И вновь об ООН и ИБ

В ноябре 2009 года на 64-й сессии Генеральной Ассамблеи ООН была принята резолюция «Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур». Собственно сама резолюция содержала всего два пункта. В первом она предлагала «государствам-членам использовать, если и когда они сочтут это целесообразным, прилагаемый инструмент добровольной самооценки национальных усилий по защите важнейших информационных инфраструктур, призванный помочь им в анализе их усилий по защите важнейших информационных инфраструктур и укреплению кибербезопасности, с тем чтобы выявить области, в которых требуется принятие дополнительных мер, в целях повышения глобальной культуры кибербезопасности«, а во втором ООН предложила государствам-членам поделиться своим опытом и «стратегиями действий в области кибербезопасности и защиты важнейших информационных инфраструктур«. Если по второму пункту России предложить миру нечего, то 17 пунктов методики самооценки представляют интерес. Я решил ответить за Россию и посмотреть насколько мы продвинуты в области ИБ (сравнивать, правда, не с кем, но и самооценка для понимания пробелов — это тоже неплохо). Итак, пойдем по пунктам:

1. Роль ИКТ в национальной экономике, безопасности, транспорте, водоснабжении и обеспечении продовольствием, общественном здравоохранении, энергетике, финансах, служба экстренной помощи и гражданском обществе. Я бы оценил эту роль либо как незначительную, либо как среднюю с потенциалом роста.
2. Риски в области ИБ для отраслей, указанных выше.Здесь моя позиция расходится с мнением регуляторов, но это и понятно. Для них иностранные технологии — зло. Для меня — пример прогресса.
3. Слабые места в инфраструктуре. Пропущу этот пункт 😉
4. Цели национальной стратегии по обеспечению кибербезопасности и защиты важнейших информационных инфраструктур; нынешний уровень; меры по оценке прогресса; как стратегия выписывается в международные инициативы. Цели прописаны в Доктрине ИБ. Нынешний уровень — очень низкий. Оценка прогресса — не производится, т.к. нет метрик. Стратегия в международное сообщество не вписывается.
5. Ключевые заинтересованные стороны, участвующие в обеспечении кибербезопасности и защиты важнейших информационных инфраструктур; роль каждой из них в разработке соответствующих стратегий и операций. Сторон полно. Основная роль отдана ФСБ. Остальные стороны на процесс не влияют. Бизнес и гражданское общество — тем более.
6. Формальные и неформальные механизмы взаимодействия между правительством и промышленностью в разработке стратегий и операций в области кибербезопасности и защиты важнейших информационных инфраструктур. Отсутствуют.
7. Форумы или структуры, которые могут в дальнейшем понадобиться для интеграции позиций правительства и неправительственных участников и их знаний. Консолидированных структур нет, но много разрозненных участников — АП КИТ, РАЭК, АРБ, РСПП, АДЭ и т.д.
8. Принятые меры и планы по развитию сотрудничества между правительством и частным сектором. Отсутствуют.
9. Осуществляемые и запланированные инициативы по отстаиванию общих интересов и решению общих проблем как среди участников важнейших инфраструктур, так и среди представителей частного сектора. Отсутствуют.
10. Государственное ведомство, выполняющее функции координатора деятельности в связи с инцидентами. Отсутствует.
11. Общенациональный механизм реагирования на компьютерные сбои. Отсутствует.
12. Сети и процессы международного сотрудничества, которые могут укрепить потенциал реагирования на инциденты и планирования на случай чрезвычайных ситуаций. Отсутствуют.
13. Список национальных правовых актов (в том числе занимающихся вопросами киберпреступности, охраны личной информации, защиты данных, коммерческого права, цифровых подписей и шифрования), которые могут устареть или утратить актуальность в результате быстрого развития новых информационно-коммуникационных технологий. Почти все не соответствуют действующему уровню развития ИКТ. Необходимое законодательство для расследования киберпреступлений и преследования лиц, виновных в их совершении. Не работает.
14. Нынешнее состояние национальных органов по борьбе с киберпреступностью и соответствующих процедур. Неадекватное.
15. Существующие правовые кодексы и правовые органы соответствуют задаче решения существующих и будущих проблем киберпреступности и киберпространства в целом. Не соответствуют.
16. Уровень национального участия в международной деятельности по борьбе с киберпреступностью. Активное участие представителей МВД и ФСБ в международных конференциях. 
17. Потребности национальных правоохранительных органов в сотрудничестве с международными коллегами при расследовании транснациональных киберпреступлений. Требует отдельного рассмотрения, но пока уровень сотрудничества отстает от потребностей.

Примерно так. Как-то пессимистично ;-( Или это я просто придираюсь?..