Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть вторая, эпистолярная

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть вторая, эпистолярная
Уважаемые судари и сударыни, позвольте мне продолжить обзор плана мероприятий направления "Информационная безопасность" программы "Цифровая экономика". Можно заметить по прошлой заметке , что не только сам план готовился в спешке (а это уже само по себе гарантирует не самый качественный результат - стратегические документы надо перепроверять по несколько раз, чтобы не упустить все ляпы и неточности, которые потом могут аукнуться), но и его реализация запланирована в очень сжатые сроки, что также вызывает сомнение в реализуемости всей задумки. Но отбросим скепсис и вернемся ко второй части плана, посвященной обеспечению технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики. Что меня зацепило в этом разделе:
  • К июню планируется создать проект архитектуры некой базы знаний по ИБ, которую должен вести Минобрнауки.
  • В прошлый раз я писал, что в первой части плана постоянно смешиваются понятия "массивы больших данных" и "большие данные". Во второй части добавились еще и "большие пользовательские данные", которые будут регулироваться Роскомнадзором.
  • Также до конца 2019 года планируется урегулировать вопрос обработки ПДн облачными провайдерами. За это будет отвечать... нет, не РКН, а Минкомсвязь. Стоимость разработки типовой формы соглашения между пользователем и провайдером "облачных" услуг составляет 1 миллион рублей (чтоб я так жил).
  • РКН, Минкомсвязь, ФСБ, ФСТЭК и МВД (а они-то зачем) должны создать ресурс, обеспечивающий гражданам России доступ к информации о случаях использования их персональных данных, а также возможность отказа от такого использования (судя по всему на базе ЕСИА). К концу 2020-го года его должны ввести в эксплуатацию.
  • Сколково с Минкомсвязью хотят обязать всех пользователей коммуникационных сервисов идентифицироваться. Также к пользователям приравняли и Интернет вещей, который также будет как-то идентифицироваться. Последний пункт, конечно, вызывает огромное количество вопросов. Единые правила по идентификации Интернет-вещей, произведенных разными производителями в разных странах?.. Но идея государства взять под контроль всё и всех, что и кто подключен к Интернету, очевидна.
  • К июню следующего года хотят установить обязательную установку на все ввозимые и создаваемые в РФ компьютеры отечественные антивирусы. Зачем? Кому это нужно (кроме пары отечественных вендоров)? Предвижу запросы со стороны иностранных антивирусных вендоров в ФАС и судебные иски по поводу неравных условий для работы антивирусных компаний. Зачем этот пункт вообще попал в план при и так почти полном доминировании ЛК и Доктор Веба на территории нашей страны (кстати, в первоначальном варианте стояла задача предустанавливать отечественные антивирусы на все компьютеры в ЕАЭС, а не только в России)?
  • На основе национальной электронной библиотеки (вы вообще ею пользовались когда-нибудь?) планируется создать информационную платформу онлайн-курсов по ИБ и ее наполнение (на первой стадии не менее 20 курсов). Этакая "русская ИБ Coursera". Идея неплохая, но отвечать за ее будут Минкомсвязь и Минобрнауки, "известные" на ниве ИБ регуляторы.
  • До конца года хотят сделать прототип аналога ГосСОПКИ не для субъектов КИИ, чтобы и рядовые граждане и компании могли сообщать о признаках противоправной деятельности. Ввести его в действие должны до конца 2019-го года.
  • До конца года должен быть разработан ресурс антивирусного мультисканера и проверки на наличие признаков вредоносной активности. Думаю, уже и исполнитель по данному пункту известен, учитывая что за его выбор отвечает только ФСБ (в то время как за остальные пункты данной задачи также ФСТЭК и Минкомсвязи).
  • ФСБ к концу 2020-го года хочет получить прототип национальной базы знаний индикаторов вредоносной активности. Тут у меня конечно вопросы по срокам. Гораздо более сложные задачи заявлены на конец этого или следующего годов. Тут, правда, тоже накосячили. К этому же сроку должен быть готов не только прототип и архитектура системы, но и сама система должна быть введена в эксплуатацию. Видимо, никто диаграмму Ганта не строил по данному плану и не увидел таких нестыковок. А там ведь еще и проектный офис у этой "Цифровой экономики" есть. Как же там проектами управляют? 
  • До 2024 года хотят создать сеть ргеиональные РКЦКИ в составе ГосСОПКИ (кто-нибудь вообще смотрел раздел "Ожидаемые результаты" для проекта по созданию РКЦКИ?).
  • В разделе по ИБ-образованию написаны здравые вещи, но в целом он выглядит хаотично. Как будет надергали идей из разных источников, включая неслучившие "Основы госполитики в области формирования культуры ИБ в РФ" СовБеза. Подождем, может в целевой программе "Подготовка кадров в области информационной безопасности" на 2020 – 2025 года" будет более целостный взгляд на обучение специалистов, начиная со школьной скамьи (хотя в плане говорится про возраст, начиная с 6-ти лет). В разделе по обучению есть и совсем непонятные мероприятия. Например, "внедрен пилотный многофункциональный центр". Центр чего? Какие у него задачи? Причем тут обучение? Там же в этом разделе встречается аббревиатура, которая нигде не раскрыта и встречается в единственном числе, - "МОЦ". Это явно какой-то центр. Возможно образовательный, а может и окружной. Но фиг знает...
  • В плане говорится о том, что необходимо разработать процедуру обязательной оценки соответствия (сертификации) компонентов платежной инфраструктуры, используемых для переводов денежных средств в НПС. К июлю 2019-го года. А ведь эта процедура уже есть в утвержденном ГОСТ 57580.1, а также в проекте новой редакции 382-П. И уж ГОСТ-то был принят к моменту начала работы над "Цифровой экономикой".
  • Рекомендуется (но не обязывается по тексту) перейти на отечественную криптографию в НПС. К концу 2019-го года ТК26 должен разработать рекомендации по стандартизации по этому вопросу. Дальше дело за ЦБ, который может обязать это сделать или нет.
  • В прошлой заметке я писал, что в первом разделе хотели стимулировать отечественных разработчиков софта и железа, но не производителей ИБ. Во втором разделе (почему не в первом?) решили и про них указать - это большой плюс. Много разных льготных мер хотят запустить до конца 2020-го года (но большая часть до конца 2018-го). Особенно мне понравилось два пункта - "Сформированы требования к иностранным производителям по предоставлению ими протоколов взаимодействия (API) для встраивания отечественных ИБ- продуктов в их разработки там, где это необходимо для обеспечения безопасности страны" и "Утвержден нормативно-правовой акт по внедрению пакета мер по принуждению иностранных производителей ИКТ-продуктов, использующихся на территории РФ, к встраиванию отечественных ИБ-продуктов там, где это необходимо". По принуждению...
  • А вот в чем разница между "Определение соответствия примерных основных профессиональных образовательных программ по специальностям и направлениям подготовки в области информационной безопасности целям и задачам цифровой экономики и их корректировка" и "Определение перечня профессиональных стандартов и внесение изменений в части освоения требований в области информационной безопасности". Ведь об о одном и том же, но в разных разделах и с разным финансированием.
  • Планом предусмотрено активное развитие страхования киберрисков; первоначально добровольного, но рассматривается возможность и обязательного. Особо меня зацепил вот этот пункт, в очередной раз отражающий квалификацию тех, кто готовил и принимал план - "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность ( в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем)" (выделение жирным мое). Вы помните в каком году отменили классификацию ИСПДн? Фактически в 2011-м, после принятия поправок в ФЗ-152, а формально в 2012-м, после принятия соответствующего приказа. Так, блин, о каких классах ИСПДн говорит план Правительства, утвержденный спустя 6 лет после отмены классов ИСПДн? "Ну кто так строит..." (с) Но про финансовую гарантию "хорошо" получается. Или отложи бабки на покрытие рисков (Базель II по ПДн) или сам страхуй. Если это норма пройдет, то это реально подхлестнет рынок "добровольного" страхования киберрисков, о которых очень активно недавно стал говорить Сбербанк. Кстати, в другой строке этого раздела вместо "уровень защищенности" написано "класс защищенности"...
  • Хотят создать реестр аккредитованных экспертных организаций в области компьютерной криминалистики, и систему контроля качества оказываемых ими услуг. В Фейсбуке на эту тему дискуссия была, но к единому мнению мы не пришли. У меня более пессимистичный взгляд на то, кто хочет и будет рулить этой темой, а у коллег более оптимистичный. Рад буду ошибиться. Самое интересное, что хотят нормативно закрепить обязанность привлекать эти аккредитованные организации при расследовании инцидентов. Вот это будет круто - хошь-не хошь, но привлекай их при инцидентах, что потребует отдельного бюджетирования.
  • Опять повторяется пункт (конечно же с отдельным финансированием) про "анализ перспектив развития информационных систем, выявление потребностей в недостающих средствах защиты" из первого раздела (там правда формулировка иная, но суть таже). И про безопасную разработку тоже повторяется раздел.
  • План предусмотривает внесение изменений в Уголовный кодекс Российской Федерации, касающихся расширения криминализации новых типов деяний, совершенных с использованием информационных технологий.
  • Фанфары... Теперь у нас появляется новый термин применительно в Big Data - "большие массивы данных". Ранее у нас были "массивы больших данных", "большие данные" и "большие пользовательские данные". Так вот операторы больших массивов данных должны обмениваться данными об инцидентах с НКЦКИ ФСБ. Зачем? Почему? О каких инцидентах? Кто это придумал?
  • Немало написано про продвижение российских решений по ИБ и идей по стандартизации зарубежом, но без конкретики. Также предполагается создание единых нормативных документов, стандартов и программ обучения по ИБ на уровне ЕАЭС (надо ли это странам ЕАЭС - большой вопрос).
  • Интересно, киберучения упоминаются только в рамках раздела по ИБ в ЕАЭС, но совсем не упоминается в чисто российском контекте.
  • Да-да, суверенный Интернет тоже предусмотрен в этой части (почему не в инфраструктурной?).
  • Интересно, что из финальной части целиком исчез раздел про международный обмен информацией об угрозах, атрибуцию угроз, запрет кибероружия. Вот это обидно. Мы когда на рабочей группе обсуждали это направление как раз говорили, что попытка на международном уровне договориться о суверенности Интернета - это утопия и на ее фоне надо хоть что-то полезное предложить. Но увы... Идеи экспертов не поддержали в очередной раз.
Отдельно хотелось бы пройтись вкратце по разделу финансирования. Считать чужие деньги конечно неправильно, но приятно :-) Особенно когда не можешь их найти в утвержденном бюджете РФ. Но разброс цен на выполнение работ конечно впечатляет. Например, развитие Рунета с учетом модернизации ведомственного центра ГосСОПКИ выделено за три года 0 (ноль) рублей, а на создание национального удостоверяющего центра 1 миллиард 100 миллионов рублей. Вообще, смотря на план финансирования у меня возник вопрос, что значит отсутствие выделения денежных средств на то или иное мероприятие? Что оно не будет реализовано? Что на него реализацию не надо денег? Или что деньги появятся потом, может быть, когда-нибудь? Например, выявление утечек Интернет-трафика не стоит ничего, как и создание национальной базы знаний и ее наполнение, как и строительство РКЦКИ (проектные работы по ним - 1 миллиард), как и единое пространство доверия электронной подписи в рамках ЕАЭС.

Есть в плане классное мероприятие - "создание механизма поддержки центра компетенций по импортозамещению в сфере ИКТ". На это мероприятие (не на поддержку, а на создание механизма поддержки) выделено 203 миллиона рублей. И вот таких вот статей затрат (на мой взгляд совершенно бестолковых) там немало - по 10-20 миллионов рублей тратится на определение и оценку показателей развития ИКТ, актуализацию критериев и классификатора и т.п. Интересно, что на "разработку требований к отечественным средствам ПО/железа/ИБ", "разработку предложений по стимулированию...", "анализ потребностей..." выделяется денег больше, чем на стимулирование самой разработки. На мониторинг использования в российских ЦОДах российских комплектующих и софта/железа (именно российских, что мониторится очень легко) выделено 10 миллионов, а на разработку модели ЦОДа на отечественном софте/железе/комплектущих выделено 0 рублей. Оно и понятно, мониторить использование отсутствующего своего проще, чем разрабатывать свое. На мониторинг закупок отечественного и иностранного ПО выделено 30 миллионов, а на создание базовой инфраструктуры многофакторной цифровой идентификации - 0 рублей. На разработку технологий доверенной третьей стороны на основе российской криптографии выделено 0 рублей, а на разработку проекта дорожной карты по российской криптографии в Рунете - 9 миллионов. На ресурс по оценке уязвимостей в web-приложениях выделено 441 миллионов, а на разработку различных стандартов - 0 рублей. Создание аналога ГосСОПКИ не для КИИ обойдется в 25 миллионов, а ресурса по контролю за использованием ПДн в 235 миллионов (за перве отвечает ФСБ, а за второй - Минкомсвязь, ответственное за весь план мероприятий). Ввод этих центров в эксплуатацию обойдется в 60 и 203 миллиона соответственно. На разработку отечественного ПО, акселерацию стартапов, гранты и т.п. для разработчиков отечественного софта и железа выделено около 15 миллиардов, а на разработку и совершенствование средств ИБ - 800 миллионов рублей.

Пожалуй, все с "Цифровой экономикой". Слишком велико количество ляпов в стратегическом документе такого уровня. И это все я нашел всего лишь за 3 часа чтения документа во время подготовки двух заметок. Наспех слепленный, он также будет и реализовываться. Хотя в контексте " Цифрового кодекса " вероятность его реализации уже вызывает вопросы. Но даже если что-то и будет сделано, то в первую очередь имеющее мало отношения к классической ИБ, а скорее к тому, за что отвечает Минкомсвязь. По цифрам затрат видно, что максимальные суммы выделены на понятные Минкомсвязи темы - импортозамещение, суверенитет Рунета и т.п. На классику ИБ деньги либо не выделены, либо мизерны. А некоторые основополагающие статьи затрат (например, стандартизация) не имеют бюджета вовсе. Зато на образование денег не пожалели - это плюс (если выделят и правильно потратят).


Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!