9 мая Президент написал Александр Чачава в своей недавней статье.В очередной раз заявлено о необходимости создавать и развивать нормативную базу под ГосСОПКУ. Я про это писал пару лет назад, но с тех пор нормативки по ГосСОПКЕ у нас почти не появилось (кроме методички по созданию центров ГосСОПКИ - часть 1 , 2 и 3 ). Интернет-сайты, соцсети и мессенджеры будут регулировать еще больше. Информационная инфраструктура РФ (читай, Рунет) должен централизованно мониториться и управляться. Как это сделать применительно к изначально децентрализованному Интернету не совсем понятно, но отдельные идеи в прессу просачиваются . Вполне допускаю, что Минкомсвязь вытащит из под полы проект приказа по использованию для управления магистральным оборудованием только сертифицированных по требованиям ИБ средств управления. Также требуется обеспечить устойчивость, безопасность и независимость функционирования российского сегмента Интернет. Про это уже не раз Минкомсвязь выпускал нормативку, но как обычно забивал болт на контрол ее исполнения (по крайней мере РКН, который уполномочен это делать, занимается совсем другими вещами). В очередной раз требуется перейти на использование отечественной криптографии при обмене не только между госорганами и муниципалами, но и с гражданами и предприятиями. Видимо прошлое поручение Президента пока не спешат реализовывать. В информационной инфраструктуре необходимо заменить все импортное на свое родное, а также защитить ее с помощью ГосСОПКИ (раньше ГосСОПКУ распространяли только на критическую информационную инфраструктуру). Требование про непрерывный мониторинг и анализ угроз при наличии ГосСОПКИ, которая это и делает, не совсем понятно. Видимо, разные люди писали. На свои технологии надо также перейти в госорганах, органах местного самоуправления и компаниях с госучастием. В сетях связи должно использоваться оборудование и ПО, производство и ремонт которых (а также запчастей) должно производиться на территории России (и процессоры?). В очередной раз требуется создать сугубо отечественное системное и прикладное ПО, железо и пользовательские устройства (очередной Йотафон?) и чтобы там непременно были встроенные российские средства защиты информации. 31-й пункт вроде посвящен защите данных (не информации), но что хотели сказать авторы не до конца понятно, кроме общих фраз по защиту прав субъектов персданных и контроль трансграничной передачи ПДн. Постулируется необходимость одновременно обеспечивать конфиденциальность пользователей и исключать их анонимность. Предлагается усилить участие России в международных организациях по стандартизации. Технологии ИБ должны стать одним из направлений развития отечественных ИТ. Это позитивно, но хотелось бы увидеть конкретные шаги для этого (пока ни один из регуляторов не сделал ничего для развития отрасли средств защиты информации). Про это в Стратегии написано много, но пока на уровне хотелок. Говорится о трансфере иностранных технологий и применение лучшего зарубежного опыта в сфере ИТ. Интересная идея, но вот как она будет реализовываться на фоне существенного сокращения применения иностранных технологий и по сути постепенного запрета работы иностранных ИТ-компаний в России? Развитие технологий удаленной идентификации и аутентификации пользователей, а также формирование трансграничного пространства доверия к электронной подписи. В НПС рекомендуется применять сертифицированные средства защиты информации. Про это я уже писал в контексте новых требований ЦБ по ИБ. Локализация не только ПДн, но и всей информации, которая создается и обрабатывается иностранными организациями в рамках цифровой экономики России. Это требование будет покруче ФЗ-242 по локализации ПДн россиян.
В целом Стратегия выглядит немного странновато - очень много повторов и пересечений между разделами. Такое впечатление, что документ писался разными экспертами (так оно и было на самом деле), но потом кто-то не очень сведущий в предмете регулирования свел все предложения воедино, не сильно задумываясь над конечным результатом. Главное, чтобы документ читался и в нем были правильные слова. Вот эта задача была выполнена на 100%. Подождем конкретных НПА, которые должны реализовать все указанные в Стратегии положения. В течение полугода они, как минимум, основные, должны быть приняты Правительством и ФОИВами.
