16.1.12

Если б я был директором ФСТЭК

то мой план действий по улучшению и развитию направления "Информационная безопасность" в России содержал бы такие пункты:
  1. Создание единого органа по информационной безопасности, объединяющего разрозненные усилия ФСТЭК, ФСБ, МинОбороны, ФСО, СВР, Минкомсвязи и др. в данной сфере.
  2. Гармонизация и развитие законодательства в сфере киберпространства
    1. Приведение к единой терминологии в части защищаемой информации
    2. Уменьшением числа тайн
    3. Создание и развитие системы киберполиции и киберсудов
    4. Актуализация законодательства применительно к особенностям киберпространства
    5. Разработка норм взаимодействия с международным сообществом при расследовании инцидентов ИБ (принятие Будапештской Конвенции)
    6. Разделение требований по ИБ для госорганов и критически важных объектов от требований для бизнеса и общества
  3. Создание системы защиты внутреннего киберпространства России
    1. Стимулирование развития отечественной индустрии разработки средств защиты
    2. Создание лабораторий и разработка стандартов оценки соответствия с точки зрения ИБ и совместимости
    3. Создание единой системы оценки соответствия в области ИБ, требования которой будут дифференцированными в зависимости от типа защищаемой информации и принятой стратегии управления рисками
    4. Разработка и повсеместное внедрение стандартов ИБ
    5. Создание системы центров реагирования на инциденты, включая регулярную публикацию уровня защищенности
    6. Разработка и внедрение систем мониторинга враждебной онлайн-активности
    7. Стимуляция владельцев и собственников ключевых систем информационной инфраструктуры к инвестициям в безопасность инфраструктуры
  4. Создание системы для защиты бизнеса в киберпространстве
    1. Стимулирование развития отечественной индустрии разработки средств борьбы с мошенничеством
    2. Создание национальных служб проверки подлинности (центры сертификации, IAM-сервисы и т.д.)
    3. Внедрение и развитие системы мониторинга и уведомления о киберпреступности
    4. Создание системы доверия онлайн-транзакциям и иным взаимодействиям хозяйствующих субъектов
    5. Признание международных стандартов в области онлайн-торговли и электронной подписи, а также в области ИБ
    6. Разработка рекомендаций по выполнению требований законодательства со стороны органов контроля (надзора)
    7. Разработка системы поощрения внедрения защитных мероприятий (а не только системы наказания) при организации контроля (надзора)
    8. Снижение числа ситуаций, при которых наличие лицензии в области ИБ является обязательной
    9. Создание экспертных советов в области ИБ
  5. Создание системы для защиты общества и граждан в киберпространстве
    1. Разработка и внедрение системы мониторинга проявлений экстремизма в киберпространстве
    2. Разработка и внедрение системы защиты детей от негативного контента
    3. Создание системы повышения осведомленности граждан о безопасности в киберпространстве
    4. Разработка и внедрение предмета ИБ для детей в школах
    5. Поддержка национального дня (или месячника) кибербезопасности
    6. Поощрение СМИ к освещению вопросов ИБ и повышению осведомленности граждан и общества
  6. Создание системы подготовки кадров в области ИБ
    1. Разработка и внедрение курсов по ИБ в институтах и колледжах
    2. Стимулирование исследований в области ИБ (разработка системы грантов для молодых специалистов)
    3. Непрерывное обучение правоохранительных и судебных органов
  7. Создание системы обороны и нападения в киберпространстве
    1. Разработка стратегии ведения кибервойн
    2. Создание подразделений ведения кибервойн
    3. Разработка инструментов для ведения кибервойн.

12 коммент.:

Александр Бондаренко комментирует...

Алексей, думаю масштаб задач не соответствует указанной должности.... прибавить к этому еще межведомственные войны..... короче при всем желании не получилось бы. Для таких задач нужна позиция в администрации президента, по типу "кибер-царя" в США

Алексей комментирует...

1. В заголовке ФСТЭК зачеркнуть, ФСБ написать.

2. Подготовить экономическое обоснование и выбить средства (можно кстати оттянуть часть от грядущих крупных расходов на оборонку - ведь ИБ это тоже нац.безопасность)

3. Останется последнее - кадры... Хотя если з/п будут то и кадры быстро подтянутся.

Tomas комментирует...

вице-президент - кибер-президент :)
Про поощрения при проверках (п. 4 пп.7) не понял - в какой-то из стран уже существует? И как это выглядит: признали, что уровень безопасности компании высокий, СЗИ внедрены и налоги уменьшились, к примеру? Алексей, мы ж в России, просто откаты увеличатся :(

Анонимный комментирует...

Осталось спросить - КАК ?

Евгений III комментирует...

Отправить автору идеи своё резюме Медведеву Д.М. с так сказать инициативой :-)

Сергей комментирует...

ммм
а как это бьется функциями и обязанностями ФСТЭК?

doom комментирует...

>3. Останется последнее - кадры... Хотя если з/п будут то и кадры быстро подтянутся.

Не думаю, что если в современном ФСБ подтянуть уровень з/п до коммерческих структур, то туда сразу потянутся кадры. Все-таки работать в условиях "я начальник - ты дурак", "я приказал - не волнует как сделаешь" и т.п. крайне не комфортно.

Алексей Лукацкий комментирует...

Алексею: Если у ФСБ забрать несвойственные ей функции, а ФСТЭК заставить нормально работать, то это задача именно ФСТЭК или просто отдельного органа.

Анонимный комментирует...

Главное создать единый орган - остальное приложится. У семи нянек дитя без глаз. А так: один регулятор - контролирующий, лицензирующий и сертифицирующий.

doom комментирует...

2 Сергей:
>А так: один регулятор - контролирующий, лицензирующий и сертифицирующий..
в карман берущий, самодурством занимающийся и т.п.

Никогда не должен требования формулировать тот, кто будет за их исполнение спрашивать. Это ведь те же самые ветви власти - законодательная, исполнительная и судебная (вот нам бы еще судебную часть прокачать, чтобы не было такого бардака, как сейчас).

Сергей Городилов комментирует...

Алексей, навскидку два системных вопроса.
1. В чем цель этих всех мероприятий и каждого из них?
Кто клиент этих мероприятий?
Для кого в итоге всё это предлагается?
От ответа на этот вопрос будет ясно, эффективны предлагаемые меры или нет. И правильно ли выбран уровень.

2. Приведена только логическая сторона мероприятий. Но нет еще двух сторон: когнитивной и политической. Т.е. способна ли воспринять это сложившаяся культура "менеджмента" (как сказали выше: "я начальник-ты дурак") и тотальный приоритет личных интересов перед общими интересами и неклиенториентированность всего и вся.

Собственно, ответив на два этих вопроса, можно хотя бы начать приближаться к оценке вероятного успеха или провала этой миссии.
Но пока вероятность провала близка к максимуму.
С уважением.

Атаманов Г. А. комментирует...

1. Согласен с А.Бондаренко: масштаб задач не соответствует указанной должности.
2. По содержанию:
1) создать единый орган по ИБ невозможно, т.к. в состав ИБ входит три разносущностных компонента:
- удовлетворение инфопотребности;
- защита от информации;
- защита информационных ресурсов.
Сводить ИБ только к ЗИ опасно: выпадают два первых компонента, которые значительно важнее. Хотя именно это и происходит в России.
2) гармонизировать законодательство нужно, но невозможно: существующая система не позволяет это сделать, к тому же уровень методологической подготовки «делателей» законов оставляет желать лучшего;
3) уменьшить число тайн и нужно, и можно, только это, опять же, никто не будет делать – не выгодно. И, в первую очередь, ФСТЭК;
4) курсы по ИБ нужны только для специалистов, работающих в области обеспечения ИБ, а для всех – часы в соответствующих курсах (на информатике – по ЗИ, на общественных науках – по когнитивным и консциентальным войнам), начиная со школы, под лозунгом «Это должен знать каждый!», соответствующего объёма и содержания;
5) про кибервойны, по сути, верно, но это прерогатива Президента и Совбеза. Не может быть, чтобы в этом направлении ничего не делалось. В противном случае – КАРАУЛ!
6) основная задача ФСТЭК, как раз, состоит в разработке методологии противодействия киберагрессии.