ИБ делает разворот на 360 градусов и нас ждет ее реформа?

Законодательство

20 мая весь мир ИБ облетела новость о том, что президент страны на заседании Совета Безопасности объявил о создании государственной системы защиты информации, что многими стало восприниматься как нечто революционное, что должно изменить расклад сил на отечественном рынке ИБ и поднять тему на недосягаемую высоту. Мне кажется, что многие, прочитавшие новость о прошедшем в режиме видеоконференции (пандемия же давно кончилась или готовимся к обезьяньей оспе?) заседании Совета Безопасности сделали не совсем верные выводы, которые исходят из предположения, что некое публичное событие (как заседание Совбеза) — это начало некой истории. На самом деле, это в корне неверное предположение; публичное событие может быть как финальной точкой в некой истории (например, «урок истории» от Президента в феврале этого года ярко демонстрирует этот тезис — после него началась военная операция, которая начала готовиться задолго до самого выступления), так и промежуточной. Вот и заседание Совбеза 20-го мая из этой же истории.

Что же прозвучало на нем (согласно публичной части стенограммы) и комментариев Секретаря Совбеза Н.П.Патрушева по итогам заседания (тезисно):

  • С ИБ у нас не все хорошо и надо что-то менять (прямо это не сказано, но судя по разным признакам и кулуарным общениям дело именно так и обстоит).
  • Против России действуют кибервойска отдельных государств. Атакам подвергаются, среди прочего, крупные порталы, сайты СМИ и госорганов.
  • Растет число фейков, уходят иностранные поставщики ПО и «железа», а использование последних создает дополнительные риски.
  • Необходимо обеспечить непрерывность мониторинга и обеспечения ИБ на объектах КИИ.
  • На трети предприятий в области КИИ отсутствуют подразделения по ИБ.
  • Требуется координация усилий всех участвующих в ИБ КИИ сторон.
  • Современные инфраструктуры субъектов КИИ и госорганов уязвимы — необходимо повышать их защищенность.
  • Проблема утечек конфиденциальной информации и персональных данных граждан только растет. Поэтому с ней надо что-то делать, в том числе за счёт более строгого контроля правил использования служебной техники, коммуникаций, связи.
  • Власти смущает анонимность глобального информационного пространства.
  • Будут усилены научно-исследовательские и опытно-конструкторские работы, в том числе в области технологий искусственного интеллекта и квантовых вычислений.
  • Планируется развитие ГосСОПКИ.
  • Отдельное внимание будет уделено профессиональной подготовке и повышению квалификации специалистов в области информбезопасности.
  • На этом заседании СовБеза были приглашены помимо его постоянных членов также руководители Минцифры, ФСТЭК и ФСО, начальница ГПУ Президента, а также начальник Контрольного управления Президента и зампред Правительства, отвечающий за промышленность, включая оборонку и радиоэлектронику, а также обороноспособность страны.

По итогам было предложено не только активизировать усилия по созданию собственной электроники, но и создать государственную систему защиты информации. И вот тут мы делаем разворот на… 360 градусов.

На самом деле эта система в России существует уже много десятилетий.

Да, первоначально она создавалась для защиты государственной тайны, но потом опыт в ее создании плавно перетек и на иную конфиденциальную информацию. Перетек не очень удачно, так как динамичность коммерческого, открытого рынка и менее жесткие требования к обеспечению конфиденциальности, защиты коммерческой и других видов тайн, мешали применять к нему заскорузлые и медленно изменяемые подходы к защите гостайны. Поэтому назрела необходимости дать толчок отрасли, внедрив новые подходы к защите, базирующиеся на непрерывном процессе мониторинга ИБ. Я думаю многие уже заметили, что в этом направлении наши регуляторы (ФСТЭК, ФСБ, ЦБ) движутся уже не первый год, но события 24-го февраля подтолкнули этот процесс, заставив подготовить план по изменению законодательства (глава ГПУ Брычева там именно для этого) и контролировать его исполнение (для этого нужен начальник Контрольного управления Шальков), которые коснутся всех основных регуляторов (для этого там из «новичков» ФСТЭК, Минцифры и ФСО, отвечающая за сегмент Интернет для российских госорганов).

И, как я уже написал выше, многие из мероприятий, составляющих эту «новую» государственную систему защиты информации, уже реализуются и начались реализовываться до заседания Совбеза, которое только подсветило это. Итак, что же это за мероприятия:

  • подготовлен проект поправок в ФЗ «О персональных данных», обязывающий уведомлять обо всех утечках ПДн в РКН и ФСБ,
  • подготовлен законопроект об оборотных штрафах за утечки ПДн,
  • принято Постановление Правительства №860 об анализе защищенности ГИС силами Минцифры (а не ФСТЭК),
  • принят Указ Президента №166 по импортозамещению,
  • принят Указ Президента №250 по дополнительным мерам ИБ,
  • принят Указ Президента №228 о внесении изменений в состав МВК Совбеза по ИБ и включение в нее Генпрокуратуры и Росгвардии,
  • принято Постановление Правительства №834 об упрощении ввоза шифровальных средств,
  • подготовлен законопроект о спецсвязи,
  • подготовлен законопроект «О внесении изменений в статью 21 Федерального закона «О почтовой связи” и Федеральный закон “Об информации, информационных технологиях и о защите информации”,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с типовым положением о заместителе руководителя организации по ИБ,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с типовым положением о подразделении по ИБ,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с требованиями к ПО и железу на объектах КИИ,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с правилами закупки иностранного ПО и железа для объектов КИИ,
  • должны быть подготовлены ФСБ правила аккредитации центров ГосСОПКИ,
  • должны быть подготовлен ФСБ порядок осуществления мониторинга защищенности информационных ресурсов,
  • и т.п.

Если сравнить этот список с тезисами, прозвучавшими на заседании СовБеза, то мы увидим, что многие из упомянутых инициатив уже либо реализованы в виде НПА, либо по ним подготовлены соответствующие проекты. Но есть направления, которые пока еще не облечены в форму нормативных актов (публично, по крайней мере). Речь идет о следующих темах (здесь я пытаюсь рассуждать и прогнозировать):

  • принятие проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры России,
  • внесение изменений в список сфер деятельности, подпадающих под КИИ, а именно включение в него СМИ, а также крупных порталов типа Rutube и т.п., взломы которых могут повлиять на массовые настроения,
  • изменение полномочий Минцифры в области кибербезопасности (я уже в марте фантазировал про министерство кибербезопасности, а 1-го апреля меня даже «записали» в его министры :-),
  • внесение изменений в правила сертификации средств защиты информации и применение иностранных средств защиты информации,
  • внесение изменений в систему подготовки кадров по ИБ, но что и как будет сделано, пока вообще непонятно,
  • ужесточение контроля за VPN, а возможно и их запрет.

На самом деле, по ряду прямых и косвенных фактов можно предположить и о других мероприятиях, которые планируется реализовывать в части усиления ИБ в стране, но говорить о них еще рано; да и неправильно до их официального упоминания.

В любом случае именно такая картина рисуется, когда речь заходит о «создании» государственной системы защиты информации. Ничего нового не создается и если почитать стенограмму, то Главнокомандующий там хвалит всех присутствующих (хотя вне публичного текста была не только похвала) за то, что все было предсказуемо, поэтому были приняты правильные стратегические решения, доказавшие свою работоспособность, но надо просто немного подкрутить и чуть улучшить все, что было сделано раньше. И этому-то и была посвящена закрытая часть заседания Совбеза.

Очевидно, что часть из описанных инициатив носит «бумажный» характер, а другая — вполне практический, который действительно должен привести к росту защищенности информационной инфраструктуры России в условиях роста кибератак и, по сути, их узаконивания со стороны иностранных государств и их пропаганды со стороны иностранных специалистов по ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. пофиг

    сам черт ногу сломит…документ на документе документом командует…одни бумаги

    Ответить
    1. Алексей Лукацкий автор

      Ну не совсем. Просто чтобы что-то делалась в государстве, нужна бумага. Без бумажки ты… как говорилось в известной поговорке

      Ответить
  2. Прекрасное далёко

    Ну вот в том то и дело, что у нас реализуется бумажно-административная безопасность по нормам и в лучших традициях советской госбезопасности. Задавить, запретить, контролировать. Ну вот взять изменения в ФЗ152. 400 тысяч операторов ПДн подключить к ГосСОПКА? Серьезно? А зачем? Что на уровне операторов изменится в их безопасности в обмен на их совсем немалые вложения?
    Согласование трансгранички с РКН. Ну это же за гранью добра и зла. Каждое электронное письмо иностранному контрагенту под это требование подпадает. А смысл согласования? В чем для субъекта ПДн будет выигрыш от того, что РКН согласует или откажет в передаче? Какая ответственность на сам РКН налагается за его решения? Такой вот уровень проработки…
    Ну и так во всем. Цельной системы нет, результат непонятен и не очевиден. Можно предположить только одно — государство получает себе очередные рычаги воздействия на бизнес без какой-либо выгоды для последнего.

    Ответить
    1. Алексей Лукацкий автор

      Ну государство и не должно думать о выгодах для бизнеса — у него своя мотивация и свои хотелки. Увы. Бизнесу только лавировать между всеми этими требованиями. Но засилье выходцев из КГБ/ФСБ, конечно, напрягает. Тут не поспоришь.

      Ответить
      1. Прекрасное далёко

        Как раз строго наоборот, государство должно в первую очередь думать о выгодах для бизнеса. Конечно, в балансе с общими потребностями и общей выгоде. Иначе не будет бизнеса. А без бизнеса государства долго не живут.

        Ответить
        1. пофиг

          вот точно поддерживаю….любой зрелый безопасник…зрелый…понимает…что самое безопасное -это открытость…нонсенс да….а не закрытость. Закрытость порождает…много чего порождает, все это в рф цветет и пахнет. ща вон новые законы просто радуют-закрыть сми, осудить за мысли итдитп…ладно ладно это не политика это новая нормативка этож тоже информационная безопасность)))))))))

          Ответить
        2. Алексей Лукацкий автор

          С чего вдруг? Задача государства — думать о гражданах. Уж точно не бизнес у них на первом месте.

          Ответить
          1. Алексей

            А бизнес не из граждан состоит ли? 😉

          2. Алексей Лукацкий автор

            Нет, конечно. Бизнес — это бизнес.

          3. Сергей

            Алексей, вы это серьезно про отсутствие взаимосвязей между гражданами страны и бизнесом, который эти граждане в стране организуют?

          4. Алексей Лукацкий автор

            Конечно. Цели граждан и бизнеса (и тем более государства) вообще не совпадают. То, что граждане формируют государство и участвуют в бизнесе к делу не относится. Когда гражданин помогает бизнесу зарабатывать — он клиент; когда продавать — он работник бизнеса (или владелец). И в каждой роли у него свои интересы и задачи. Так вот гражданин сам по себе к бизнесу никакого отношения не имеет

          5. Сергей

            Ну это не так же.
            Основа любого государства — его граждане. Бизнес есть один из видов деятельности граждан, направленный на извлечение прибыли для обеспечения собственных потребностей. Государство, как социальный институт, призвано обеспечивать, регулировать, контролировать взаимоотношения на общих, устраивающих большинство граждан в той или иной мере, условиях, которые, в свою очередь направлены на улучшение жизни все тех же граждан. Нельзя рассматривать деятельность государства в отрыве от потребностей граждан (а адекватные законы для ведения бизнеса это тоже потребности граждан). Все случаи, когда государство жило само по себе, пренебрегало нуждами населения, рано или поздно заканчивались не очень хорошо.

          6. Алексей Лукацкий автор

            Учебник по теории государства и права я тоже могу цитировать 🙂 Но мы живем в России. Так то вы правы, но реальность — она другая

          7. Сергей

            То что практика расходится с теорией, не делает теорию плохой, а практику приемлемой.

          8. Алексей Лукацкий автор

            Да, но рассчитывать на теорию, забываю про практику, тоже неразумно. Особенно в России, где управление государством вообще не укладывается ни в какие теории. Ну если не признавать, что у нас что-то между автократией и автаркией