ИБ делает разворот на 360 градусов и нас ждет ее реформа?

ИБ делает разворот на 360 градусов и нас ждет ее реформа?

20 мая весь мир ИБ облетела новость о том, что президент страны на заседании Совета Безопасности объявил о создании государственной системы защиты информации, что многими стало восприниматься как нечто революционное, что должно изменить расклад сил на отечественном рынке ИБ и поднять тему на недосягаемую высоту. Мне кажется, что многие, прочитавшие новость о прошедшем в режиме видеоконференции (пандемия же давно кончилась или готовимся к обезьяньей оспе?) заседании Совета Безопасности сделали не совсем верные выводы, которые исходят из предположения, что некое публичное событие (как заседание Совбеза) — это начало некой истории. На самом деле, это в корне неверное предположение; публичное событие может быть как финальной точкой в некой истории (например, «урок истории» от Президента в феврале этого года ярко демонстрирует этот тезис — после него началась военная операция, которая начала готовиться задолго до самого выступления), так и промежуточной. Вот и заседание Совбеза 20-го мая из этой же истории.

Что же прозвучало на нем (согласно публичной части стенограммы) и комментариев Секретаря Совбеза Н.П.Патрушева по итогам заседания (тезисно):

  • С ИБ у нас не все хорошо и надо что-то менять (прямо это не сказано, но судя по разным признакам и кулуарным общениям дело именно так и обстоит).
  • Против России действуют кибервойска отдельных государств. Атакам подвергаются, среди прочего, крупные порталы, сайты СМИ и госорганов.
  • Растет число фейков, уходят иностранные поставщики ПО и «железа», а использование последних создает дополнительные риски.
  • Необходимо обеспечить непрерывность мониторинга и обеспечения ИБ на объектах КИИ.
  • На трети предприятий в области КИИ отсутствуют подразделения по ИБ.
  • Требуется координация усилий всех участвующих в ИБ КИИ сторон.
  • Современные инфраструктуры субъектов КИИ и госорганов уязвимы — необходимо повышать их защищенность.
  • Проблема утечек конфиденциальной информации и персональных данных граждан только растет. Поэтому с ней надо что-то делать, в том числе за счёт более строгого контроля правил использования служебной техники, коммуникаций, связи.
  • Власти смущает анонимность глобального информационного пространства.
  • Будут усилены научно-исследовательские и опытно-конструкторские работы, в том числе в области технологий искусственного интеллекта и квантовых вычислений.
  • Планируется развитие ГосСОПКИ.
  • Отдельное внимание будет уделено профессиональной подготовке и повышению квалификации специалистов в области информбезопасности.
  • На этом заседании СовБеза были приглашены помимо его постоянных членов также руководители Минцифры, ФСТЭК и ФСО, начальница ГПУ Президента, а также начальник Контрольного управления Президента и зампред Правительства, отвечающий за промышленность, включая оборонку и радиоэлектронику, а также обороноспособность страны.

По итогам было предложено не только активизировать усилия по созданию собственной электроники, но и создать государственную систему защиты информации. И вот тут мы делаем разворот на… 360 градусов.

На самом деле эта система в России существует уже много десятилетий.

Да, первоначально она создавалась для защиты государственной тайны, но потом опыт в ее создании плавно перетек и на иную конфиденциальную информацию. Перетек не очень удачно, так как динамичность коммерческого, открытого рынка и менее жесткие требования к обеспечению конфиденциальности, защиты коммерческой и других видов тайн, мешали применять к нему заскорузлые и медленно изменяемые подходы к защите гостайны. Поэтому назрела необходимости дать толчок отрасли, внедрив новые подходы к защите, базирующиеся на непрерывном процессе мониторинга ИБ. Я думаю многие уже заметили, что в этом направлении наши регуляторы (ФСТЭК, ФСБ, ЦБ) движутся уже не первый год, но события 24-го февраля подтолкнули этот процесс, заставив подготовить план по изменению законодательства (глава ГПУ Брычева там именно для этого) и контролировать его исполнение (для этого нужен начальник Контрольного управления Шальков), которые коснутся всех основных регуляторов (для этого там из «новичков» ФСТЭК, Минцифры и ФСО, отвечающая за сегмент Интернет для российских госорганов).

И, как я уже написал выше, многие из мероприятий, составляющих эту «новую» государственную систему защиты информации, уже реализуются и начались реализовываться до заседания Совбеза, которое только подсветило это. Итак, что же это за мероприятия:

  • подготовлен проект поправок в ФЗ «О персональных данных», обязывающий уведомлять обо всех утечках ПДн в РКН и ФСБ,
  • подготовлен законопроект об оборотных штрафах за утечки ПДн,
  • принято Постановление Правительства №860 об анализе защищенности ГИС силами Минцифры (а не ФСТЭК),
  • принят Указ Президента №166 по импортозамещению,
  • принят Указ Президента №250 по дополнительным мерам ИБ,
  • принят Указ Президента №228 о внесении изменений в состав МВК Совбеза по ИБ и включение в нее Генпрокуратуры и Росгвардии,
  • принято Постановление Правительства №834 об упрощении ввоза шифровальных средств,
  • подготовлен законопроект о спецсвязи,
  • подготовлен законопроект «О внесении изменений в статью 21 Федерального закона «О почтовой связи” и Федеральный закон “Об информации, информационных технологиях и о защите информации”,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с типовым положением о заместителе руководителя организации по ИБ,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с типовым положением о подразделении по ИБ,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с требованиями к ПО и железу на объектах КИИ,
  • подготовлен и будет скоро опубликован проект Постановления Правительства с правилами закупки иностранного ПО и железа для объектов КИИ,
  • должны быть подготовлены ФСБ правила аккредитации центров ГосСОПКИ,
  • должны быть подготовлен ФСБ порядок осуществления мониторинга защищенности информационных ресурсов,
  • и т.п.

Если сравнить этот список с тезисами, прозвучавшими на заседании СовБеза, то мы увидим, что многие из упомянутых инициатив уже либо реализованы в виде НПА, либо по ним подготовлены соответствующие проекты. Но есть направления, которые пока еще не облечены в форму нормативных актов (публично, по крайней мере). Речь идет о следующих темах (здесь я пытаюсь рассуждать и прогнозировать):

  • принятие проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры России,
  • внесение изменений в список сфер деятельности, подпадающих под КИИ, а именно включение в него СМИ, а также крупных порталов типа Rutube и т.п., взломы которых могут повлиять на массовые настроения,
  • изменение полномочий Минцифры в области кибербезопасности (я уже в марте фантазировал про министерство кибербезопасности, а 1-го апреля меня даже «записали» в его министры :-),
  • внесение изменений в правила сертификации средств защиты информации и применение иностранных средств защиты информации,
  • внесение изменений в систему подготовки кадров по ИБ (например, вчера уже заявили в СМИ об отказе Болонской системы, делящей студентов на бакалавров и магистров),
  • ужесточение контроля за VPN, а возможно и их запрет.

На самом деле, по ряду прямых и косвенных фактов можно предположить и о других мероприятиях, которые планируется реализовывать в части усиления ИБ в стране, но говорить о них еще рано; да и неправильно до их официального упоминания.

В любом случае именно такая картина рисуется, когда речь заходит о «создании» государственной системы защиты информации. Ничего нового не создается и если почитать стенограмму, то Главнокомандующий там хвалит всех присутствующих (хотя вне публичного текста была не только похвала) за то, что все было предсказуемо, поэтому были приняты правильные стратегические решения, доказавшие свою работоспособность, но надо просто немного подкрутить и чуть улучшить все, что было сделано раньше. И этому-то и была посвящена закрытая часть заседания Совбеза.

Очевидно, что часть из описанных инициатив носит «бумажный» характер, а другая — вполне практический, который действительно должен привести к росту защищенности информационной инфраструктуры России в условиях роста кибератак и, по сути, их узаконивания со стороны иностранных государств и их пропаганды со стороны иностранных специалистов по ИБ.

Заметка ИБ делает разворот на 360 градусов и нас ждет ее реформа? была впервые опубликована на Бизнес без опасности .

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!