Хроники Совета Федерации или как пишется Стратегия кибербезопасности

Сегодня мне довелось побывать на 3-м совещании в Совете Федерации, инициированном сенатором Русланом Гаттаровым и посвященном вопросам создания Стратегии кибербезопасности РФ. Тема безусловно важная, т.к. с момента выхода Доктрины ИБ прошло уже больше 10-ти лет и с тех пор многое поменялось — в поведении людей, в технологиях, в Интернет… Но как оказалось не поменялись только наши силовики, иначе как ретроградами после вчерашнего заседания я назвать не могу ;-(

Как не хотелось опускаться на уровень терминологических споров в самом начале работы, но без этого не обошлось. Термин «кибербезопасность» вызвал очередную дискуссию. Кто-то говорил, что он шире термина «информационная безопасность», кто что уже. Кто-то начал спорить, что нельзя вообще использовать буржуинский термин. МИД высказал в почти ультимативной форме пожелание заменить «кибербезопасность» «международной ИБ» (термин, который Россия с 98-го года использует на международной арене). В итоге треть заседания прошла в терминологических спорах «ни о чем».

Вторая треть заседания «невзначай» коснулась связи разрабатываемой Стратегии с иными документами «по теме» и позицией регуляторов. Оказалось, что они не видят смысла самим разрабатывать что-то аналогичное и тем более публичное (звучали даже идеи засекретить инициативу Совета Федерации), но готовы посмотреть на конечный результат и если что… присоединиться и взять на флаг полученный документ. Из уст МИДа и СовБеза звучали слова о том, что зачем такая стратегия нужна, если у России уже есть согласованная всеми ведомствами (МИД, ФСБ, СовБез и т.д.) позиция и она непреклонна и вообще публичное обсуждение таких «скользких» вопросов только на руку нашим врагам за океаном…

В третьей трети заседания обсуждалась сама Стратегия, а точнее ее второй вариант. К слову сказать, то, что получилось, выглядит вполне достойно для второй редакции и очень похоже на аналогичные стратегии иных государств. Помимо общих замечаний, хотели обсуждать и конкретные задачи, но дальше первой так и не продвинулись — речь о центрах мониторинга и реагирования на киберугрозы (вот, кстати, еще один парадокс — в словах «преступность», «терроризм», «угрозы» силовики МИД вполне себе позволяют использовать приставку «кибер-«, а в слове «безопасность» категорически против). Как заявил представитель СовБеза, оказывается, у ФСБ все уже давно есть (речь шла об упоминаемой мной как-то системе СОБКА — Система ОБнаружения Компьютерных Атак) и Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества (с последними двумя пунктами в 31-м указе как-то негусто, но СовБезу виднее). Потом прозвучали слова о том, что единый центр мониторинга киберугроз — это неосуществимо и соответствующие ведомства уже не первый год обсуждают этот вопрос с юридической, технической и философской точек зрения (!) и не могут прийти к взаимопониманию.

Так и закончилось наше заседание. На конструктивное обсуждение разделов Стратегии кибербезопасности времени не осталось. Но поручения по доработке были выданы, работа продолжается. Следующая итерация в марте — думаю текст уже будет в высокой степени готовности. А вот дальше начнется самое интересное — обсуждение Стратегии с профильными ведомствами 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Flint

    О чем документ то? С чем борються? Чего хотят?
    Или натаскали слов из западных документов, половина из которых либо ни о чем, либо не стратегии в прямом понимании этого слова, а оставшаяся половина не имеет смысла в отрыве от их ситуации.
    Кстати терминология для данного документа — главнейшая вещь.

    "Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества"
    Не формализовал, а легализовал. Про бизнес и граждан — сильно.

    Ответить
  2. Ригель

    Это, похоже, не парадокс.
    Устоялась ассоциация "кибер" с плохим, внешним, заокеанским — вражеским.
    А безопасность, она ведь хорошая, наша.
    Это как шпионаж/разведка

    Ответить
  3. Unknown

    Алексей, насколько я помню, попытки докладчиков от МИДа на недавнем ИНФОФОРУМЕ презентовать свое видение вопроса «международной ИБ» привели к некоторым явным ляпам в своей презентации (посмотрите повнимательнее её на сайте ИНФОФОРУМа – 2013, кстати за такие презентации еще и премии положены!?), что говорит об их «желании» приобщиться к деятельности, в которой уже и регулятор имеется ….. ЗАЧЕМ и ПОЧЕМУ? Ну да ладно.
    Вопросы формирования тезауруса, именно в рамках создаваемой Стратегии, считаю прерогативой: специалистов, лингвистов и философов (но только вместе!). Понятно, что меняется информационное пространство и необходимо успевать за этими изменениями. Если ошибки в терминологии будут заложены на уровне Стратегии, то в дальнейшем они будут только накапливаться.

    Ответить
  4. vsv

    Алексей, сейчас в ходу два термина «информационная безопасность» и «безопасность информации». И хотя ты говоришь, что споры по поводу этих терминов идут уже 10 лет, все-таки они есть. И они различаются. «Информационная безопасность» — это состояние защищенности субъекта (см. Доктрину ИБ), а «безопасность информации» — это состояние защищенности ИС (см. ГОСТ Р 50922-2006 ). То есть, если первый раскрывает социальный аспект, то второй – чисто технический и касается защиты информации при ее обработке в ИС. Теперь о «кибербезопасности». Прежде всего видно, что это конечно же «безопасность» с приставкой «кибер», которая свидетельствует о принадлежности «безопасности» в этом сочетании к кибернетике. А что же такое «кибернетика»? Нет, конечно это не «продажная девка империализма» и не «реакционная лженаука», это наука об общих закономерностях процессов управления и передачи информации в различных системах, будь то машины, живые организмы или общество. Таким образом, получается, что понятие «кибербезопасность» – это широкое понятие, обозначающее безопасность процессов управления и передачи информации в различных системах. Но, процессы управления и передачи информации свойственны именно информационным системам. Поэтому, в данном случае это понятие надо рассматривать в более узком смысле и, следовательно, можно с большой вероятностью утверждать, что понятие «кибербезопасность» определяет состояние защищенности информационной системы, то есть это понятие достаточно близко к более «привычному русскому уху»© понятию «безопасность информации», то есть понятию, охватывающему только процессы защиты информации непосредственно при ее обработке, в том числе и в информационных системах. Кстати, это видно и из приведенной картинки и стандарта. Это, наверное тот редкий случай, когда заимствованный термин вполне применим и на нашей российской ниве (как, например, термин «компьютер»), как аналог «безопасности информации» при описании технических аспектов безопасности.
    Но, на сколько я понимаю, Совет Федерации не рассматривает технические аспекты – не барское это дело. И, по всей вероятности, разрабатываемая стратегия захватывает и социальные аспекты. Поэтому в данном контексте применение термина «кибербезопасность», наверное все-таки неправильно, оно сужает границы предметной области.
    P.S. Не могу не согласиться с субъективным мнением Ригеля: чисто интуитивно ассоциации какие-то «шпионские» …

    Ответить
  5. СВП

    Для ориентации в теме — https://www.gov.uk/government/policies/keeping-the-uk-safe-in-cyberspace

    Ответить
  6. СВП

    Сергей Викторович, как всегда внятно и мотивированно… Конечно все шире, и пока тут в головах будет торчать ЭВМ/компьютер, никакой безопасности тут не будет:-) В UK ( мне с ними по ряду обстоятельств приходится общаться) схема решения задач типа КВО неплохо продумана…

    Ответить
  7. Unknown

    Как я понял, снова забуксовали на обсуждении терминологии, предлагали каждый свою версию, и в конце так ни к чему конкретно не пришли 😉

    Ответить
  8. Алексей Лукацкий

    Сергей Викторович, если уж быть до конца непредвзятым, то наряду с упомянутыми вами есть еще и "защита информации", а также "безопасность при использовании ИКТ" (последний используется МИДом).

    Уход от термина ИБ и БИ связан с тем, что первый касается также доступа к информации и защиты от негативного воздействия информации (139-ФЗ, например), а второй не рассматривает социальные аспекты. Поэтому и было принято промежуточное решение об использовании термина "кибербезопасность". Но пока оно не финальное — думаю, что СовБез с МИДом продавят свою линию.

    Ответить