17.3.15

Ревизия законодательства по информационной безопасности (выдержки)

На днях в МГУ прошла конференция по информационной безопасности, на которой заместитель председателя правительства России Дмитрий Рогозин поручил создать совет по кибербезопасности при Военно-промышленной комиссии, а также межведомственную рабочую группу по информационной защите. Я не знаю, чем данный совет по кибербезопасности будет отличаться от совета по информационному противоборству при той же ВПК, о создании которого Рогозин заявлял два года назад, меня в новости от 10 марта 2015-го года заинтересовала реплика Рогозина, который «поручил создать совет по кибербезопасности в рамках Военно-промышленной комиссии и на площадке этого совета провести инвентаризацию всего нормативного и законодательного поля, гармонизировать законодательство и перейти к выработке содержательных, а не декларативных, законодательно-нормативных актов, которые позволят обеспечить необходимое законодательное регулирование по вопросам информационной безопасности».

Я тут поднял из недр электронной почты одно из своих писем, которые направлялись нашим регуляторам, и решил выложить его в блог. Это одна из идей, которая была рождена как размышления на тему изменения законодательства в области оценки соответствия средств защиты информации.

Безопасность продукта определяется не страной его происхождения (об уязвимостях в программном обеспечении известно и в отношении китайского, и американского, и европейского, и российского происхождения), а выстроенным процессом безопасной разработки и устранения обнаруженных проблем. Это то, на что обращают внимание в последнее время ФСТЭК и Банк России и о чем они говорят на последних публичных и не очень мероприятиях. Убедиться же в качестве ПО с точки зрения безопасности можно с помощью механизма оценки соответствия, предусмотренной законом “О техническом регулировании”. Вопрос только в форме этой оценки соответствия.

Согласно закону о техническом регулировании существует 7 форм оценки соответствия, включая добровольную и обязательную сертификацию. Особенности оценки соответствия согласно требованиям закона устанавливает либо Президент, либо Правительство своими нормативно-правовыми актами. Таких актов немало (по моей оценке – около 40). Если кратко подытожить требования этих актов, то для государственных органов обязательной является оценка соответствия в форме обязательной сертификации по требованиям безопасности (они установлены ФСТЭК и (или) ФСБ). Для ряда структур ВПК обязательной является оценка соответствия в форме обязательной сертификации по требованиям безопасности, установленным Министерством Обороны. Коммерческие предприятия, общественные организации и физические лица вправе самостоятельно выбирать форму оценки соответствия (в ряде случаев требований к оценке соответствия не устанавливается вовсе).

Учитывая, что законодательство по сертификации по требованиям безопасности разрабатывалось в начале 90-х годов и только для государственной тайны; учитывая, что с тех пор это законодательство практически не претерпело изменений (и ФСТЭК, и ФСБ, и МинОбороны оперируют Постановлением Правительства 95-го года); учитывая изменившуюся ситуацию и в области информатизации и в области геополитики, я бы предложил следующие изменения, которые на мой взгляд могут решить существующую неразбериху:
  1. Классифицировать все организации в зависимости от обрабатываемой ими информации (гостайна и все остальные), формы собственности и критичности для экономики, национальной безопасности и обороноспособности страны.
    • С точки зрения деления на гостайну и информацию конфиденциального характера (хотя тут терминология так и не устоялась) сейчас законодательство неплохо проработано. Для защиты сведений, составляющих гостайну, средства защиты должны быть в обязательном порядке сертифицированы по требованиям ФСТЭК или ФСБ (в зависимости от области компетенции), включая и предоставление исходных кодов программного обеспечения для проверки на отсутствие недекларированных возможностей (закладок).
    • С точки зрения собственности я бы разделил всех на организации, обрабатывающие информацию, собственником которой является государство (сюда попадут и ФОИВы, и региональные ОИВы, и ФГУПы, и казенные учреждения и т.п.), и все остальные организации, включая общественные и коммерческие.
    • С точки зрения критичности я бы разделил всех на критически важные объекты (тем более, что сейчас в Правительстве рассматривается законопроект “О безопасности критических информационных инфраструктур”) и остальные. Правда в этом случае термин "КВО" потребует определенных уточнений.
  2. После классификации у нас получается трехмерный куб, где в качестве измерений используется “тип информации”, “тип собственности” и “критичность организации”. У каждого из измерений будет два значения, рассмотренных выше. Таким образом у нас получается куб с 8 возможными значениями - требованиями по оценке соответствия (на самом деле их будет меньше):
    • Например, если речь идет об обработке гостайны, то требуется максимальный уровень сертификации, включая проверку на отсутствие недекларированных возможностей.
    • Если речь идет о государственных организациях или критически важных объектах (независимо от формы собственности последних), которые не обрабатывают гостайну, то для них требуется обычная сертификация по требованиям ФСТЭК или ФСБ.
    • Если речь идет обо всех остальных организациях (коммерческих или общественных), которые не обрабатывают гостайну и не являются критически важными объектами, то к ним никаких обязательных требований не предъявляется и они самостоятельно оценивают свои риски и принимают решение о форме оценки соответствия. 
Такой подход наконец-то позволит расставить все точки над “i” и ответить на вопрос, кому надо, а кому нет использовать сертифицированные средства защиты. Это позволит стимулировать западные компании раскрывать исходные коды своего ПО в России (сейчас, ввиду неочевидности этих требований, это непростой процесс). Это позволит снизить финансовую нагрузку на коммерческие организации, которые согласно Гражданского Кодекса сами принимают решение о своих рисках и ведут деятельность на свой страх и риск. Наконец, это позволит гармонизировать законодательство по информационной безопасности, которое не менялось уже скоро как 20 лет.

Также можно добавить и еще один критерий в список рассматриваемых – степень сотрудничества производителей ПО и железа с российскими регуляторами в области ИБ. Ведь немало западных компаний никак не замешано в упоминаемых в последнее время скандалах с уязвимостями. Также как и по большинству китайских компаний известны откровенные случаи кибершпионажа в пользу Китая в виде установки закладок в свою продукцию. Есть и российские игроки ИТ-рынка, которые не готовы ничего делать для соответствия требованиям по кибербезопасности. Поэтому разделять компании надо не по принципу их происхождения, а по степени их готовности раскрыть свои секреты перед нашими регуляторами в области информационной безопасности (разумеется, при соблюдении ряда требования по сохранности интеллектуальной собственности).

Есть те, кто не готов это делать совсем. Таким не давать никаких преференций. Есть те, кто готов заниматься сертификацией своей продукции по требованиям безопасности, но пока не готов раскрывать исходные коды, так как это требует не только внутренних согласований в части раскрытия интеллектуальной собственности, но и решения на международном уровне, так как согласно Васенаарским соглашениям о контроле технологий двойного назначения передача исходных кодов может потребовать определенных непростых процедур на высоком государственном уровне. И наконец третий тип компаний, которые пошли и на раскрытие исходных кодов и на производство на территории России. Таким компаниям давать максимум преференций, так как они не представляют угрозы с точки зрения информационной безопасности.

Разумеется, все это имеет отношение именно к информационной безопасности, а не политике импортозамещения, которая не имеет ничего общего с требованиями национальной безопасности (хотя часто эти два понятия - "национальная безопасность" и "импортозамещение" часто смешиваются и подменяются).

Вот такие мысли только по одному из направлений нашего законодательства в области ИБ.

2 коммент.:

Михаил Новокрещенов комментирует...

Хммм...Мне кажется требовать сертификации на отсутствие НДВ только для защиты гостайны недостаточно. Для КВО это требование тоже было бы разумным ИМХО.

Алексей Лукацкий комментирует...

В контексте КВО вопрос непрост. При отсутствии системы оценки НДВ для не СрЗИ и для не офисного софта, это требование не работает