22.07.2016

О проекте новой Доктрины ИБ

В последнее время я стараюсь не комментировать проекты документов по ИБ, которые попадают мне в руки. Высказать предложения, отправить их разработчикам... Это да. Но вот публично комментировать еще не принятые (и, возможно, и в будущем не принятые) документы я перестал. Однако бывают исключения. Особенно в тех случаях, когда я не уверен, что мои предложения дойдут (во всех смыслах) до разработчиков. Так было с проектом 378-го приказа ФСБ, так будет и с проектом новой Доктрины ИБ, публичное обсуждение которого закончилось 5-го июля. Согласно новости на сайте СовБеза было получено около 50 предложений, а только я направил их около 20. И либо меня засчитали за одно "предложение", либо мои предложения не дошли вовсе.

Вообще сбор предложений СовБез устроил достаточно интересно. С одной стороны то, что они привлекли экспертов "со стороны" - уже прогресс и новация. С другой... 8-й Центр ФСБ тоже привлекал экспертов в рабочие группы, рассылал проект 378-го приказа, собирал мнения и предложения. Только почти ничего услышано не было - косметические правки прошли, а концептуальные и серьезные предложения были отметены как нецелесообразные. Но зато приказ "обсуждался публично" и был "принят с одобрения экспертного сообщества". Боюсь, что с Доктриной может получиться аналогичная ситуация :-(

Первый (а для меня и последний) раз СовБез собирал экспертов осенью прошлого года. Тогда нам раздали проект документа и предложили прислать свои предложения, что я и сделал. Но, к сожалению, судьбу их, как и факт получения, я до сих пор не знаю. Никакой обратной связи с СовБезом нет и не было. Также было и в этот раз. Форма для отправки предложений была реализована в виде обычной Web-страницы, но... Возможности приложить файл с предложениями не было. А я привык отправлять таблички "что меняем - на что меняем - комментарий", что в данном случае было невозможно. К тому же объем отправляемого сообщения был ограниченой 1000 знаков (включая число знаков в полях с ФИО, адресом, страной, организацией, должностью и социальным статусом). Ну что можно вместить в такой объем? Пришлось отправлять около 20 сообщений и не получить никакого ответа о том, что мои предложения получены.


Вообще это проблема наших регуляторов - отсутствие культуры сбора предложений к своим документам. Очень плохо формализованный процесс. В отличие от той же ISO. У них в каждом рассылаемом проекте каждая строка специально пронумерована, чтобы при подаче предложений было легко ссылаться на нее. А в проекте Доктрины... Там даже сквозной нумерации абзацев не было :-(


Сводная таблица полученных предложений в ISO выглядит вот таким образом. Все сразу понятно. Что предлагали и что было принято или отклонено.


Но вернемся к проекту Доктрины. Я не буду повторять свои терминологические, косметические и смысловые предложения, упомяну только ключевые, на мой взгляд, проблемы этого проекта:
  1. Проект Доктрины носит явно гуманитарный характер, что отличает ее от предыдущей версии документа. Возможно это сделано осознанно и тогда предложение сбалансировать техническую и гуманитарную части можно проигнорировать. Если же уклон в гуманитарную часть сделан неосознанно, то хотелось бы расширить именно техническую часть, которую коротко можно было бы назвать "кибербезопасность" (хотя это термин и не принят в России на официальном уровне). Понятно, что основной акцент сделан на борьбе с информационным воздействием на Россию и ее граждан, которое сегодня сильно, но и про кибер-составляющую забывать не стоит. Не случайно же в Совете Федерации мы писали проект Стратегии кибербезопасности, который как раз и был направлен на решение именно "технических" вопросов.
  2. Совершенно непонятно, кто будет координировать взаимодействие субъектов системы информационной безопасности? Может стоит вернуться к идее единого органа по информационной безопасности? Тем более в свете не раз упоминаемой в последнее время административной реформы.
  3. Атакующий потенциал ИТ в Доктрине вообще не рассматривается. И это при наличии уже выпущенного американским МинОбороны "Law of War" и натовского Таллиннского руководства. Не говоря уже про кучу других документов, говорящих о кибервойнах. В недавно обновленной Военной Доктрине эти вопросы тоже не нашли своего отражения, что говорит о том, что наши стратеги не понимают важности этой темы.
  4. Ряд терминов не определен; то же "информационное противоборство”. Вообще в России проблематика с терминологией, даже на уровне документов СовБеза и ФСБ и ФСТЭК. У нас до сих пор полная неразбериха с терминами и каждый ФОИВ придумывает свои. Я бы предложил определиться с терминологией и наконец задать единый язык для специалистов. Но это предложение и прошлой осенью проигнорировали :-(
  5. В части критической инфраструктуры отсутствует единая политика в области информационной безопасности и ее связи с промышленной безопасностью. Ростехнадзор, Минэнерго, Минтранс, Росатом, МЧС… У всех свой взгляд на роль ИБ на критической инфраструктуре и никто не может договориться. В проекте эта тема опять опущена; только вскользь упомянута.
  6. В проекте совсем не рассмотрен вопрос актуализации и гармонизации законодательства в области ИБ – УК, УПК, КоАП, виды тайн, вопросы лицензирования и оценки соответствия и т.п. Не учтены и вопросы отраслевой стандартизации и установки отраслевых подходов в области ИБ. В первичном проекте это было в разделе про образование и науку, а сейчас вообще ушло из текста.
  7. Среди национальных интересов не упоминается экспортопригодность отечественных ИТ и ИБ технологий и вывод их на международную арену, что вообще выглядит странно на фоне всех заявлений последнего времени о необходимости "догнать и перегнать". Либо в наши ИТ уже никто не верит?..
  8. Не упоминается такая угроза как низкая осведомленность и компетентность граждан в области информационной безопасности. 2-3 года назад в СовБезе писался проект основ госполитики в области формирования культуры ИБ в РФ. Там про это много говорилось и стоило бы вернуться к этой теме. Но судьба того документа покрыта мраком.
  9. Не совсем понятна связь проекта Доктрины с уже имеющимися документами СовБеза - основами госполитики в области защиты АСУ ТП и в области МИБ.
  10. Общей проблемой всех отечественных стратегических документов, в том числе и про ИБ, является то, что современная (Вестфальская) система международных отношений опирается на понятие государственного суверенитета и принцип действия международного права, а они в теме информационной безопасности дают сбой. Понятие “войны” и “агрессии” морально устарели и помимо государств противоправные действия могут осуществлять террористические и экстремистские организации, незаконные вооруженные  формирования и иные негосударственные акторы. Этот момент не учтен в проекте Доктрины, который ориентируется на межгосударственные отношения и только.
  11. Не говорится про регулярную оценку и анализ защищенности информационной инфраструктуры, про государственно-частное партнерство (например, в сфере обмена информацией об угрозах или в части создания центров компетенций по ИБ или центров реагирования на инциденты/угрозы ИБ), про регулярное проведения киберучений, про страхование информационных рисков, государственные программы “bug bounty” и т.п. Стоило бы добавить про регулярный пересмотр и угроз информационной безопасности, и программ обучения, и приоритетных направлений научных исследований и т.п., что связано с динамичностью отрасли ИБ и необходимостью учета такой динамики. И, наконец, стоило бы упомянуть про порядок и формирование государством и основными субъектами системы ИБ отчетности по вопросам информационной безопасности, а также проводить ее регулярный анализ и принятие корректирующих и предупреждающих действий по защите от реализации угроз.
Вот как-то так у меня получилось. Может быть все-таки часть моих предложений будет услышана. А то получится, как и с прошлой Доктриной, очередной мертворожденный документ, который никак не поможет отрасли ИБ развиваться, а российским организациям защищаться от широкого спектра угроз.

2 коммент.:

Евгений комментирует...

"Понятно, что основной акцент сделан на борьбе с информационным воздействием на Россию и ее граждан, которое сегодня сильно, но и про кибер-составляющую забывать не стоит."
Если в качестве основной цели данной доктрины рассматривать не национальные интересы страны, а удержание власти определенной группы лиц, то все встает на свои места.

Алексей Лукацкий комментирует...

Для удержания документ тоже не сильно помогает