Pages - Menu

Страницы

26.2.13

Хроники Совета Федерации или как пишется Стратегия кибербезопасности

Сегодня мне довелось побывать на 3-м совещании в Совете Федерации, инициированном сенатором Русланом Гаттаровым и посвященном вопросам создания Стратегии кибербезопасности РФ. Тема безусловно важная, т.к. с момента выхода Доктрины ИБ прошло уже больше 10-ти лет и с тех пор многое поменялось - в поведении людей, в технологиях, в Интернет... Но как оказалось не поменялись только наши силовики, иначе как ретроградами после вчерашнего заседания я назвать не могу ;-(

Как не хотелось опускаться на уровень терминологических споров в самом начале работы, но без этого не обошлось. Термин "кибербезопасность" вызвал очередную дискуссию. Кто-то говорил, что он шире термина "информационная безопасность", кто что уже. Кто-то начал спорить, что нельзя вообще использовать буржуинский термин. МИД высказал в почти ультимативной форме пожелание заменить "кибербезопасность" "международной ИБ" (термин, который Россия с 98-го года использует на международной арене). В итоге треть заседания прошла в терминологических спорах "ни о чем".

Вторая треть заседания "невзначай" коснулась связи разрабатываемой Стратегии с иными документами "по теме" и позицией регуляторов. Оказалось, что они не видят смысла самим разрабатывать что-то аналогичное и тем более публичное (звучали даже идеи засекретить инициативу Совета Федерации), но готовы посмотреть на конечный результат и если что... присоединиться и взять на флаг полученный документ. Из уст МИДа и СовБеза звучали слова о том, что зачем такая стратегия нужна, если у России уже есть согласованная всеми ведомствами (МИД, ФСБ, СовБез и т.д.) позиция и она непреклонна и вообще публичное обсуждение таких "скользких" вопросов только на руку нашим врагам за океаном...

В третьей трети заседания обсуждалась сама Стратегия, а точнее ее второй вариант. К слову сказать, то, что получилось, выглядит вполне достойно для второй редакции и очень похоже на аналогичные стратегии иных государств. Помимо общих замечаний, хотели обсуждать и конкретные задачи, но дальше первой так и не продвинулись - речь о центрах мониторинга и реагирования на киберугрозы (вот, кстати, еще один парадокс - в словах "преступность", "терроризм", "угрозы" силовики МИД вполне себе позволяют использовать приставку "кибер-", а в слове "безопасность" категорически против). Как заявил представитель СовБеза, оказывается, у ФСБ все уже давно есть (речь шла об упоминаемой мной как-то системе СОБКА - Система ОБнаружения Компьютерных Атак) и Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества (с последними двумя пунктами в 31-м указе как-то негусто, но СовБезу виднее). Потом прозвучали слова о том, что единый центр мониторинга киберугроз - это неосуществимо и соответствующие ведомства уже не первый год обсуждают этот вопрос с юридической, технической и философской точек зрения (!) и не могут прийти к взаимопониманию.

Так и закончилось наше заседание. На конструктивное обсуждение разделов Стратегии кибербезопасности времени не осталось. Но поручения по доработке были выданы, работа продолжается. Следующая итерация в марте - думаю текст уже будет в высокой степени готовности. А вот дальше начнется самое интересное - обсуждение Стратегии с профильными ведомствами ;-)

8 комментариев:

  1. О чем документ то? С чем борються? Чего хотят?
    Или натаскали слов из западных документов, половина из которых либо ни о чем, либо не стратегии в прямом понимании этого слова, а оставшаяся половина не имеет смысла в отрыве от их ситуации.
    Кстати терминология для данного документа - главнейшая вещь.

    "Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества"
    Не формализовал, а легализовал. Про бизнес и граждан - сильно.

    ОтветитьУдалить
  2. Это, похоже, не парадокс.
    Устоялась ассоциация "кибер" с плохим, внешним, заокеанским - вражеским.
    А безопасность, она ведь хорошая, наша.
    Это как шпионаж/разведка

    ОтветитьУдалить
  3. Алексей, насколько я помню, попытки докладчиков от МИДа на недавнем ИНФОФОРУМЕ презентовать свое видение вопроса «международной ИБ» привели к некоторым явным ляпам в своей презентации (посмотрите повнимательнее её на сайте ИНФОФОРУМа – 2013, кстати за такие презентации еще и премии положены!?), что говорит об их «желании» приобщиться к деятельности, в которой уже и регулятор имеется ….. ЗАЧЕМ и ПОЧЕМУ? Ну да ладно.
    Вопросы формирования тезауруса, именно в рамках создаваемой Стратегии, считаю прерогативой: специалистов, лингвистов и философов (но только вместе!). Понятно, что меняется информационное пространство и необходимо успевать за этими изменениями. Если ошибки в терминологии будут заложены на уровне Стратегии, то в дальнейшем они будут только накапливаться.

    ОтветитьУдалить
  4. Алексей, сейчас в ходу два термина «информационная безопасность» и «безопасность информации». И хотя ты говоришь, что споры по поводу этих терминов идут уже 10 лет, все-таки они есть. И они различаются. «Информационная безопасность» - это состояние защищенности субъекта (см. Доктрину ИБ), а «безопасность информации» - это состояние защищенности ИС (см. ГОСТ Р 50922-2006 ). То есть, если первый раскрывает социальный аспект, то второй – чисто технический и касается защиты информации при ее обработке в ИС. Теперь о «кибербезопасности». Прежде всего видно, что это конечно же «безопасность» с приставкой «кибер», которая свидетельствует о принадлежности «безопасности» в этом сочетании к кибернетике. А что же такое «кибернетика»? Нет, конечно это не «продажная девка империализма» и не «реакционная лженаука», это наука об общих закономерностях процессов управления и передачи информации в различных системах, будь то машины, живые организмы или общество. Таким образом, получается, что понятие «кибербезопасность» – это широкое понятие, обозначающее безопасность процессов управления и передачи информации в различных системах. Но, процессы управления и передачи информации свойственны именно информационным системам. Поэтому, в данном случае это понятие надо рассматривать в более узком смысле и, следовательно, можно с большой вероятностью утверждать, что понятие «кибербезопасность» определяет состояние защищенности информационной системы, то есть это понятие достаточно близко к более «привычному русскому уху»© понятию «безопасность информации», то есть понятию, охватывающему только процессы защиты информации непосредственно при ее обработке, в том числе и в информационных системах. Кстати, это видно и из приведенной картинки и стандарта. Это, наверное тот редкий случай, когда заимствованный термин вполне применим и на нашей российской ниве (как, например, термин «компьютер»), как аналог «безопасности информации» при описании технических аспектов безопасности.
    Но, на сколько я понимаю, Совет Федерации не рассматривает технические аспекты – не барское это дело. И, по всей вероятности, разрабатываемая стратегия захватывает и социальные аспекты. Поэтому в данном контексте применение термина «кибербезопасность», наверное все-таки неправильно, оно сужает границы предметной области.
    P.S. Не могу не согласиться с субъективным мнением Ригеля: чисто интуитивно ассоциации какие-то «шпионские» …

    ОтветитьУдалить
  5. Для ориентации в теме - https://www.gov.uk/government/policies/keeping-the-uk-safe-in-cyberspace

    ОтветитьУдалить
  6. Сергей Викторович, как всегда внятно и мотивированно... Конечно все шире, и пока тут в головах будет торчать ЭВМ/компьютер, никакой безопасности тут не будет:-) В UK ( мне с ними по ряду обстоятельств приходится общаться) схема решения задач типа КВО неплохо продумана...

    ОтветитьУдалить
  7. Как я понял, снова забуксовали на обсуждении терминологии, предлагали каждый свою версию, и в конце так ни к чему конкретно не пришли ;)

    ОтветитьУдалить
  8. Сергей Викторович, если уж быть до конца непредвзятым, то наряду с упомянутыми вами есть еще и "защита информации", а также "безопасность при использовании ИКТ" (последний используется МИДом).

    Уход от термина ИБ и БИ связан с тем, что первый касается также доступа к информации и защиты от негативного воздействия информации (139-ФЗ, например), а второй не рассматривает социальные аспекты. Поэтому и было принято промежуточное решение об использовании термина "кибербезопасность". Но пока оно не финальное - думаю, что СовБез с МИДом продавят свою линию.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.