то мой план действий по улучшению и развитию направления "Информационная безопасность" в России содержал бы такие пункты:
- Создание единого органа по информационной безопасности, объединяющего разрозненные усилия ФСТЭК, ФСБ, МинОбороны, ФСО, СВР, Минкомсвязи и др. в данной сфере.
- Гармонизация и развитие законодательства в сфере киберпространства
- Приведение к единой терминологии в части защищаемой информации
- Уменьшением числа тайн
- Создание и развитие системы киберполиции и киберсудов
- Актуализация законодательства применительно к особенностям киберпространства
- Разработка норм взаимодействия с международным сообществом при расследовании инцидентов ИБ (принятие Будапештской Конвенции)
- Разделение требований по ИБ для госорганов и критически важных объектов от требований для бизнеса и общества
- Создание системы защиты внутреннего киберпространства России
- Стимулирование развития отечественной индустрии разработки средств защиты
- Создание лабораторий и разработка стандартов оценки соответствия с точки зрения ИБ и совместимости
- Создание единой системы оценки соответствия в области ИБ, требования которой будут дифференцированными в зависимости от типа защищаемой информации и принятой стратегии управления рисками
- Разработка и повсеместное внедрение стандартов ИБ
- Создание системы центров реагирования на инциденты, включая регулярную публикацию уровня защищенности
- Разработка и внедрение систем мониторинга враждебной онлайн-активности
- Стимуляция владельцев и собственников ключевых систем информационной инфраструктуры к инвестициям в безопасность инфраструктуры
- Создание системы для защиты бизнеса в киберпространстве
- Стимулирование развития отечественной индустрии разработки средств борьбы с мошенничеством
- Создание национальных служб проверки подлинности (центры сертификации, IAM-сервисы и т.д.)
- Внедрение и развитие системы мониторинга и уведомления о киберпреступности
- Создание системы доверия онлайн-транзакциям и иным взаимодействиям хозяйствующих субъектов
- Признание международных стандартов в области онлайн-торговли и электронной подписи, а также в области ИБ
- Разработка рекомендаций по выполнению требований законодательства со стороны органов контроля (надзора)
- Разработка системы поощрения внедрения защитных мероприятий (а не только системы наказания) при организации контроля (надзора)
- Снижение числа ситуаций, при которых наличие лицензии в области ИБ является обязательной
- Создание экспертных советов в области ИБ
- Создание системы для защиты общества и граждан в киберпространстве
- Разработка и внедрение системы мониторинга проявлений экстремизма в киберпространстве
- Разработка и внедрение системы защиты детей от негативного контента
- Создание системы повышения осведомленности граждан о безопасности в киберпространстве
- Разработка и внедрение предмета ИБ для детей в школах
- Поддержка национального дня (или месячника) кибербезопасности
- Поощрение СМИ к освещению вопросов ИБ и повышению осведомленности граждан и общества
- Создание системы подготовки кадров в области ИБ
- Разработка и внедрение курсов по ИБ в институтах и колледжах
- Стимулирование исследований в области ИБ (разработка системы грантов для молодых специалистов)
- Непрерывное обучение правоохранительных и судебных органов
- Создание системы обороны и нападения в киберпространстве
- Разработка стратегии ведения кибервойн
- Создание подразделений ведения кибервойн
- Разработка инструментов для ведения кибервойн.
Алексей, думаю масштаб задач не соответствует указанной должности.... прибавить к этому еще межведомственные войны..... короче при всем желании не получилось бы. Для таких задач нужна позиция в администрации президента, по типу "кибер-царя" в США
ОтветитьУдалить1. В заголовке ФСТЭК зачеркнуть, ФСБ написать.
ОтветитьУдалить2. Подготовить экономическое обоснование и выбить средства (можно кстати оттянуть часть от грядущих крупных расходов на оборонку - ведь ИБ это тоже нац.безопасность)
3. Останется последнее - кадры... Хотя если з/п будут то и кадры быстро подтянутся.
вице-президент - кибер-президент :)
ОтветитьУдалитьПро поощрения при проверках (п. 4 пп.7) не понял - в какой-то из стран уже существует? И как это выглядит: признали, что уровень безопасности компании высокий, СЗИ внедрены и налоги уменьшились, к примеру? Алексей, мы ж в России, просто откаты увеличатся :(
Осталось спросить - КАК ?
ОтветитьУдалитьОтправить автору идеи своё резюме Медведеву Д.М. с так сказать инициативой :-)
ОтветитьУдалитьммм
ОтветитьУдалитьа как это бьется функциями и обязанностями ФСТЭК?
>3. Останется последнее - кадры... Хотя если з/п будут то и кадры быстро подтянутся.
ОтветитьУдалитьНе думаю, что если в современном ФСБ подтянуть уровень з/п до коммерческих структур, то туда сразу потянутся кадры. Все-таки работать в условиях "я начальник - ты дурак", "я приказал - не волнует как сделаешь" и т.п. крайне не комфортно.
Алексею: Если у ФСБ забрать несвойственные ей функции, а ФСТЭК заставить нормально работать, то это задача именно ФСТЭК или просто отдельного органа.
ОтветитьУдалитьГлавное создать единый орган - остальное приложится. У семи нянек дитя без глаз. А так: один регулятор - контролирующий, лицензирующий и сертифицирующий.
ОтветитьУдалить2 Сергей:
ОтветитьУдалить>А так: один регулятор - контролирующий, лицензирующий и сертифицирующий..
в карман берущий, самодурством занимающийся и т.п.
Никогда не должен требования формулировать тот, кто будет за их исполнение спрашивать. Это ведь те же самые ветви власти - законодательная, исполнительная и судебная (вот нам бы еще судебную часть прокачать, чтобы не было такого бардака, как сейчас).
Алексей, навскидку два системных вопроса.
ОтветитьУдалить1. В чем цель этих всех мероприятий и каждого из них?
Кто клиент этих мероприятий?
Для кого в итоге всё это предлагается?
От ответа на этот вопрос будет ясно, эффективны предлагаемые меры или нет. И правильно ли выбран уровень.
2. Приведена только логическая сторона мероприятий. Но нет еще двух сторон: когнитивной и политической. Т.е. способна ли воспринять это сложившаяся культура "менеджмента" (как сказали выше: "я начальник-ты дурак") и тотальный приоритет личных интересов перед общими интересами и неклиенториентированность всего и вся.
Собственно, ответив на два этих вопроса, можно хотя бы начать приближаться к оценке вероятного успеха или провала этой миссии.
Но пока вероятность провала близка к максимуму.
С уважением.
1. Согласен с А.Бондаренко: масштаб задач не соответствует указанной должности.
ОтветитьУдалить2. По содержанию:
1) создать единый орган по ИБ невозможно, т.к. в состав ИБ входит три разносущностных компонента:
- удовлетворение инфопотребности;
- защита от информации;
- защита информационных ресурсов.
Сводить ИБ только к ЗИ опасно: выпадают два первых компонента, которые значительно важнее. Хотя именно это и происходит в России.
2) гармонизировать законодательство нужно, но невозможно: существующая система не позволяет это сделать, к тому же уровень методологической подготовки «делателей» законов оставляет желать лучшего;
3) уменьшить число тайн и нужно, и можно, только это, опять же, никто не будет делать – не выгодно. И, в первую очередь, ФСТЭК;
4) курсы по ИБ нужны только для специалистов, работающих в области обеспечения ИБ, а для всех – часы в соответствующих курсах (на информатике – по ЗИ, на общественных науках – по когнитивным и консциентальным войнам), начиная со школы, под лозунгом «Это должен знать каждый!», соответствующего объёма и содержания;
5) про кибервойны, по сути, верно, но это прерогатива Президента и Совбеза. Не может быть, чтобы в этом направлении ничего не делалось. В противном случае – КАРАУЛ!
6) основная задача ФСТЭК, как раз, состоит в разработке методологии противодействия киберагрессии.