08.02.2016

Очередной мертворожденный законопроект по ИБ в России

В прошлом апреле я писал про проект законопроекта (да-да, именно так) "О мерах по обеспечению информационной безопасности Российской Федерации" и вот, спустя девять месяцев, законопроект внесен в Государственную Думу тем же депутатом Потаповым.

Что нам предлагает депутат в разрезе обеспечения информационной безопасности и что должен рассматривать комитет по информационной политике (а не безопасности):

  1. Создать реестр ВСЕГО ПО, разработанного в России, включая и его исходные коды, а также средства разработки и отладки.
  2. В реестр включается только то ПО, которое не содержит недокументированных функций и иных уязвимостей.
  3. В реестр можно включать и иностранное ПО, а если исходных кодов по нему нет, то на на включение такого ПО в реестр нужно отдельное решение Правительства.
  4. Вводится понятие базового ПО (БПО), то есть ОС, СУБД, СрЗИ, VPN и т.п., на базе которых строится все остальное ПО и информационные системы.
  5. За разработку ПО для анализа защищенности БПО и информационных систем должно отвечать Правительство, которому, как известно, ни ФСТЭК, ни ФСБ, не подчиняются, будучи в непосредственном подчинении у Президента.
  6. Правительство также должно формировать госзаказ на специалистов в области защиты информации и анализа защищенности.
Это тезисно я выделил ключевые положения нового законопроекта, шансы которого, я оцениваю как нулевые. Он совершенно отвязан не только от реальности, но и от уже сделанных шагов по части импортозапрещения. Об этом же говорит и отзыв Правительства на законопроект. Зато интересно ознакомиться с расчетами депутата на адаптацию и разработку базового ПО и средств защиты. Если верить депутату, на реализацию всех мер по обеспечению ИБ России необходимо не более трех лет и всего 32,2 миллиарда рублей.

Еще 20 миллиардов рублей, по оценкам уже иностранных экспертов, Россия готова ежегодно тратить на разработку кибероружия (сколько РФ готова тратить на кибероборону эксперты умалчивают, но думаю порядок тот же). Но это уже другая история...

2 коммент.:

p.a.kulikov комментирует...

Хм. У нас до сих пор непонятки с АС/ИС, ЗИ/ИБ, а тут уже со своим БПО/ПО лезут.
По п.4 - жду включение компилятора С под номером 0. А потом уже все остальное.
П.2 - сюр.

doom комментирует...

Аналог БПО/ПО существует уже много лет в ГОСТ 34.003: общее ПО и специальное ПО...
Но у нас любят свое написать прежде, чем существующее прочитать...