После предыдущей заметки стоит чуть больше коснуться последней из упомянутых в ней попыток реформирования отрасли ИБ, - программы "Цифровой экономики". Когда ее опубликовали я поначала даже не придал ей никакого значения. Ну мало ли Правительство у нас публикует документов, которые потом так и остаются красивой и популистской идеей. Но потом в Facebook был опубликован призыв Сбербанка (сейчас его, правда, удалили) к экспертам по ИБ поучаствовать в работе над программой. А потом такое предложение поступило по другим каналам. И подумалось мне, а почему бы и нет...
Не сильно задумываясь я написал по предложенному адресу запрос о включении меня во все 16 экспертных групп, которые должны за месяц (уже меньше) подготовить план мероприятий по реализации задач "Цифровой экономики", утвержденной распоряжением Правительства. Написал в четверг - на текущий момент ответы пришли только по 4 группам, а по 2-м был звонок от куратора, но без дальшейшего движения. Посмотрим, во что это все выльется, а пока парочка замечаний, которые у меня родились по факту чтения всего многообразия документов по данной теме.
Самый главное из них заключается в банальнейшем вопросе. Почему не при делах ФСТЭК и ФСБ, два основных регулятора по ИБ? Их вообще нет в списках. За центр компетенций по ИБ отвечает Сбербанк, а за рабочую группу по ИБ - Наталья Касперская. Курирует все направление Минкомсвязь (вот уж где сидят знатные специалисты по ИБ, так это там). Мой опыт участия в различных инициативах, связанные с изменением отрасли ИБ (я о них писал в прошлой заметке) говорит, что отсутствие в инициаторах ФСБ ставит крест на инициативе, какой бы классной и нужной она не была (вспомните про разницу интересов). Программа "Цифровая экономика" же упирается в Правительство, в то время как ФСБ и ФСТЭК подчиняются непосредственно Президенту и могут игнорировать все, что придумают в команде Дмитрия Медведева. Представьте, что вы отвечаете за какой-то вопрос, а его пытаются решить без вашего участия. Каковы будут ваши действия? Вы останетесь в сторонке или наложете вето на все инициативы? Я еще помню, как и почему не взлетела Стратегия кибербезопасности РФ...
Второе замечание касается уже самих задач программы и работы экспертов в экспертных группах при Сбербанке. Я только в выходные для себя понял, что задачи уже сформулированы и изменению не подлежат. Вообще! Они сформулированы в самой программе, которая уже кем-то была разработана и утверждена. Например, есть задача 5.1.2 "Разработка проектов централизованной систему мониторинга и управления единой сети электросвязи". Вот вы можете не хотеть такую систему и даже приводить доводы, что такая система не может быть построена, но ваше мнение никого не интересует. Ваша задача как эксперта - поучаствовать в разработке плана мероприятий по реализации этой задачи. Все!
Или есть задача 5.2.3 по обязательному применению на сетях связи средств защиты от DDoS-атак, фильтрации и анализа трафика, а также борьбы с противоправным контентом. И вы не можете повлиять на саму задачу - от вас ждут конкретных идей по плану мероприятий, позволяющих решить задачу (то есть считается, что с задачей вы согласны).
Или вот перл. Задача 5.11.9 "Разработка требований по безопасности КИИ". Отвечает за нее Сбербанк? С какого ...? За разработку этих требований, а также всех мероприятий, связанных с этими требованиями, отвечает регулятор в области БКИИ ( скорее всего ФСТЭК ). Но ФСТЭК отсутствует в списке тех, кто принимает участие в этой программе (в отличие от плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»). Ну не странно ли это?
А 5.5.8 требует законодательного регулирования трансграничного обмена Большими данными. А вот я против этой очередной РКНовской затеи, но увы. Против быть нельзя - можно разрабатывать план мероприятий.
Наконец 5.8.9 требует законодательно обязать всех предустанавливать отечественные антивирусы на все ввозимые и создаваемые на территории ЕАЭС компьютеры. Вот я буду рад - у меня по корпоративному стандарту совершенно иные решения предусмотрены. Не то, чтобы я совсем уж против, но приобретены уже другие решения; и они же протестированы с нашей инфраструктурой. Интересно, государства ЕАЭС спросили? А если у них нет своего антивирусы? Авторы-то имели ввиду под словом "отечественные" - российские. Но российский Dr.Web или антивирус Касперского не является отечественным, например, в Казастане или Киргизии.
И вот таких вот перлов в программе "Цифровой экономики" дофига. И как с ними соглашаться, если это либо бред, либо задача в интересах вполне определенных лиц, имеющих свои коммерческие интересы? Не хотелось бы, чтобы оказалось, что план мероприятий, на разработку которого привлекают экспертов, оказался уже разработан, а вся эта работа затеяна для того, чтобы просто легитимизировать всю эту программу, которая местами мешает и блокирует развитие отрасли ИБ в России. А слухи о наличии уже разработанного плана мероприятий ходят. И вроде как уже суммы потребных денег определены и даже те, кто их получит. И в чем тогда смысл привлечения экспертов, если уже понятно, сколько, кому и на что будет потрачено?
Хотя есть еще почти непроработанные темы (это видно не только по названию задачи, но и по объему финансирования). Там, безусловно, можно попробовать достичь правильных результатов. Главное понять, что они будут. А то, по крайней мере у меня, сейчас в работе целый ряд разных проектов нормативных документов и приоритеты расставить сложно (особенно учитывая, что Сбербанк выделил на всю работу меньше месяца).
Остается только надеяться, что все будет так, как называется книжка из библиотеки Сбербанка, который и будет основным центром компетенций по вопросам ИБ в программе "Цифровой экономики".
Или есть задача 5.2.3 по обязательному применению на сетях связи средств защиты от DDoS-атак, фильтрации и анализа трафика, а также борьбы с противоправным контентом. И вы не можете повлиять на саму задачу - от вас ждут конкретных идей по плану мероприятий, позволяющих решить задачу (то есть считается, что с задачей вы согласны).
Или вот перл. Задача 5.11.9 "Разработка требований по безопасности КИИ". Отвечает за нее Сбербанк? С какого ...? За разработку этих требований, а также всех мероприятий, связанных с этими требованиями, отвечает регулятор в области БКИИ ( скорее всего ФСТЭК ). Но ФСТЭК отсутствует в списке тех, кто принимает участие в этой программе (в отличие от плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»). Ну не странно ли это?
А 5.5.8 требует законодательного регулирования трансграничного обмена Большими данными. А вот я против этой очередной РКНовской затеи, но увы. Против быть нельзя - можно разрабатывать план мероприятий.
Наконец 5.8.9 требует законодательно обязать всех предустанавливать отечественные антивирусы на все ввозимые и создаваемые на территории ЕАЭС компьютеры. Вот я буду рад - у меня по корпоративному стандарту совершенно иные решения предусмотрены. Не то, чтобы я совсем уж против, но приобретены уже другие решения; и они же протестированы с нашей инфраструктурой. Интересно, государства ЕАЭС спросили? А если у них нет своего антивирусы? Авторы-то имели ввиду под словом "отечественные" - российские. Но российский Dr.Web или антивирус Касперского не является отечественным, например, в Казастане или Киргизии.
И вот таких вот перлов в программе "Цифровой экономики" дофига. И как с ними соглашаться, если это либо бред, либо задача в интересах вполне определенных лиц, имеющих свои коммерческие интересы? Не хотелось бы, чтобы оказалось, что план мероприятий, на разработку которого привлекают экспертов, оказался уже разработан, а вся эта работа затеяна для того, чтобы просто легитимизировать всю эту программу, которая местами мешает и блокирует развитие отрасли ИБ в России. А слухи о наличии уже разработанного плана мероприятий ходят. И вроде как уже суммы потребных денег определены и даже те, кто их получит. И в чем тогда смысл привлечения экспертов, если уже понятно, сколько, кому и на что будет потрачено?
Хотя есть еще почти непроработанные темы (это видно не только по названию задачи, но и по объему финансирования). Там, безусловно, можно попробовать достичь правильных результатов. Главное понять, что они будут. А то, по крайней мере у меня, сейчас в работе целый ряд разных проектов нормативных документов и приоритеты расставить сложно (особенно учитывая, что Сбербанк выделил на всю работу меньше месяца).
Остается только надеяться, что все будет так, как называется книжка из библиотеки Сбербанка, который и будет основным центром компетенций по вопросам ИБ в программе "Цифровой экономики".
