На днях широко известная в широких кругах сенатор (или сенаторша) Мизулина написала обращение в Генпрокуратуру по поводу занятий йогой в московских СИЗО. По мнению Мизулиной позы йоги вызывают "неконтролируемое сексуальное возбуждение, а это в свою очередь может привести к гомосексуализму в изоляторах"! Хорошее начало, да?! Эта новость иллюстрирует оторванность от жизни тех, кого мы выбрали или считаем, что выбрали. Тоже самое относится и к чиновникам.
После пятничной заметки мне довелось поучаствовать в нескольких дискуссиях и я вроде понял, почему ФСТЭК рождает в последнее время такие документы. Они также становятся оторванными от жизни, как и депутаты. И тому есть две причины. Первая заключается в том, что ФСТЭК сама не сталкивается со многими процессами, для которых она пишет требования по ИБ. У нее нет облаков, она блокирует использование мобильных устройств, она не использует средства аналитики ИБ и TI (вы когда-нибудь слышали про SOC ФСТЭК?). Да и средства защиты, которая она использует, только сертифицированные и преимущественно отечественные. То есть сама ФСТЭК не понимает проблем регулируемых ею потребителей.
Решить проблему отсутствия собственной экспертизы можно было бы путем приглашения внешних экспертов и раньше так оно и было. Но в последнее время круг приглашенных лиц сократился (уж не знаю почему - сверху такое распоряжение спустилось или это инициатива самого регулятора) и работают они, как правило, в лицензиатах ФСТЭК. А вот теперь представьте - вы приглашаете 10 разработчиков, ну допустим, систем обнаружения атак, которые свои продукты разработали на базе взятых Snort или Suricata, просто добавив к ним интерфейс управления и интегрировав с другими средствами защиты этого же разработчика (например, с МСЭ). Собрались эти разработчики и их спрашивают: "А вот надо ли нам требовать от IDS использования машинного обучения в дополнение к сигнатурам и обнаружению аномалий?" Ну все, как один, отвечают: "Нет, не надо" и их можно понять. Если такое требование включить, то российские вендоры должны будут у себя развивать экспертизу по ML, что непросто. Поэтому большинством голосов требование не принимается.
Или вот еще пример. Тех же разработчиков IDS (СОВ) спрашивают: "А давайте мы разрешим обновления знаний об угрозах брать не только от вас, но и вообще откуда угодно, чтобы повысить эффективность обнаружения?". Все в один голос отвечают: "Нет, не надо". И снова разработчиков можно понять. Это же надо разрабатывать интерфейсы для поддержки STIX/TAXII, OpenIOC, CyBOX и т.п. стандартов и протоколов. А потребитель сравнит частоту обновления от вендора и от бесплатных источников и начнет задавать вопросы. Зачем это нужно вендору?
И вот так по многим пунктам, которые могли бы установить прогрессивные требования, но они не проходят. А разработчиков решений (увы, в основном западных или азиатских) обычно не зовут на такие встречи. Конкуренция будет не в пользу отечественных производителей средств защиты информации, интересны которых все-таки ФСТЭК защищает. Отсутствие же конкуренции приводит к печальным последствиям - рынок стагнирует и вырождается.
А еще ФСТЭК зачем-то стала навешивать на свои документы пометку "для служебного пользования". И вот это решение мне совершенно непонятно. Чего добивается регулятор ограничением доступа к документам, которы, вообще-то должны быть доступны широкому кругу потребителей. Я слышал несколько версий происходящего. Одна из них заключается в том, что ФСТЭК хочет сфокусироваться на защите госорганов, которые могут без проблем получить ДСП-документы. Возможно. Но эти же требования распространяются и на ряд коммерческих организаций, коих немало. Вторая версия конспирологическая. Мол, попав в руки иностранных спецслужб, требования ФСТЭК могут подорвать национальную безопасность. Ну ржака же... Ничего секретного в данных документах нет. А самое главное, что достать эти документы не представляет особого труда. Их даже в Интернете можно найти, не говоря уже о даркнете. То есть и эту задачу пометка "ДСП" не решает (тем более, что коммерческая компания не несет никакой ответственности за разглашение таких документов). Иногда появляется мысль, что ФСТЭК просто стесняется этих документов и всеми силами старается ограничить доступ к ним и, самое главное, публичные комментарии. Но я всегда отбрасываю эту мысль, как невероятную. Кстати, многие документы ФСТЭК с пометкой "ДСП" затрагивают права, свободы, законные интересы и обязанности организаций и доступ к ним не может ограничиваться. Более того, сама по себе эта пометка вступает в противоречие с действующей нормативно-правовой базой.
Когда-то, начиная с 2013-го года, я считал, что ФСТЭК стала на путь исправления и теперь станет прогрессивным регулятором, считающимся с мнение отрасли и не только устанавливающим требования по защите, но и толкающим отрасль вперед. Но последние и неоднократные действия регулятора похоже возвращают ФСТЭК во времена СТР-К, "четверокнижия по ПДн" и др., которые "царствовали" в начале 2000-х. Жаль... Похоже скоро я напишу такую же заметку, как когда-то написал про персданные и Роскомнадзор. Вернусь к тому, для чего я изначально затевал блог, - к бизнес-ориентированным заметкам.
После пятничной заметки мне довелось поучаствовать в нескольких дискуссиях и я вроде понял, почему ФСТЭК рождает в последнее время такие документы. Они также становятся оторванными от жизни, как и депутаты. И тому есть две причины. Первая заключается в том, что ФСТЭК сама не сталкивается со многими процессами, для которых она пишет требования по ИБ. У нее нет облаков, она блокирует использование мобильных устройств, она не использует средства аналитики ИБ и TI (вы когда-нибудь слышали про SOC ФСТЭК?). Да и средства защиты, которая она использует, только сертифицированные и преимущественно отечественные. То есть сама ФСТЭК не понимает проблем регулируемых ею потребителей.
Решить проблему отсутствия собственной экспертизы можно было бы путем приглашения внешних экспертов и раньше так оно и было. Но в последнее время круг приглашенных лиц сократился (уж не знаю почему - сверху такое распоряжение спустилось или это инициатива самого регулятора) и работают они, как правило, в лицензиатах ФСТЭК. А вот теперь представьте - вы приглашаете 10 разработчиков, ну допустим, систем обнаружения атак, которые свои продукты разработали на базе взятых Snort или Suricata, просто добавив к ним интерфейс управления и интегрировав с другими средствами защиты этого же разработчика (например, с МСЭ). Собрались эти разработчики и их спрашивают: "А вот надо ли нам требовать от IDS использования машинного обучения в дополнение к сигнатурам и обнаружению аномалий?" Ну все, как один, отвечают: "Нет, не надо" и их можно понять. Если такое требование включить, то российские вендоры должны будут у себя развивать экспертизу по ML, что непросто. Поэтому большинством голосов требование не принимается.
Или вот еще пример. Тех же разработчиков IDS (СОВ) спрашивают: "А давайте мы разрешим обновления знаний об угрозах брать не только от вас, но и вообще откуда угодно, чтобы повысить эффективность обнаружения?". Все в один голос отвечают: "Нет, не надо". И снова разработчиков можно понять. Это же надо разрабатывать интерфейсы для поддержки STIX/TAXII, OpenIOC, CyBOX и т.п. стандартов и протоколов. А потребитель сравнит частоту обновления от вендора и от бесплатных источников и начнет задавать вопросы. Зачем это нужно вендору?
И вот так по многим пунктам, которые могли бы установить прогрессивные требования, но они не проходят. А разработчиков решений (увы, в основном западных или азиатских) обычно не зовут на такие встречи. Конкуренция будет не в пользу отечественных производителей средств защиты информации, интересны которых все-таки ФСТЭК защищает. Отсутствие же конкуренции приводит к печальным последствиям - рынок стагнирует и вырождается.
А еще ФСТЭК зачем-то стала навешивать на свои документы пометку "для служебного пользования". И вот это решение мне совершенно непонятно. Чего добивается регулятор ограничением доступа к документам, которы, вообще-то должны быть доступны широкому кругу потребителей. Я слышал несколько версий происходящего. Одна из них заключается в том, что ФСТЭК хочет сфокусироваться на защите госорганов, которые могут без проблем получить ДСП-документы. Возможно. Но эти же требования распространяются и на ряд коммерческих организаций, коих немало. Вторая версия конспирологическая. Мол, попав в руки иностранных спецслужб, требования ФСТЭК могут подорвать национальную безопасность. Ну ржака же... Ничего секретного в данных документах нет. А самое главное, что достать эти документы не представляет особого труда. Их даже в Интернете можно найти, не говоря уже о даркнете. То есть и эту задачу пометка "ДСП" не решает (тем более, что коммерческая компания не несет никакой ответственности за разглашение таких документов). Иногда появляется мысль, что ФСТЭК просто стесняется этих документов и всеми силами старается ограничить доступ к ним и, самое главное, публичные комментарии. Но я всегда отбрасываю эту мысль, как невероятную. Кстати, многие документы ФСТЭК с пометкой "ДСП" затрагивают права, свободы, законные интересы и обязанности организаций и доступ к ним не может ограничиваться. Более того, сама по себе эта пометка вступает в противоречие с действующей нормативно-правовой базой.
Когда-то, начиная с 2013-го года, я считал, что ФСТЭК стала на путь исправления и теперь станет прогрессивным регулятором, считающимся с мнение отрасли и не только устанавливающим требования по защите, но и толкающим отрасль вперед. Но последние и неоднократные действия регулятора похоже возвращают ФСТЭК во времена СТР-К, "четверокнижия по ПДн" и др., которые "царствовали" в начале 2000-х. Жаль... Похоже скоро я напишу такую же заметку, как когда-то написал про персданные и Роскомнадзор. Вернусь к тому, для чего я изначально затевал блог, - к бизнес-ориентированным заметкам.
Скоро сравняются с РКН, тогда ведомства можно будет объединить под названием Федеральный Тупичок, а во главе поставить Пучкова.
ОтветитьУдалить