Сегодня мне довелось побывать на 3-м совещании в Совете Федерации, инициированном сенатором Русланом Гаттаровым и посвященном вопросам создания Стратегии кибербезопасности РФ. Тема безусловно важная, т.к. с момента выхода Доктрины ИБ прошло уже больше 10-ти лет и с тех пор многое поменялось — в поведении людей, в технологиях, в Интернет… Но как оказалось не поменялись только наши силовики, иначе как ретроградами после вчерашнего заседания я назвать не могу ;-(
Как не хотелось опускаться на уровень терминологических споров в самом начале работы, но без этого не обошлось. Термин «кибербезопасность» вызвал очередную дискуссию. Кто-то говорил, что он шире термина «информационная безопасность», кто что уже. Кто-то начал спорить, что нельзя вообще использовать буржуинский термин. МИД высказал в почти ультимативной форме пожелание заменить «кибербезопасность» «международной ИБ» (термин, который Россия с 98-го года использует на международной арене). В итоге треть заседания прошла в терминологических спорах «ни о чем».
Вторая треть заседания «невзначай» коснулась связи разрабатываемой Стратегии с иными документами «по теме» и позицией регуляторов. Оказалось, что они не видят смысла самим разрабатывать что-то аналогичное и тем более публичное (звучали даже идеи засекретить инициативу Совета Федерации), но готовы посмотреть на конечный результат и если что… присоединиться и взять на флаг полученный документ. Из уст МИДа и СовБеза звучали слова о том, что зачем такая стратегия нужна, если у России уже есть согласованная всеми ведомствами (МИД, ФСБ, СовБез и т.д.) позиция и она непреклонна и вообще публичное обсуждение таких «скользких» вопросов только на руку нашим врагам за океаном…
В третьей трети заседания обсуждалась сама Стратегия, а точнее ее второй вариант. К слову сказать, то, что получилось, выглядит вполне достойно для второй редакции и очень похоже на аналогичные стратегии иных государств. Помимо общих замечаний, хотели обсуждать и конкретные задачи, но дальше первой так и не продвинулись — речь о центрах мониторинга и реагирования на киберугрозы (вот, кстати, еще один парадокс — в словах «преступность», «терроризм», «угрозы» силовики МИД вполне себе позволяют использовать приставку «кибер-«, а в слове «безопасность» категорически против). Как заявил представитель СовБеза, оказывается, у ФСБ все уже давно есть (речь шла об упоминаемой мной как-то системе СОБКА — Система ОБнаружения Компьютерных Атак) и Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества (с последними двумя пунктами в 31-м указе как-то негусто, но СовБезу виднее). Потом прозвучали слова о том, что единый центр мониторинга киберугроз — это неосуществимо и соответствующие ведомства уже не первый год обсуждают этот вопрос с юридической, технической и философской точек зрения (!) и не могут прийти к взаимопониманию.
Так и закончилось наше заседание. На конструктивное обсуждение разделов Стратегии кибербезопасности времени не осталось. Но поручения по доработке были выданы, работа продолжается. Следующая итерация в марте — думаю текст уже будет в высокой степени готовности. А вот дальше начнется самое интересное — обсуждение Стратегии с профильными ведомствами 😉
О чем документ то? С чем борються? Чего хотят?
Или натаскали слов из западных документов, половина из которых либо ни о чем, либо не стратегии в прямом понимании этого слова, а оставшаяся половина не имеет смысла в отрыве от их ситуации.
Кстати терминология для данного документа — главнейшая вещь.
"Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества"
Не формализовал, а легализовал. Про бизнес и граждан — сильно.
Это, похоже, не парадокс.
Устоялась ассоциация "кибер" с плохим, внешним, заокеанским — вражеским.
А безопасность, она ведь хорошая, наша.
Это как шпионаж/разведка
Алексей, насколько я помню, попытки докладчиков от МИДа на недавнем ИНФОФОРУМЕ презентовать свое видение вопроса «международной ИБ» привели к некоторым явным ляпам в своей презентации (посмотрите повнимательнее её на сайте ИНФОФОРУМа – 2013, кстати за такие презентации еще и премии положены!?), что говорит об их «желании» приобщиться к деятельности, в которой уже и регулятор имеется ….. ЗАЧЕМ и ПОЧЕМУ? Ну да ладно.
Вопросы формирования тезауруса, именно в рамках создаваемой Стратегии, считаю прерогативой: специалистов, лингвистов и философов (но только вместе!). Понятно, что меняется информационное пространство и необходимо успевать за этими изменениями. Если ошибки в терминологии будут заложены на уровне Стратегии, то в дальнейшем они будут только накапливаться.
Алексей, сейчас в ходу два термина «информационная безопасность» и «безопасность информации». И хотя ты говоришь, что споры по поводу этих терминов идут уже 10 лет, все-таки они есть. И они различаются. «Информационная безопасность» — это состояние защищенности субъекта (см. Доктрину ИБ), а «безопасность информации» — это состояние защищенности ИС (см. ГОСТ Р 50922-2006 ). То есть, если первый раскрывает социальный аспект, то второй – чисто технический и касается защиты информации при ее обработке в ИС. Теперь о «кибербезопасности». Прежде всего видно, что это конечно же «безопасность» с приставкой «кибер», которая свидетельствует о принадлежности «безопасности» в этом сочетании к кибернетике. А что же такое «кибернетика»? Нет, конечно это не «продажная девка империализма» и не «реакционная лженаука», это наука об общих закономерностях процессов управления и передачи информации в различных системах, будь то машины, живые организмы или общество. Таким образом, получается, что понятие «кибербезопасность» – это широкое понятие, обозначающее безопасность процессов управления и передачи информации в различных системах. Но, процессы управления и передачи информации свойственны именно информационным системам. Поэтому, в данном случае это понятие надо рассматривать в более узком смысле и, следовательно, можно с большой вероятностью утверждать, что понятие «кибербезопасность» определяет состояние защищенности информационной системы, то есть это понятие достаточно близко к более «привычному русскому уху»© понятию «безопасность информации», то есть понятию, охватывающему только процессы защиты информации непосредственно при ее обработке, в том числе и в информационных системах. Кстати, это видно и из приведенной картинки и стандарта. Это, наверное тот редкий случай, когда заимствованный термин вполне применим и на нашей российской ниве (как, например, термин «компьютер»), как аналог «безопасности информации» при описании технических аспектов безопасности.
Но, на сколько я понимаю, Совет Федерации не рассматривает технические аспекты – не барское это дело. И, по всей вероятности, разрабатываемая стратегия захватывает и социальные аспекты. Поэтому в данном контексте применение термина «кибербезопасность», наверное все-таки неправильно, оно сужает границы предметной области.
P.S. Не могу не согласиться с субъективным мнением Ригеля: чисто интуитивно ассоциации какие-то «шпионские» …
Для ориентации в теме — https://www.gov.uk/government/policies/keeping-the-uk-safe-in-cyberspace
Сергей Викторович, как всегда внятно и мотивированно… Конечно все шире, и пока тут в головах будет торчать ЭВМ/компьютер, никакой безопасности тут не будет:-) В UK ( мне с ними по ряду обстоятельств приходится общаться) схема решения задач типа КВО неплохо продумана…
Как я понял, снова забуксовали на обсуждении терминологии, предлагали каждый свою версию, и в конце так ни к чему конкретно не пришли 😉
Сергей Викторович, если уж быть до конца непредвзятым, то наряду с упомянутыми вами есть еще и "защита информации", а также "безопасность при использовании ИКТ" (последний используется МИДом).
Уход от термина ИБ и БИ связан с тем, что первый касается также доступа к информации и защиты от негативного воздействия информации (139-ФЗ, например), а второй не рассматривает социальные аспекты. Поэтому и было принято промежуточное решение об использовании термина "кибербезопасность". Но пока оно не финальное — думаю, что СовБез с МИДом продавят свою линию.