Пока специалисты, выйдя из отпусков и выходных, разбирается в WannaCry (вот тут можно про это более подробно почитать), решил я опубликовать философскую заметку. В продолжение темы Стратегии развития информационного общества. На самом деле речь пойдет не только о Стратегии, но и, например, о Доктрине ИБ, в разработке которой мне довелось участвовать и я даже получил благодарность СовБеза, и о проекте Стратегии кибербезопасности РФ, которая писалась в Совете Федерации, и о ряде других доктринальных и стратегических документах.
Начну с банального тезиса - в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) - есть куча приглашенных для работы над "Стратегией/Доктриной" экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает "вот эта идея прикольная, вставлю ее в финальный документ". И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу - набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как "в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности". Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.
Я всегда считал, что стратегия - это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: "Надо понимать, что стратегия определяет тактику" С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? "Пользователями Интернет в 2016-м году стали", "В России с 2014-го осуществляется подключение" и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния "как есть" в состояние "как хочется". Это и будет стратегия. Но у нас все объединяют вместе и получается...
Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что "отсутствие конкретики и показателей эффективности - это правильно". Если нет измеримой цели, то двигаться можно куда угодно - все направления будут одинаково хороши.
Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура - VSE, которая рассшифровывается как "Vision. Strategy. Execution" ("Миссия. Стратегия. Исполнение"). Циничные продавцы превратили ее в "Vision, mission и comission" ("Миссия и комиссия", то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.
Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с "Россия должна..." или "Россия может...". Я это "должна" и "может" уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.
Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.
ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).
Начну с банального тезиса - в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) - есть куча приглашенных для работы над "Стратегией/Доктриной" экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает "вот эта идея прикольная, вставлю ее в финальный документ". И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу - набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как "в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности". Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.
Я всегда считал, что стратегия - это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: "Надо понимать, что стратегия определяет тактику" С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? "Пользователями Интернет в 2016-м году стали", "В России с 2014-го осуществляется подключение" и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния "как есть" в состояние "как хочется". Это и будет стратегия. Но у нас все объединяют вместе и получается...
Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что "отсутствие конкретики и показателей эффективности - это правильно". Если нет измеримой цели, то двигаться можно куда угодно - все направления будут одинаково хороши.
Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура - VSE, которая рассшифровывается как "Vision. Strategy. Execution" ("Миссия. Стратегия. Исполнение"). Циничные продавцы превратили ее в "Vision, mission и comission" ("Миссия и комиссия", то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.
Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с "Россия должна..." или "Россия может...". Я это "должна" и "может" уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.
Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.
ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).
Наверное любая гос. стратегия и доктрина будет представлять из апроксимированный плод коллективного разума - в общем и не о чем ...
ОтветитьУдалитьСуществует, у нас, эдакая любовь к «качественным» определениям и не любовь к «количественным». Мысли , подкрепленные цифирями придется тогда обосновывать и потом за них отвечать.
ОтветитьУдалитьЕсли рассматривать стратегию, не как документ планирования, а как некое декларирование, того куда идут все участники ИБ, тогда всё сходится.
ОтветитьУдалитьВ ИБ много участников, все идут разными дорогами и немного в различных направлениях. Каждый добавил что-то свое. Вот чиновник устроил опрос ключевых участников, от каждого собрал "куда и как". То что имело больше двух совпадений попало в стратегию.
Ну вот об этом и речь
ОтветитьУдалитьАлексей, день добрый!
ОтветитьУдалитьНаткнулся на вот на постановление правительства РФ от 11.05.2017 № 555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» можно услышать Ваше мнение по этому поводу? И очень интересует пункт 3 "Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с ФСТЭК" Пошли по пути ФСБ (там модель угроз тоже надо с ними согласовывать, вот только по факту они шлют нафиг и отвечают что мы ничего не согласовываем", и эти туда же....
2 Евгений
ОтветитьУдалитьТак там и написано, что МУ и ТЗ согласовывается и с ФСБ, и с ФСТЭК.
В отсутствие методики определения угроз согласовывать будет очень весело: что бы ни написал, все равно может оказаться неправильно.
2Александр Германович
ОтветитьУдалитьПроблема в том, что и ФСТЭК и ФСБ шлют на... говоря что мы ничего не согласовываем ;) Да и смутно представляю как ФСТЭК должно согласовывать ТЗ на систему, в которой они ничерта не понимают...
Кого-то шлют, а кого-то, напротив, заставляют показать МУ.
ОтветитьУдалитьНо пока и нет обязанности согласовывать - поэтому и шлют. С 23-го мая слать перестанут.
ТЗ они согласовывают в части требований по ЗИ, т.е. в той части, в которой понимают.
Угу, все так.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьгрустно, и куча потерянного времени, еще больше бумаги, и это при том, что у них людей даже на выездные проверки нет, теперь им еще и со всей России мукулатура пойдет... Еще спецсвязью небойсь слать придется... Пошел готовить МУ бухгалтерии (знаю, что спорный вопрос) на согласование :):):)
ОтветитьУдалитьНе понимаю, что не так. В сфере ИБ государство пока пишет Доктрины и Концепции стратегий. Документы ни разу не программные. Это как Конституция - быть должна, но практической пользы исчезающе мало.
ОтветитьУдалитьЕсли говорить о конкретном документе под названием "стратегия", то взгляните на Стратегию национальной безопасности РФ. Там и цели, и драйверы и кое-какие показатели есть.
Ну и потом, кто будет выкладывать на обозрение потенциальных "врагов" планы защиты.
Андрей, все страны выкладывают и не боятся. И только мы "в танке"
ОтветитьУдалить