Начну с банального тезиса — в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) — есть куча приглашенных для работы над «Стратегией/Доктриной» экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает «вот эта идея прикольная, вставлю ее в финальный документ». И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу — набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как «в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности». Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.
Я всегда считал, что стратегия — это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: «Надо понимать, что стратегия определяет тактику» С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? «Пользователями Интернет в 2016-м году стали», «В России с 2014-го осуществляется подключение» и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния «как есть» в состояние «как хочется». Это и будет стратегия. Но у нас все объединяют вместе и получается…
Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что «отсутствие конкретики и показателей эффективности — это правильно». Если нет измеримой цели, то двигаться можно куда угодно — все направления будут одинаково хороши.
Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура — VSE, которая рассшифровывается как «Vision. Strategy. Execution» («Миссия. Стратегия. Исполнение»). Циничные продавцы превратили ее в «Vision, mission и comission» («Миссия и комиссия», то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.
Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с «Россия должна…» или «Россия может…». Я это «должна» и «может» уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.
Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.
ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).
Наверное любая гос. стратегия и доктрина будет представлять из апроксимированный плод коллективного разума — в общем и не о чем …
Существует, у нас, эдакая любовь к «качественным» определениям и не любовь к «количественным». Мысли , подкрепленные цифирями придется тогда обосновывать и потом за них отвечать.
Если рассматривать стратегию, не как документ планирования, а как некое декларирование, того куда идут все участники ИБ, тогда всё сходится.
В ИБ много участников, все идут разными дорогами и немного в различных направлениях. Каждый добавил что-то свое. Вот чиновник устроил опрос ключевых участников, от каждого собрал "куда и как". То что имело больше двух совпадений попало в стратегию.
Ну вот об этом и речь
Алексей, день добрый!
Наткнулся на вот на постановление правительства РФ от 11.05.2017 № 555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» можно услышать Ваше мнение по этому поводу? И очень интересует пункт 3 "Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с ФСТЭК" Пошли по пути ФСБ (там модель угроз тоже надо с ними согласовывать, вот только по факту они шлют нафиг и отвечают что мы ничего не согласовываем", и эти туда же….
2 Евгений
Так там и написано, что МУ и ТЗ согласовывается и с ФСБ, и с ФСТЭК.
В отсутствие методики определения угроз согласовывать будет очень весело: что бы ни написал, все равно может оказаться неправильно.
2Александр Германович
Проблема в том, что и ФСТЭК и ФСБ шлют на… говоря что мы ничего не согласовываем 😉 Да и смутно представляю как ФСТЭК должно согласовывать ТЗ на систему, в которой они ничерта не понимают…
Кого-то шлют, а кого-то, напротив, заставляют показать МУ.
Но пока и нет обязанности согласовывать — поэтому и шлют. С 23-го мая слать перестанут.
ТЗ они согласовывают в части требований по ЗИ, т.е. в той части, в которой понимают.
Угу, все так.
Этот комментарий был удален автором.
грустно, и куча потерянного времени, еще больше бумаги, и это при том, что у них людей даже на выездные проверки нет, теперь им еще и со всей России мукулатура пойдет… Еще спецсвязью небойсь слать придется… Пошел готовить МУ бухгалтерии (знаю, что спорный вопрос) на согласование :):):)
Не понимаю, что не так. В сфере ИБ государство пока пишет Доктрины и Концепции стратегий. Документы ни разу не программные. Это как Конституция — быть должна, но практической пользы исчезающе мало.
Если говорить о конкретном документе под названием "стратегия", то взгляните на Стратегию национальной безопасности РФ. Там и цели, и драйверы и кое-какие показатели есть.
Ну и потом, кто будет выкладывать на обозрение потенциальных "врагов" планы защиты.
Андрей, все страны выкладывают и не боятся. И только мы "в танке"