После предыдущей заметки стоит чуть больше коснуться последней из упомянутых в ней попыток реформирования отрасли ИБ, - программы "Цифровой экономики". Когда ее опубликовали я поначала даже не придал ей никакого значения. Ну мало ли Правительство у нас публикует документов, которые потом так и остаются красивой и популистской идеей. Но потом в Facebook был опубликован призыв Сбербанка (сейчас его, правда, удалили) к экспертам по ИБ поучаствовать в работе над программой. А потом такое предложение поступило по другим каналам. И подумалось мне, а почему бы и нет...
Не сильно задумываясь я написал по предложенному адресу запрос о включении меня во все 16 экспертных групп, которые должны за месяц (уже меньше) подготовить план мероприятий по реализации задач "Цифровой экономики", утвержденной распоряжением Правительства. Написал в четверг - на текущий момент ответы пришли только по 4 группам, а по 2-м был звонок от куратора, но без дальшейшего движения. Посмотрим, во что это все выльется, а пока парочка замечаний, которые у меня родились по факту чтения всего многообразия документов по данной теме.
Самый главное из них заключается в банальнейшем вопросе. Почему не при делах ФСТЭК и ФСБ, два основных регулятора по ИБ? Их вообще нет в списках. За центр компетенций по ИБ отвечает Сбербанк, а за рабочую группу по ИБ - Наталья Касперская. Курирует все направление Минкомсвязь (вот уж где сидят знатные специалисты по ИБ, так это там). Мой опыт участия в различных инициативах, связанные с изменением отрасли ИБ (я о них писал в прошлой заметке) говорит, что отсутствие в инициаторах ФСБ ставит крест на инициативе, какой бы классной и нужной она не была (вспомните про разницу интересов). Программа "Цифровая экономика" же упирается в Правительство, в то время как ФСБ и ФСТЭК подчиняются непосредственно Президенту и могут игнорировать все, что придумают в команде Дмитрия Медведева. Представьте, что вы отвечаете за какой-то вопрос, а его пытаются решить без вашего участия. Каковы будут ваши действия? Вы останетесь в сторонке или наложете вето на все инициативы? Я еще помню, как и почему не взлетела Стратегия кибербезопасности РФ...
Второе замечание касается уже самих задач программы и работы экспертов в экспертных группах при Сбербанке. Я только в выходные для себя понял, что задачи уже сформулированы и изменению не подлежат. Вообще! Они сформулированы в самой программе, которая уже кем-то была разработана и утверждена. Например, есть задача 5.1.2 "Разработка проектов централизованной систему мониторинга и управления единой сети электросвязи". Вот вы можете не хотеть такую систему и даже приводить доводы, что такая система не может быть построена, но ваше мнение никого не интересует. Ваша задача как эксперта - поучаствовать в разработке плана мероприятий по реализации этой задачи. Все!
Или есть задача 5.2.3 по обязательному применению на сетях связи средств защиты от DDoS-атак, фильтрации и анализа трафика, а также борьбы с противоправным контентом. И вы не можете повлиять на саму задачу - от вас ждут конкретных идей по плану мероприятий, позволяющих решить задачу (то есть считается, что с задачей вы согласны).
Или вот перл. Задача 5.11.9 "Разработка требований по безопасности КИИ". Отвечает за нее Сбербанк? С какого ...? За разработку этих требований, а также всех мероприятий, связанных с этими требованиями, отвечает регулятор в области БКИИ (скорее всего ФСТЭК). Но ФСТЭК отсутствует в списке тех, кто принимает участие в этой программе (в отличие от плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»). Ну не странно ли это?
А 5.5.8 требует законодательного регулирования трансграничного обмена Большими данными. А вот я против этой очередной РКНовской затеи, но увы. Против быть нельзя - можно разрабатывать план мероприятий.
Наконец 5.8.9 требует законодательно обязать всех предустанавливать отечественные антивирусы на все ввозимые и создаваемые на территории ЕАЭС компьютеры. Вот я буду рад - у меня по корпоративному стандарту совершенно иные решения предусмотрены. Не то, чтобы я совсем уж против, но приобретены уже другие решения; и они же протестированы с нашей инфраструктурой. Интересно, государства ЕАЭС спросили? А если у них нет своего антивирусы? Авторы-то имели ввиду под словом "отечественные" - российские. Но российский Dr.Web или антивирус Касперского не является отечественным, например, в Казастане или Киргизии.
И вот таких вот перлов в программе "Цифровой экономики" дофига. И как с ними соглашаться, если это либо бред, либо задача в интересах вполне определенных лиц, имеющих свои коммерческие интересы? Не хотелось бы, чтобы оказалось, что план мероприятий, на разработку которого привлекают экспертов, оказался уже разработан, а вся эта работа затеяна для того, чтобы просто легитимизировать всю эту программу, которая местами мешает и блокирует развитие отрасли ИБ в России. А слухи о наличии уже разработанного плана мероприятий ходят. И вроде как уже суммы потребных денег определены и даже те, кто их получит. И в чем тогда смысл привлечения экспертов, если уже понятно, сколько, кому и на что будет потрачено?
Хотя есть еще почти непроработанные темы (это видно не только по названию задачи, но и по объему финансирования). Там, безусловно, можно попробовать достичь правильных результатов. Главное понять, что они будут. А то, по крайней мере у меня, сейчас в работе целый ряд разных проектов нормативных документов и приоритеты расставить сложно (особенно учитывая, что Сбербанк выделил на всю работу меньше месяца).
Остается только надеяться, что все будет так, как называется книжка из библиотеки Сбербанка, который и будет основным центром компетенций по вопросам ИБ в программе "Цифровой экономики".
Или есть задача 5.2.3 по обязательному применению на сетях связи средств защиты от DDoS-атак, фильтрации и анализа трафика, а также борьбы с противоправным контентом. И вы не можете повлиять на саму задачу - от вас ждут конкретных идей по плану мероприятий, позволяющих решить задачу (то есть считается, что с задачей вы согласны).
Или вот перл. Задача 5.11.9 "Разработка требований по безопасности КИИ". Отвечает за нее Сбербанк? С какого ...? За разработку этих требований, а также всех мероприятий, связанных с этими требованиями, отвечает регулятор в области БКИИ (скорее всего ФСТЭК). Но ФСТЭК отсутствует в списке тех, кто принимает участие в этой программе (в отличие от плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»). Ну не странно ли это?
А 5.5.8 требует законодательного регулирования трансграничного обмена Большими данными. А вот я против этой очередной РКНовской затеи, но увы. Против быть нельзя - можно разрабатывать план мероприятий.
Наконец 5.8.9 требует законодательно обязать всех предустанавливать отечественные антивирусы на все ввозимые и создаваемые на территории ЕАЭС компьютеры. Вот я буду рад - у меня по корпоративному стандарту совершенно иные решения предусмотрены. Не то, чтобы я совсем уж против, но приобретены уже другие решения; и они же протестированы с нашей инфраструктурой. Интересно, государства ЕАЭС спросили? А если у них нет своего антивирусы? Авторы-то имели ввиду под словом "отечественные" - российские. Но российский Dr.Web или антивирус Касперского не является отечественным, например, в Казастане или Киргизии.
И вот таких вот перлов в программе "Цифровой экономики" дофига. И как с ними соглашаться, если это либо бред, либо задача в интересах вполне определенных лиц, имеющих свои коммерческие интересы? Не хотелось бы, чтобы оказалось, что план мероприятий, на разработку которого привлекают экспертов, оказался уже разработан, а вся эта работа затеяна для того, чтобы просто легитимизировать всю эту программу, которая местами мешает и блокирует развитие отрасли ИБ в России. А слухи о наличии уже разработанного плана мероприятий ходят. И вроде как уже суммы потребных денег определены и даже те, кто их получит. И в чем тогда смысл привлечения экспертов, если уже понятно, сколько, кому и на что будет потрачено?
Хотя есть еще почти непроработанные темы (это видно не только по названию задачи, но и по объему финансирования). Там, безусловно, можно попробовать достичь правильных результатов. Главное понять, что они будут. А то, по крайней мере у меня, сейчас в работе целый ряд разных проектов нормативных документов и приоритеты расставить сложно (особенно учитывая, что Сбербанк выделил на всю работу меньше месяца).
Остается только надеяться, что все будет так, как называется книжка из библиотеки Сбербанка, который и будет основным центром компетенций по вопросам ИБ в программе "Цифровой экономики".
Внизах еще веселее...
ОтветитьУдалитьАлексей, жаль, что вас не было на установочном совещании. Думаю, это повлияло бы на текст заметки.
ОтветитьУдалитьСергей, ты считаешь, что на совещании не велось записи и у меня ее нет?
ОтветитьУдалить