Почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ?

Пока специалисты, выйдя из отпусков и выходных, разбирается в WannaCry (вот тут можно про это более подробно почитать), решил я опубликовать философскую заметку. В продолжение темы Стратегии развития информационного общества. На самом деле речь пойдет не только о Стратегии, но и, например, о Доктрине ИБ, в разработке которой мне довелось участвовать и я даже получил благодарность СовБеза, и о проекте Стратегии кибербезопасности РФ, которая писалась в Совете Федерации, и о ряде других доктринальных и стратегических документах.

Начну с банального тезиса — в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) — есть куча приглашенных для работы над «Стратегией/Доктриной» экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает «вот эта идея прикольная, вставлю ее в финальный документ». И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу — набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как «в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности». Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.

Я всегда считал, что стратегия — это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: «Надо понимать, что стратегия определяет тактику» С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? «Пользователями Интернет в 2016-м году стали», «В России с 2014-го осуществляется подключение» и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния «как есть» в состояние «как хочется». Это и будет стратегия. Но у нас все объединяют вместе и получается…

Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что «отсутствие конкретики и показателей эффективности — это правильно». Если нет измеримой цели, то двигаться можно куда угодно — все направления будут одинаково хороши.

Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура — VSE, которая рассшифровывается как «Vision. Strategy. Execution» («Миссия. Стратегия. Исполнение»). Циничные продавцы превратили ее в «Vision, mission и comission» («Миссия и комиссия», то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.

Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с «Россия должна…» или «Россия может…». Я это «должна» и «может» уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.

Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.

ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Наверное любая гос. стратегия и доктрина будет представлять из апроксимированный плод коллективного разума — в общем и не о чем …

    Ответить
  2. Ржавский Константин

    Существует, у нас, эдакая любовь к «качественным» определениям и не любовь к «количественным». Мысли , подкрепленные цифирями придется тогда обосновывать и потом за них отвечать.

    Ответить
  3. Сергей Борисов

    Если рассматривать стратегию, не как документ планирования, а как некое декларирование, того куда идут все участники ИБ, тогда всё сходится.
    В ИБ много участников, все идут разными дорогами и немного в различных направлениях. Каждый добавил что-то свое. Вот чиновник устроил опрос ключевых участников, от каждого собрал "куда и как". То что имело больше двух совпадений попало в стратегию.

    Ответить
  4. Алексей Лукацкий

    Ну вот об этом и речь

    Ответить
  5. Евгений

    Алексей, день добрый!
    Наткнулся на вот на постановление правительства РФ от 11.05.2017 № 555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» можно услышать Ваше мнение по этому поводу? И очень интересует пункт 3 "Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с ФСТЭК" Пошли по пути ФСБ (там модель угроз тоже надо с ними согласовывать, вот только по факту они шлют нафиг и отвечают что мы ничего не согласовываем", и эти туда же….

    Ответить
  6. Александр Германович

    2 Евгений
    Так там и написано, что МУ и ТЗ согласовывается и с ФСБ, и с ФСТЭК.
    В отсутствие методики определения угроз согласовывать будет очень весело: что бы ни написал, все равно может оказаться неправильно.

    Ответить
  7. Евгений

    2Александр Германович
    Проблема в том, что и ФСТЭК и ФСБ шлют на… говоря что мы ничего не согласовываем 😉 Да и смутно представляю как ФСТЭК должно согласовывать ТЗ на систему, в которой они ничерта не понимают…

    Ответить
  8. Александр Германович

    Кого-то шлют, а кого-то, напротив, заставляют показать МУ.
    Но пока и нет обязанности согласовывать — поэтому и шлют. С 23-го мая слать перестанут.

    ТЗ они согласовывают в части требований по ЗИ, т.е. в той части, в которой понимают.

    Ответить
  9. Алексей Лукацкий

    Угу, все так.

    Ответить
  10. Евгений

    Этот комментарий был удален автором.

    Ответить
  11. Евгений

    грустно, и куча потерянного времени, еще больше бумаги, и это при том, что у них людей даже на выездные проверки нет, теперь им еще и со всей России мукулатура пойдет… Еще спецсвязью небойсь слать придется… Пошел готовить МУ бухгалтерии (знаю, что спорный вопрос) на согласование :):):)

    Ответить
  12. Анонимный

    Не понимаю, что не так. В сфере ИБ государство пока пишет Доктрины и Концепции стратегий. Документы ни разу не программные. Это как Конституция — быть должна, но практической пользы исчезающе мало.
    Если говорить о конкретном документе под названием "стратегия", то взгляните на Стратегию национальной безопасности РФ. Там и цели, и драйверы и кое-какие показатели есть.
    Ну и потом, кто будет выкладывать на обозрение потенциальных "врагов" планы защиты.

    Ответить
  13. Алексей Лукацкий

    Андрей, все страны выкладывают и не боятся. И только мы "в танке"

    Ответить