На прошлой неделе успешно прошла уже 24-я ежегодная РусКрипто, где мне довелось побывать и послушать немало интересных докладов о том, как у нас развивается теоретическая и прикладная криптография. Доклады еще выложат на сайте конференции, а пока мне хотелось бы поделиться тем, что меня не то, чтобы удивило, но стоило внимания, а именно планы Минцифры в области кибербезопасности.
Мы помним, что основным регулятором в этой области до недавнего времени у нас являлась ФСТЭК, которая отвечала за все, что касается ИБ, исключая вопросы криптографической защиты информации, являющиеся епархией ФСБ. Но в 29-го декабря 2020 года история сделала пируэт и бывший руководитель Службы спецсвязи и информации ФСО, генерал-полковник Владимир Белановский переместился в кресло замминистра цифрового развития. Правда, он, не отработав и трех месяцев, уволился со своего поста, который пустовал недолго. В день космонавтики, 12 апреля 2021 года генерал-лейтенант Александр Шойтов, служивший временно исполняющим обязанности начальника 8 Центра ФСБ, занял пост замминистра цифрового развития. А уже 18 июня в Министерство на должность директора департамента кибербезопасности был назначен Владимир Бенгин (воинское звание неизвестно).
Примерно с этого времени ранее тихое по вопросам ИБ Минцифры стало очень активно заниматься вопросами ИБ; не только новыми (киберполигоны, повышение осведомленности граждан, международная ИБ и т.п.), но постепенно залезая на поляну ФСТЭК (анализ защищенности ГИС, безопасность облаков и т.п.). Есть даже версия, что Шойтов, придя в Минцифры, готовит отпочкование от него целого блока задач, которые могут быть переданы в нечто, что можно было бы назвать ФАПСИ 2.0 (бренд-то до сих пор помнят — тогда и 152-ю инструкцию отменять не надо будет) или, что логичнее, министерством или федеральной службой кибербезопасности. Разговоры о едином органе исполнительной власти в области ИБ ведутся давно, но, правда, дальше слухов дело пока не пошло. Однако сейчас ситуация совсем иная. Роль ИБ в условиях геополитической напряженности и полной незащищенности граждан от проявления действий киберпреступников (гражданами сейчас никто в этой части не занимается) возрастает и вполне логично выделение под нее отдельного ведомства с расширенными полномочиями и ресурсами, а самое главное, единой политикой, отличной от того, что красочно описал Крылов в басне «Лебедь, рак и щука».
Что же может отойти в новое министерство? Весь департамент кибербезопасности Минцифры, вся электронная подпись и удостоверяющие центры оттуда же, всю деятельность ФСТЭК по защите информации, СОРМ, криптография из ФСБ, а также лицензирование и сертификацию по требованиям ИБ (тогда и единую систему сертификации средств защиты можно запустить). А если к этому времени в ЦБ не решится вопрос с ДИБом и его руководством (а что-то там затянулось), то и тему ИБ кредитно-финансовой сферы туда тоже можно отдать. Но что-то я расфантазировался 🙂 Вернемся к Рускрипто и докладу А.Шойтова о том, что делается сейчас в его ведомстве (он, кстати, помимо роли замминистра еще возглавляет и Академию криптографии).
Обратите внимание на достаточно активную научно-исследовательскую работу, которая ведется под кураторством Минцифры. Если темы криптографии выглядят в списке органично, то выявление инцидентов ИБ и безопасность облаков является прямым «нападением» на сферы деятельности ФСБ и ФСТЭК.
Дальше больше. В этом году под кураторством Минцифры будут выполнены работы по применению искусственного интеллекта для защиты от компьютерных атак (на Рускрипто секция была про ИИ в ИБ), разработка методов обезличивания персональных данных (на Рускрипто даже секция была отдельная про это), определение авторства с помощью ИИ (в эпоху фейков очень актуальная задача). На следующий год в планах развивать успехи в ранее озвученных областях, а также исследовать вопросы безопасности ИИ в автономных транспортных средствах (с 25-го марта в Москве и Сколково уже разрешили ездить такому транспорту) и безопасность биометрических ПДн (и вновь ФСТЭК отодвинули от их темы).
По облачным технологиям перехват инициативы у ФСТЭК может быть объясним тем, что именно Минцифры отвечает за Гостех, который целиком и полностью построен на облачных вычислениях, а ФСТЭК так и не довела до ума проект ГОСТа «Требования по защите информации, обрабатываемой с использованием технологии облачных вычислений«. Этот стостраничный стандарт был разработан почти 10 лет назад, но так и не был принят (хотя параллельно с ним подготавливаемый ГОСТ Р 56938-2016 «Защита информации при использовании технологий виртуализации» был принят). То есть никаких методических рекомендаций или просто требований по облакам ФСТЭК так и не успела разработать и в планах у нее этого направления нет — регулятор сфокусировался на совсем иных темах.
С точки зрения исторически более активной Минцифры ситуация выглядит перспективно, чего не скажешь о взгляде с точки зрения ФСТЭК. Последние 2 года регулятор, на мой взгляд со стороны, проигрывает эту битву даже на традиционном для себя поле, не говоря уже о том, чтобы взять на себя какие-то новые обязательства и планы. Это может закончиться достаточно печально. Мне лично ФСТЭК всегда больше импонировала, чем та же ФСБ; более закрытая и менее прогрессивная в части ИБ структура.
Кстати, о ФСБ. Они тоже сделали ряд интересных выступлений на РусКрипто, но я бы хотел отметить только одно из них, а именно посвященное новым «Требованиям к средствам многофакторной аутентификации, использующим в качестве одного из факторов биометрические данные». По мне, так эта тема явно относится к епархии ФСТЭК, которая исторически занималась аутентификацией и идентификацией, выпустила ГОСТ по этой тематике и даже сертифицировала такие решения. Но сначала ФСБ активно вовлекается в работы по ЕБС (идентификация и аутентификация с помощью биометрических ПДн). Потом в Положении 747-П Банка России появляется требование о применении средств двухсторонней аутентификации, прошедших оценку соответствия по требованиям ФСТЭК. И вот теперь требования к MFA-решениям. Учитывая, что у ФСБ, помимо СКЗИ, уже есть требования к МСЭ, системам обнаружения атак, антивирусам, многопротокольному сетевому оборудованию, а также готовятся требования к средствам ГосСОПКИ, то скоро 8-й Центр обгонит ФСТЭК по числу разработанных документов по оценке соответствия.
Я бы на месте ФСТЭК сейчас объявил какой-нибудь краудсорсинговый проект, отбросил в сторону политику засекречивания всего и вся, организовал бы сбор экспертов с мест (не от лицензиатов), собрал бы с них предложения по актуальным темам для регулирования, профинансировал бы разработку требований, собрал бы обратную связь и оперативно выпустил бы все в свет. Даже в виде методических документов, а не нормативных. Боюсь, правда, что ничего из этого не получится 🙁
А пока стоит посмотреть, что еще в этом году анонсирует Минцифры. Учитывая то внимание, которое к деятельности этого министерства проявляет наш гарант, допускаю, что и ресурсы им будут выделены, и полномочия предоставлены, и увидим мы в этом году что-нибудь важное и полезное в области ИБ.
Регулятор в лице ФСТЭК России все больше и больше засекречивается, чтобы как можно меньше отвечать на актуальные вызовы в вопросах ИБ и КИИ! Разработанные ГНИИИ ПТЗИ ФСТЭК России методические документы с двумя «сережками» в практической деятельности не используется ни одним лицензиатом и никогда не будут использоваться.
Лицензирование в области защиты государственной тайны в части (ТЗИ, ССЗИ, ПД ИТР) более 20 лет не имеет нормативную базу, все какими-то рекомендациями, письмами и «советами» регулируется этот вид деятельности.
Если честно, то я все еще надеюсь, что ФСТЭК извлечет уроки из происходящего. Они сейчас проигрывают по всем фронтам — Минцифры и ФСБ отъедают у них темы, но даже оставшиеся ФСТЭК не может вытянуть
Может будет объединение.
Или восстанет ИИ, которое делает Минцифра, а ФСТЭК будет нас от него защищать.
Деньги, бюджет =) мало. что меняется. Только пыль всё также оседает.