Куда дует ветер перемен?

Написал по глупости в Твиттере, что мозаика сложилась и я теперь знаю, куда дует ветер, и вот приходится раскрывать вырвавшееся высказывание 😉

Итак, что мы имеем? Ст.19, инициированная ФСБ, и приведшая к серьезному ужесточению ситуации на рынке ИБ, которая, как писали многие СМИ, ставит многих под контроль наших регуляторов. Причем ФСТЭК мало кто упоминает, эта структура в парочке совсем неглавная и в нормативной базе она прописана, видимо, до кучи. Одна из самых распространенных версий сделанных поправок — желание урвать побольше и расширить кормушку. Версия допустимая, но… очень уж много этих «но». Я лично в нее не очень верю — у регуляторов и до нового старого ФЗ было много способов заработать достаточно законными методами.

Все на самом деле просто и вполне открытоне раз декларировалось сотрудниками ФСБ на мероприятиях и в прессе. Мотив такой — «национальная безопасность». Из него вытекает множество иных субмотивов — «борьба с терроризмом и экстремизмом», «поддержка отечественного производителя», «обеспечение безопасности» и т.д.

Что говорит в пользу такого, лежащего на поверхности, тезиса? Начну с фрагмента годового отчета одного из ведущих отечественных разработчиков средств защиты (отчет найден путем использования правильных запросов в Google; тайной этот отчет не является, т.к. по закону должен быть доступен акционерам). В нем, в разделе рисков, он на первое место ставит «риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ«. Дальше идет вывод — «Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на  продукцию отечественных производителей программного обеспечения«. Могу предположить, что аналогичные опасения есть и у других игроков рынка, а также у самих регуляторов.

Идем дальше. По данным Совета Безопасности, в российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования. ФСБ в первую очередь беспокоит именно это и они это не раз заявляли. Например, на Неделе российского бизнеса в 2009-м году об этом прямо говорил начальник отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ Леонид Беляев. В своем интвервью он, кстати, ссылается на проект Указа, который я уже обсуждал в блогетут). Основной упор делается на два аспекта — недопущение на российский рынок западных продуктов и сертификация средств защиты информации.

Спустя полтора года об аналогичной проблеме заговорили в Совете Безопасности и информация об этом просочилась в прессу. Если убрать постоянные нападки на Cisco и забавные высказывания, что через маршрутизаторы Cisco проходят линии правительственных АТС-1 и АТС-2 (автору стоило бы добавить для красоты изложения, что через Cisco циркулирует трафик «Кавказа», «Севера», «Ай-Петри-Памира», «Росы» и «Интеграл-Градиента»), то идея материала понятна — все под колпаком и нужно что-то делать.

А годом ранее, в конце 2009-го года в Госдуме проходило заседание экспертного совета при Комитете по безопасности, посвященное той же проблеме. Там также заявлялось о том, что Россия зависима от западных технологий, разработчики которых пляшут под дудку западных же спецслужб. Говорилось про невозможность бороться с киберпреступниками, про готовящиеся кибервойны, законодательство других стран, дающее право спецслужбам контролировать весь Интернет-трафик и т.д. Были предложены ряд мер по недопущению развития ситуации. Число их было магическим — 7. Среди них — «выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления«. Некоторые из мер уже реализовываются.

Это все? Нет. В утвержденной в 2000-м году Доктрине информационной безопасности (а именно она является основополагающим документов в области ИБ в России) среди угроз безопасности информационным и телекоммуникационным средствам и системам, как уже развернутых, так и создаваемых на территории России, числится среди прочего и «использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры«. «Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения ряда задач«, среди которых и «разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств«. А какие системы сертификации средств защиты и каковы их требования все и так знают.

Это далеко не все доказательства моей гипотезы, но достаточно и их (тем более, что учитывая специфичность темы, многие доказательства непубличны). В целом, все это крутится вокруг одного ключевого тезиса — западные продукты доминируют на рынке и продолжают усиливать свои позиции, а это создает угрозу для национальной безопасности России.

Посыл понятен и многие развитые страны следуют той же идеологии, защищая собственные интересы. Только вот методы там выбирают немного иные. Собственно, сценариев на Западе или Востоке ровно два:

  • Развивать свое, постепенно выдавливая все зарубежное. Яркий пример страны, действующей по этому сценарию, — Китай. То, что Китай развивает «свое», сначала скопировав чужое в нарушении прав на интеллектуальную собственность, немного в стороне от темы обсуждения. По этому пути идут страны либо с большим самомнением, либо с большими ресурсами.
  • Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, военка и т.п.), пытаясь внедрить в них собственные разработки. Так поступает большинство стран, иногда даже в критичных приложениях используя западные наработки.

Могу сказать, что часто приводимый пример США (мол они используют только свое и т.д.) в данном случае неприменим. В США разрабатывается чуть ли не 90% всего мирового ПО и железа. Я имею ввиду не физически, а юридически. Собирая железо в Китае или привлекая программистов в Индии, разаботанный продукт все равно считается разработанным в США. Но хочу заметить, что даже в США не гнушаются применением для критичных применений произведенных за пределами США технологий (есть четкое деление продуктов на GOTS и COTS — для применения в государственных и коммерческих организациях соответственно). Только с соблюдением определенных требований и правил.

На упомянутом выше заседании Госдумы было предложена достаточно здравая идея — о содействии развитию отечественного производства средств связи и телекоммуникаций, ПО (хотя все заявления о взятом курсе на собственное СПО после объявления Microsoft основным поставщиком ПО для Сочи-2014 выглядят забавно), микроэлектронной базы. Правда, здравым выглядело бы сначала развить отечественные технологии, а потом минимизировать влияние западных. У нас же получилось наоборот — сначала по сути запретили западные, а как развивать отечественные никто не думает (либо ФСБ поторопилась запретить, либо Минкомсвязи не успевает развить).

Что в итоге? А ничего ;-( Я вижу несколько сценариев развития событий с разными их вероятностями. Описывать их сейчас не буду — задачи такой не стоит. Могу только предположить, что пока, по инерции, многие потребители (включая государственных) будут жить по старым правилам игры, покупаю то, что им надо, а не то, что им навязывают. Ведь мало кого из государевых потребителей волнует (а многие и не знают), что в госорганах уже почти год как должны использоваться средства защиты, сертифицированные в системе ФСБ, а не ФСТЭК. Постепенно ситуация начнет меняться и в среднесрочной перспективе регулятор (или регуляторы), усиливший свое влияние (что будет зависеть от результатов выборов, которые многие считают уже предрешенными), начнет закручивать гайки и требовать применения только решений, соответствующих требованиям (как правило, секретным). А вот в долгосрочной перспективе потребитель столкнется с тем, что спектр предлагаемых ему продуктов очень узок и не позволяет решать все поставленные бизнесом или государством задачи (особенно в рамках госпрограммы «Информационное общество 2012 — 2020»). И тут мне сложно уже предсказывать последствия. Или требования регулятора будут пересмотрены или Россия будет отброшена в своем инновационном развитии далеко назад.

Зато с национальной безопасностью у нас все будет в порядке. Террористы безусловно будут применять только сертифицированные ФСБ продукты. Экстремисты конечно же будут размещать свои материлы только на отечественном хостинге (причем тут экстремисты читайте тут и тут). А диссиденты будут использовать только сети 3G большой тройки (причем тут диссиденты, читайте тут). И все у нас будет в порядке.

Кружит Земля, как в детстве карусель
А над Землей кружат Ветра Потерь
Ветра потерь, разлук, обид и зла
Им нет числа, им нет числа
Им нет числа — сквозят из всех щелей
В сердца людей, срывая дверь с петель
Круша надежды и внушая страх
Кружат ветра, кружат ветра…
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    "Инновационное развитие России"… Чтоб об этом думать, нужно смотреть хотя бы на 2 шага вперед. Думаете, кто-то на олимпе в такую даль заглядывает?

    Ответить
  2. Unknown

    Для существования любого госаппарата нужна соответствующая среда, а для его развития — развивающаяся среда. Для того, чтобы поддерживать престиж этого аппарата — необходимо а) обеспечить приток молодых высококвалифицированных кадров 2) гарантировать кучу привилегий штатным сотрудникам 3) обеспечить достойное существование пенсионеров. ФСБ в этом направлении действует блестяще. Особенно в третьем из последних двух. Стоит только взглянуть на такие организации как Газпром и Роснефть. Что касается второго пункта — то ПДн и СЗИ — далекоооо не самый выгодный аспект. Так что я склонен относить его все же к "престижу фирмы".

    Ответить
  3. Unknown

    Относительно перспектив развития отечественной индустрии ИТ… Не будет никакой индустрии. Будет "псевдоиндустрия" в виде дешевых китайских поделок с отечественными лейблами (по типу МТС ГЛОНАСС), дорогие сертифицированные бренды и может быть какое-то подобие "автоВАЗа" в ИТ. И так будет продолжаться до тех пор, пока страна будет сидеть на трубе, а чинуши будут обирать народ и бизнес.

    Ответить
  4. Анонимный

    А какие системы сертификации средств защиты и каковы их требования все и так знают.

    — Вот тут ты конечно заблуждаешься…

    Ответить
  5. Алексей

    Мысли вслух: поддержка отечественных разработчиков (тем более ИБ) — конечно благо, но нельзя ведь создавать им гипертрофированно тепличные условия, когда они в задавленной конкуренции будут забивать на улучшение соотношения цена/качество.

    Ведь можно их поддерживать, добавив пару оговорок:
    1) там, где уже используются иностранные СЗИ (куплены до 01.07.11), разрешить их по упрощённой процедуре декларирования (включая СКЗИ);
    2) там, где нет отечественных аналогов — разрешить иностранные опять же с декларированием;
    3) разрешить самописные СЗИ — опять же, с декларированием по какому-нить хорошему открытому стандарту.

    Алексей: такой вариант не предлагался регуляторам?

    Тогда нужно будет всего лишь:
    1. Выбрать стандарты для декларирования.
    2. Регуляторам разработать методики проверки корректности "деклараций".

    Ответить
  6. Евгений

    Алексей, странно что только сейчас об этом пишешь.
    Этот мотив — "поддержка и развитие отечественного рынка СЗИ" — я помню озвучивал клиентам еще в 2009 году, как одну из причин принятия такого жесткого законодательства в сфере ПДн.

    Вот только, на мой взгляд, может кто-то наверху и хочет такой благородной цели, однако ведь давно известно к чему приводит конкуренция при малом числе участников, да еще с большим опытом коррупционных схем.

    Будут четко поделенные между участниками рынка конкурсы в госструктуры — по сути плановое распределение бюджетных средств между несколькими крупными игроками. Зачем при этом развивать СЗИ? Зачем держать профессиональных разработчиков, если студенты делают тоже самое и гораздо дешевле?

    Неужели аналитика в ФСБ настолько умерла и они не понимают, что сами загоняют страну в тупик "каменного века технологий"? Или у нас много танков и (будет) подводных лодок, значит мы победим? 🙂

    ЗЫ. пример Автоваза ничему не учит, а жаль

    Ответить
  7. Алексей Лукацкий

    Евгению Родыгину: Ну конечно я заблуждаюсь 😉 Я не понимаю, почему фермер должен покупать МСЭ, сертифицированный на отсутствие НДВ. НАФИГА?

    Ответить
  8. Алексей Лукацкий

    Евгению: Да только сейчас эта проблема встала в полный рост. Раньше было попроще.

    Ответить
  9. Анонимный

    2 Алексей:
    Я про то что знают!
    А фермеру я вообще не знаю зачем МЭ!!! Ему бы хрюшку купить добрую и ласковую 😉

    Ответить
  10. Алексей Лукацкий

    Да фермеру он и не нужен, но почему-то ФСТЭК в 58-м приказе установил, что для защиты нужен межсетевой экран, обязательной сертифицированный не ниже 3-го класса. А для этого нужна сертификация НДВ.

    Ответить
  11. Анонимный

    2 Алексей:
    Ага, сказали суровые лесорубы, — у вас там закладки значит потому и бесит!!!

    Ответить
  12. Евгений

    Так, мало того, что программные, так еще ведь на уровне аппаратной логики встроено однозначно! 🙂

    Ответить
  13. Анонимный

    Интересно — а если кто то найдет…
    Выгонят из страны ? Или мы уже договорились ?..

    Ответить
  14. vsv

    Алексей, почему Вы увязываете 3-й класс МЭ и провепрку на НДВ? по 58-му приказу проверка на НДВ обязательна только для ИСПДн 1 класса, для остальных решение принимает оператор (п. 2.12 Приложения к приказу) Я не дум аю, что у фермера будет ИСПДн 1 класса

    Ответить
  15. vsv

    Кстати и проклассы МЭ в 58-м ничего не сказано. Там дан только набор функциональных требований, которым должен удовлетворять МЭ….

    Ответить
  16. Алексей

    Вопрос: почему удаляются мои сообщения? вроде пишу "в тему"…

    Ответить
  17. max7253

    Если посмотреть на РД ФСТЭК по МЭ и на требования Приказа №58, то, как мне показалось, 3 класс МЭ в Приказе №58 обязателен только для ИСПДн 1 класса.
    Для ИСПДн иных классов достаточно МЭ 4 класса.

    Ответить
  18. Albert

    Лукацкому:"Да фермеру он и не нужен, но почему-то ФСТЭК в 58-м приказе установил, что для защиты нужен межсетевой экран, обязательной сертифицированный не ниже 3-го класса. А для этого нужна сертификация НДВ".
    А что ФСТЭК предлагает работать фермеру с гостайной.

    Ответить
  19. Алексей Лукацкий

    Алексею: Ничего не удалял и даже не заходил на сайт в это время. Я замечать стал, что Гугл какие-то комменты удаляет или просто не размещает. На почту уведомление о них приходит, а на блоге они не отображаются ;-(

    Ответить
  20. Алексей Лукацкий

    Сергей Викторович: Это Вам должно быть виднее 😉 Почему, например, Элвис+ отказался недавно сертифицировать Cisco ASA по 3-му классу, сославщись на устное распоряжение ФСТЭК, что теперь для сертификации на 3-й класс МСЭ обязательно проходить еще и сертификацию на НДВ? И это при том, что Элвис+ на протяжении многих лет сертифицировал на 3-й класс сначала Pix, а потом и ASA…

    А вы говорите, все прозрачно…

    ЗЫ. Я вас, кстати, не обвиняю в желание подорвать бизнес Cisco отказом сертификации или тем, что у нас с вами разные взгляды на новый ФЗ 😉 Тот же мотив у всех остальных сертификационных лабораторий.

    Ответить
  21. Unknown

    Алексей, это — нокаут.

    Ответить
  22. Алексей Лукацкий

    Кто кого нокаутировал?

    Ответить
  23. Алексей Лукацкий

    Надеюсь не меня 😉

    Ответить
  24. Алексей Лукацкий

    Хотя иногда в этом состоянии полезно бывать, чтобы подняться, отряхнуться и с новым задором запалом добить соперника 😉

    Ответить
  25. Анонимный

    "Тот же мотив у всех остальных сертификационных лабораторий."
    Нам такие указания не давали!
    Вообще ИЛ не решает проводить или не проводить… Заявитель подает Заявку официальным письмом а Орган выпускает Решение или мотивированный отказ!

    Ответить
  26. Алексей Лукацкий

    Женя, т.е. если я тебе завтра напишу заявку, ты возьмешься? Я ведь напишу 😉

    Ответить
  27. Анонимный

    Почему мне то…
    Уж тебе бы знать нужно куда слать…
    Вот по шагам расписано с примерами !
    Вписывай ИЛ нас и подавай заявку ! А какое будет Решение посмотрим…
    http://goo.gl/PhZhl

    Ответить
  28. Unknown

    Нет, ты пока победил 🙂 Я про это:

    >Элвис+ отказался недавно сертифицировать Cisco ASA по 3-му классу, сославщись на устное распоряжение ФСТЭК, что теперь для сертификации на 3-й класс МСЭ обязательно проходить еще и сертификацию на НДВ

    Ответить
  29. Анонимный

    Итак ИЛ отказалась проводить испытания… Испытания проводятся в соответствии с Решением Федерального органа — ФСТЭК. Чтобы появилось Решение Заявителю необходимо подать заявку в ФСТЭК с указанием ***(см. ссылку выше). Я так понимаю Заявку с указанием требований схемы сертификации никто не подавал, был разговор с ИЛ и ИЛ отказалась или указала что есть требование при сертификации по 3 классу обязательно проводить и НДВ. Но официального ответа уполномоченного органа нет.
    Посему — Заявитель формирует заявку и подает в ФСТЭК. ФСТЭК решает проводить с НДВ или без… Это они решают.

    Ответить
  30. Алексей Лукацкий

    Алексею: Вот и из спама все убрал 😉 По поводу предложений о декларировании. Во второй версии четверокнижия был текст, что декларировать соответствие — это значит, чтобы вендор прислал в свободной форме декларацию 😉 Только вот понятие декларирование соответствие четкого определено в ФЗ о техрегулировании и самостоятельность тут не пройдет. А регуляторы не смогли (а может не захотели) описать процедуру признания западных сертификатов или "декларирования соответствия".

    Ответить
  31. Алексей

    Ну вот я к тому, что может вам с коллегами ещё раз предложить регуляторам регламентировать процедуру декларирования? Раз уж от оценки соответствия они отказываться не собираются, то с декларированием был бы более-менее реальный компромисс.

    Ответить
  32. Алексей Лукацкий

    Это уровень законодательства, а не регуляторов.

    Ответить