Сегодня мне довелось побывать на 3-м совещании в Совете Федерации, инициированном сенатором Русланом Гаттаровым и посвященном вопросам создания Стратегии кибербезопасности РФ. Тема безусловно важная, т.к. с момента выхода Доктрины ИБ прошло уже больше 10-ти лет и с тех пор многое поменялось - в поведении людей, в технологиях, в Интернет... Но как оказалось не поменялись только наши силовики, иначе как ретроградами после вчерашнего заседания я назвать не могу ;-(
Как не хотелось опускаться на уровень терминологических споров в самом начале работы, но без этого не обошлось. Термин "кибербезопасность" вызвал очередную дискуссию. Кто-то говорил, что он шире термина "информационная безопасность", кто что уже. Кто-то начал спорить, что нельзя вообще использовать буржуинский термин. МИД высказал в почти ультимативной форме пожелание заменить "кибербезопасность" "международной ИБ" (термин, который Россия с 98-го года использует на международной арене). В итоге треть заседания прошла в терминологических спорах "ни о чем".
Вторая треть заседания "невзначай" коснулась связи разрабатываемой Стратегии с иными документами "по теме" и позицией регуляторов. Оказалось, что они не видят смысла самим разрабатывать что-то аналогичное и тем более публичное (звучали даже идеи засекретить инициативу Совета Федерации), но готовы посмотреть на конечный результат и если что... присоединиться и взять на флаг полученный документ. Из уст МИДа и СовБеза звучали слова о том, что зачем такая стратегия нужна, если у России уже есть согласованная всеми ведомствами (МИД, ФСБ, СовБез и т.д.) позиция и она непреклонна и вообще публичное обсуждение таких "скользких" вопросов только на руку нашим врагам за океаном...
В третьей трети заседания обсуждалась сама Стратегия, а точнее ее второй вариант. К слову сказать, то, что получилось, выглядит вполне достойно для второй редакции и очень похоже на аналогичные стратегии иных государств. Помимо общих замечаний, хотели обсуждать и конкретные задачи, но дальше первой так и не продвинулись - речь о центрах мониторинга и реагирования на киберугрозы (вот, кстати, еще один парадокс - в словах "преступность", "терроризм", "угрозы" силовики МИД вполне себе позволяют использовать приставку "кибер-", а в слове "безопасность" категорически против). Как заявил представитель СовБеза, оказывается, у ФСБ все уже давно есть (речь шла об упоминаемой мной как-то системе СОБКА - Система ОБнаружения Компьютерных Атак) и Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества (с последними двумя пунктами в 31-м указе как-то негусто, но СовБезу виднее). Потом прозвучали слова о том, что единый центр мониторинга киберугроз - это неосуществимо и соответствующие ведомства уже не первый год обсуждают этот вопрос с юридической, технической и философской точек зрения (!) и не могут прийти к взаимопониманию.
Так и закончилось наше заседание. На конструктивное обсуждение разделов Стратегии кибербезопасности времени не осталось. Но поручения по доработке были выданы, работа продолжается. Следующая итерация в марте - думаю текст уже будет в высокой степени готовности. А вот дальше начнется самое интересное - обсуждение Стратегии с профильными ведомствами ;-)
Как не хотелось опускаться на уровень терминологических споров в самом начале работы, но без этого не обошлось. Термин "кибербезопасность" вызвал очередную дискуссию. Кто-то говорил, что он шире термина "информационная безопасность", кто что уже. Кто-то начал спорить, что нельзя вообще использовать буржуинский термин. МИД высказал в почти ультимативной форме пожелание заменить "кибербезопасность" "международной ИБ" (термин, который Россия с 98-го года использует на международной арене). В итоге треть заседания прошла в терминологических спорах "ни о чем".
Вторая треть заседания "невзначай" коснулась связи разрабатываемой Стратегии с иными документами "по теме" и позицией регуляторов. Оказалось, что они не видят смысла самим разрабатывать что-то аналогичное и тем более публичное (звучали даже идеи засекретить инициативу Совета Федерации), но готовы посмотреть на конечный результат и если что... присоединиться и взять на флаг полученный документ. Из уст МИДа и СовБеза звучали слова о том, что зачем такая стратегия нужна, если у России уже есть согласованная всеми ведомствами (МИД, ФСБ, СовБез и т.д.) позиция и она непреклонна и вообще публичное обсуждение таких "скользких" вопросов только на руку нашим врагам за океаном...
В третьей трети заседания обсуждалась сама Стратегия, а точнее ее второй вариант. К слову сказать, то, что получилось, выглядит вполне достойно для второй редакции и очень похоже на аналогичные стратегии иных государств. Помимо общих замечаний, хотели обсуждать и конкретные задачи, но дальше первой так и не продвинулись - речь о центрах мониторинга и реагирования на киберугрозы (вот, кстати, еще один парадокс - в словах "преступность", "терроризм", "угрозы" силовики МИД вполне себе позволяют использовать приставку "кибер-", а в слове "безопасность" категорически против). Как заявил представитель СовБеза, оказывается, у ФСБ все уже давно есть (речь шла об упоминаемой мной как-то системе СОБКА - Система ОБнаружения Компьютерных Атак) и Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества (с последними двумя пунктами в 31-м указе как-то негусто, но СовБезу виднее). Потом прозвучали слова о том, что единый центр мониторинга киберугроз - это неосуществимо и соответствующие ведомства уже не первый год обсуждают этот вопрос с юридической, технической и философской точек зрения (!) и не могут прийти к взаимопониманию.
Так и закончилось наше заседание. На конструктивное обсуждение разделов Стратегии кибербезопасности времени не осталось. Но поручения по доработке были выданы, работа продолжается. Следующая итерация в марте - думаю текст уже будет в высокой степени готовности. А вот дальше начнется самое интересное - обсуждение Стратегии с профильными ведомствами ;-)