой ситуации очень непросто сформировать положения, которые будут задавать тон на ближайшие годы (а может быть и десятилетие-другое). С одной стороны нельзя закрывать глаза на действия США и ее партнеров в киберпространстве и в ИТ-индустрии. С другой нельзя на основе событий последнего года строить среднесрочную и долгосрочную стратегию. Нужен баланс и найти его будет непросто. А учитывая закрытость работы над новой Доктриной и прошлое ее разработчиков, есть опасения, что мы опять скатимся в малоприменимый на практике документ :-(


Чего лично мне не хватает в текущей версии Доктрины и чтобы мне хотелось увидеть в новой. Во-первых, разрулить ситуацию с оценкой соответствия средств защиты, о чем я уже писал недавно. Во-вторых, я бы все-таки определился с терминологией. И дело даже не в терминах типа "АСУ ТП", "КВО", "КИИ" и т.п., которые имеют совершенно разное значение в разных НПА разных регуляторов. Хотя бы определиться с термином "кибербезопасность". Спор о том, можно или нельзя применять этот термин ведется давно. Есть же даже международный стандарт на эту тему. Некоторые наши критически важные объекты, монополисты в своей сфере деятельности, спокойно используют его на уровне своих нормативных документов, но МИД и некоторые силовики упорно цепляются за термин "информационная безопасность", не желая признавать право на жизнь "кибербезопасности".



Еще одной важнейшей темой является сотрудничество в международной сфере. Прошла версия Доктрины про это почти не упоминала, что и понятно. Но сейчас уровень зависимости информационных технологий, Интернета, критических инфраструктур от международного сообщества совершенно иной, чем раньше. Недавно было опубликовано исследование о трансграничной зависимости критических инфраструктур. Как мы видим, зависимость достаточно высокая и закономерно возникает вопрос, а как обеспечивать ИБ (или кибербезопасность) в такой ситуации? Закрыть глаза? Запретить? Попробовать установить общие правила игры? Более чем непростая ситуация. Понятно, что ее можно попробовать решить в рамках блоковых взаимоотношений России (БРИКС, ШОС, ОДКБ, СНГ). А что делать со странами НАТО? А с не-странами НАТО, но и не членами блоков-партнеров России? У России есть немало объектов собственности, в том числе, и критически важных, в Европе и США. Как быть с ними?

Международное сотрудничество задает и еще один вопрос, который стоило бы отразить в Доктрине. Речь идет об обмене информацией об угрозах ИБ. Можно, конечно, делать это в рамках межправительственных соглашений, но это немасштабируемо и долго (достаточно вспомнить, сколько мы подписываем соглашение с Китаем). Тема чувствительная и требующая четкого разделения ответственности. Рассчитывать, что все это ляжет на плечи ФСБ и она сама все решит, я бы не стал. Неповоротливость этой структуры уже давно стала притчей во языцех.

А еще бы хотелось, чтобы в Доктрине и следующих за ней документах нашли бы наконец решение пожелания, которые я направлял Дед Морозу в канун 2012-го года. Там есть и про единый орган по ИБ, и про признание международных стандартов в ряде случаев, и про дифференцированных подход, и про единую систему оценки соответствия средств защиты (а не 3 разных системы как сейчас), и про государственно-частное партнерство, и про повышение культуры в области ИБ. Раз уж сейчас меняется основополагающий документ, то почему бы не включить в него ответы на все эти вопросы?..

3 коммент.:

r1j1k комментирует...

А про государственно-частное партнерство, у зарубежных коллег по прежнему, аналогично - киданию "апельсинов в чёрную дыру".
“We found that when the private sector shares information with the FBI, it is perceived by the private sector as akin to sending information into a black hole because they often do not know what becomes of it,” the audit noted.
http://www.infosecurity-magazine.com/news/fbi-skills-gaps-leaves-field/

Ronin комментирует...

А из предыдущей Концепции что-то прям важное и толковое выполнялось? Даже с учетом заседаний рабочих групп поИБэ в Совфеде и т.д. было очевидно, что документ номинальный (потому что должен быть), а не для реального задания вектора.

Алексей Лукацкий комментирует...

На самом деле он задает вектор