Чего я жду от новой Доктрины ИБ?

С другой стороны Совет Безопасности сейчас находится в непростой ситуации, как мне кажется. Он на перепутье. Текущая геополитическая ситуация достаточно сильно отличается от 2000-х и даже от 2013-го года, когда рабочая группа при Совете Федерации писала проект Стратегии кибербезопасности РФ. И в такой ситуации очень непросто сформировать положения, которые будут задавать тон на ближайшие годы (а может быть и десятилетие-другое). С одной стороны нельзя закрывать глаза на действия США и ее партнеров в киберпространстве и в ИТ-индустрии. С другой нельзя на основе событий последнего года строить среднесрочную и долгосрочную стратегию. Нужен баланс и найти его будет непросто. А учитывая закрытость работы над новой Доктриной и прошлое ее разработчиков, есть опасения, что мы опять скатимся в малоприменимый на практике документ 🙁

Чего лично мне не хватает в текущей версии Доктрины и чтобы мне хотелось увидеть в новой. Во-первых, разрулить ситуацию с оценкой соответствия средств защиты, о чем я уже писал недавно. Во-вторых, я бы все-таки определился с терминологией. И дело даже не в терминах типа «АСУ ТП», «КВО», «КИИ» и т.п., которые имеют совершенно разное значение в разных НПА разных регуляторов. Хотя бы определиться с термином «кибербезопасность». Спор о том, можно или нельзя применять этот термин ведется давно. Есть же даже международный стандарт на эту тему. Некоторые наши критически важные объекты, монополисты в своей сфере деятельности, спокойно используют его на уровне своих нормативных документов, но МИД и некоторые силовики упорно цепляются за термин «информационная безопасность», не желая признавать право на жизнь «кибербезопасности».

Еще одной важнейшей темой является сотрудничество в международной сфере. Прошла версия Доктрины про это почти не упоминала, что и понятно. Но сейчас уровень зависимости информационных технологий, Интернета, критических инфраструктур от международного сообщества совершенно иной, чем раньше. Недавно было опубликовано исследование о трансграничной зависимости критических инфраструктур. Как мы видим, зависимость достаточно высокая и закономерно возникает вопрос, а как обеспечивать ИБ (или кибербезопасность) в такой ситуации? Закрыть глаза? Запретить? Попробовать установить общие правила игры? Более чем непростая ситуация. Понятно, что ее можно попробовать решить в рамках блоковых взаимоотношений России (БРИКС, ШОС, ОДКБ, СНГ). А что делать со странами НАТО? А с не-странами НАТО, но и не членами блоков-партнеров России? У России есть немало объектов собственности, в том числе, и критически важных, в Европе и США. Как быть с ними?

Международное сотрудничество задает и еще один вопрос, который стоило бы отразить в Доктрине. Речь идет об обмене информацией об угрозах ИБ. Можно, конечно, делать это в рамках межправительственных соглашений, но это немасштабируемо и долго (достаточно вспомнить, сколько мы подписываем соглашение с Китаем). Тема чувствительная и требующая четкого разделения ответственности. Рассчитывать, что все это ляжет на плечи ФСБ и она сама все решит, я бы не стал. Неповоротливость этой структуры уже давно стала притчей во языцех.

А еще бы хотелось, чтобы в Доктрине и следующих за ней документах нашли бы наконец решение пожелания, которые я направлял Дед Морозу в канун 2012-го года. Там есть и про единый орган по ИБ, и про признание международных стандартов в ряде случаев, и про дифференцированных подход, и про единую систему оценки соответствия средств защиты (а не 3 разных системы как сейчас), и про государственно-частное партнерство, и про повышение культуры в области ИБ. Раз уж сейчас меняется основополагающий документ, то почему бы не включить в него ответы на все эти вопросы?..