Одной из идей, прозвучавших на заседании Совета Федерации при обсуждении Стратегии кибербезопасности Российской Федерации стало предложение государственным органам публично предоставлять ежегодную отчетность о киберпреступлениях против госорганов, о подготовленности госорганов к обеспечению кибербезопасности, о защите критически важных объектов. Я не помню, кто выступил инициатором этого предложения, но воспринято оно было многими в штыки. Противники высказывали идею, что такая публикация послужит снижению уровня защищенности российских госорганов и откроет ворота для иностранных хакеров .
Спор этот бесконечный и я не буду в него вступать. Но хотелось бы сослаться на последних два американских отчета, которые демонстрируют, как можно, не раскрывая государственных тайн, показать проблему и наметить шаги для ее устранения. Первый отчет "Resilient Military Systems and the Advanced Cyber Threat" посвящен не самой высокой защищенности американских военных информационных систем. Я про этот отчет уже писал недавно и не буду повторяться. Второй отчет также свежий (февраль 2013-го года) - "CYBERSECURITY. National Strategy, Roles, and Responsibilities Need to Be Better Defined and More Effectively Implemented". Выпущен он американской Счетной палатой (она у них там активно проводит также и аудит безопасности госорганов) и посвящен анализу уровня защищенности американских госорганов и критически важных объектов.
Без погружения в детали, этот отчет указывает на критические места в системе кибербезопасности госорганов и КВО США:
Этот отчет показывает нам усилия американского правительства в области эволюции подходов по защите США от кибернападений.
Из этого отчета мы узнаем, насколько активно госорганы внедряют защитные меры, предусмотренные FISMA (аналог нашего 149-ФЗ применительно к госорганам), FIPS-200 и SP800-53 (аналог нашего 17-го приказа ФСТЭК или СТР-К). И картина меняется от госоргана к госоргану. Где-то уровень реализация приближается к 100%, а где-то и выше 0 не поднялся. Это, кстати, хороший пример того, что стоило бы реализовать ФСТЭК или ФСБ или Совету Безопасности по части мониторинга уровня ИБ в стране.
И дальше по тексту еще много чего написано, в деталях и с примерами. В этом госоргане так-то обстоит дело, а в этом - так-то. Если бы я был американским гражданином и налогоплательщиком, мне бы было понятно, с какими проблемами сталкиваются американские чиновники в области кибербезопасности. А им в свою очередь понятно, что есть такой независимый орган, как Счетная палата, которая выявит все плохое и расскажет об этом (не раскрывая госсекретов) гражданам. А это, в свою очередь, должно стимулировать американские госорганы делать что-то правильное для повышения своего уровня защищенности.
Правда, боюсь, что у нас эта идея все-таки не пройдет. А если и пройдет, то на такие отчеты сразу навесят какой-нибудь гриф, например, "не для прочтения вслух", и будем мы в неведении относительно реального уровня защищенности, а всю информацию будем получать из вот таких вот мастер-классов .
Спор этот бесконечный и я не буду в него вступать. Но хотелось бы сослаться на последних два американских отчета, которые демонстрируют, как можно, не раскрывая государственных тайн, показать проблему и наметить шаги для ее устранения. Первый отчет "Resilient Military Systems and the Advanced Cyber Threat" посвящен не самой высокой защищенности американских военных информационных систем. Я про этот отчет уже писал недавно и не буду повторяться. Второй отчет также свежий (февраль 2013-го года) - "CYBERSECURITY. National Strategy, Roles, and Responsibilities Need to Be Better Defined and More Effectively Implemented". Выпущен он американской Счетной палатой (она у них там активно проводит также и аудит безопасности госорганов) и посвящен анализу уровня защищенности американских госорганов и критически важных объектов.
Без погружения в детали, этот отчет указывает на критические места в системе кибербезопасности госорганов и КВО США:
- Число инцидентов ИБ в госорганах США растет (с 2006 года рост составил 782%).
- Оставляет желать лучшего система оценки рисков и мониторинга ИБ. Только треть крупнейших госорганов США внедрили у себя практику управления рисками в соответствие с FISMA (в 2011-м году этот показатель был выше на 50%).
- Острота проблемы обмена информацией об инцидентах с ИБ хоть и снизилась, но все равно остается.
- Отсутствуют четкие и измеримые планы обучения и повышения осведомленности чиновников и работников КВО в части информационной безопасности.
- Законодательная обязанность госорганов заниматься исследованиями в области ИБ (у нас о таком только мечтать) реализуется из рук вон плохо.
- Плохо реализовано международное сотрудничество в области совместной борьбы с угрозами в информационном пространстве.
- И т.д.
Этот отчет показывает нам усилия американского правительства в области эволюции подходов по защите США от кибернападений.
Из этого отчета мы узнаем, насколько активно госорганы внедряют защитные меры, предусмотренные FISMA (аналог нашего 149-ФЗ применительно к госорганам), FIPS-200 и SP800-53 (аналог нашего 17-го приказа ФСТЭК или СТР-К). И картина меняется от госоргана к госоргану. Где-то уровень реализация приближается к 100%, а где-то и выше 0 не поднялся. Это, кстати, хороший пример того, что стоило бы реализовать ФСТЭК или ФСБ или Совету Безопасности по части мониторинга уровня ИБ в стране.
И дальше по тексту еще много чего написано, в деталях и с примерами. В этом госоргане так-то обстоит дело, а в этом - так-то. Если бы я был американским гражданином и налогоплательщиком, мне бы было понятно, с какими проблемами сталкиваются американские чиновники в области кибербезопасности. А им в свою очередь понятно, что есть такой независимый орган, как Счетная палата, которая выявит все плохое и расскажет об этом (не раскрывая госсекретов) гражданам. А это, в свою очередь, должно стимулировать американские госорганы делать что-то правильное для повышения своего уровня защищенности.
Правда, боюсь, что у нас эта идея все-таки не пройдет. А если и пройдет, то на такие отчеты сразу навесят какой-нибудь гриф, например, "не для прочтения вслух", и будем мы в неведении относительно реального уровня защищенности, а всю информацию будем получать из вот таких вот мастер-классов .
