С 10 января 2014 года стал доступным для обсуждения проект Концепции Стратегии кибербезопасности РФ. Документ не большой (всего 10 страниц) и довольно толковый, рекомендую для ознакомления.
После утверждения настоящей Концепции Правительство РФ планирует создать рабочую группу по разработке Стратегии кибербезопасности.
В существующем виде Концепция определяет:
- Актуальность разработки Стратегии кибербезопасности
- Место кибербезопасности в структуре информационной безопасности, в том числе и базовый понятийный аппарат (термины), в частности:
информационная безопасность– состояние защищенности личности, организации и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве
киберпространство – сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства)
кибербезопасность – совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями
- Место Стратегии в системе действующего законодательства
- Цель Стратегии
Целью Стратегии является обеспечение кибербезопасности личности, организации и государства в РФ путем определения системы приоритетов, принципов и мер в области внутренней и внешней политики.
- Принципы Стратегии
- Приоритеты Стратегии в обеспечении кибербезопасности
- Направления деятельности по обеспечению кибербезопасности
Как я уже говорил, документ получился довольно толковый. Хорошо, что дается определение "кибербезопасности", хотя мне довольно странно в нем видетьслова "защищены от максимально возможного числа угроз". Ну, ладно.
Довольно интересно выглядят принципы Стратегии. Особо отметил (так как не ожидал их здесь увидеть, такой подход не свойственен нашим регуляторам):
4) принцип баланса между установлением ответственности за несоблюдение требований кибербезопасности с одной стороны и введением избыточных ограничений - с другой;5) принцип приоритезации рисков кибербезопасности в соответствии с вероятностями реализации киберугроз и размерами негативных последствий от инцидентов кибербезопасности6) принцип систематической актуализации средств и методов обеспечения кибербезопасности в целях противостояния изменяющимся киберугрозам
Приоритеты и направления деятельности по обеспечению кибербезопасности выглядят довольно целостно, чувствуется хороший системный подход. Много говорят про "развитие цифровой грамотности", "гос.поддержку отечественных производителей", "создание и развитие гос.системы обнаружения, предупреждения и ликвидации последствий компьютерных атак". "наращивание международного сотрудничества" и т.д.
Минусов и недочетов не много, я бы отметил:
- Отсыл к Доктрине информационной безопасности. На мой взгляд, документ уже устарел (он 2000 года), и брать его за основу уже не имеет смысла.
- Отсутствие явной связки со Стратегией развития информационного общества РФ, на которую документ ссылается.
- Наличие довольно спорного пункта про кибероружие:
Отдельно необходимо отметить внимание, которое Стратегия, как и Доктрина, уделяет расширению международного сотрудничества. В этом сотрудничестве главенствующую роль играет, прежде всего, выработка совместных мер по нормативному ограничению распространения и применения информационного оружия.
Да и с "обсуждением" этого проекта документа вышло как-то не очень: не понятно до какого срока принимают замечания и предложения, нет ссылки на электронный адрес (однако можно оставлять комментарии непосредственно на веб-странице).
P.S. Еще можете посмотреть документы ISACA по кибербезопасности и APT.
А также комментарии про Стратегию развития ИТ-отрасли России до 2025 года.
А также комментарии про Стратегию развития ИТ-отрасли России до 2025 года.
