Верной ли дорогой идёте, товарищи? Эссе о проблемах информационной безопасности в связи с изданием Указа Президента РФ от 01.05.2022 № 250

BIS Journal №3(46)/2022

1 августа, 2022

Верной ли дорогой идёте, товарищи? Эссе о проблемах информационной безопасности в связи с изданием Указа Президента РФ от 01.05.2022 № 250

В последнее время, с началом специальной военной операции, а также приостановки деятельности в России иностранных поставщиков, НКЦКИ [1] ФСБ России фиксирует многократный рост компьютерных атак. По данным экспертов, число кибератак на российские компании в первые месяцы 2022 года выросло в четыре раза по сравнению с тем же периодом 2021 года [2].

Усложнение ландшафта угроз и новые реалии рынка требуют комплексного подхода к кибербезопасности, включающего расширенные системы обнаружения и реагирования на сложные кибератаки. Оперативно реагируя на сложившуюся ситуацию, президент издал 1 мая 2022 года Указ, направленный на усиление информационной безопасности на объектах критической информационной инфраструктуры. Для этого предлагается создать (возродить?) государственную систему защиты информации. Указ касается многих: от таких гигантов, как «Росатом», «Газпром», «Русгидро», РЖД, до каждого юридического лица, являющегося субъектом КИИ и подпадающего под действие Федерального закона от 26.07.2017 № 187-ФЗ.

Указ уже вступил в силу, однако проблемы с его реализацией есть. И именно об этом я хотел бы поговорить. Но прежде давайте немного вспомним историю.

 

ЭКСКУРС В НЕДАЛЁКОЕ ПРОШЛОЕ

Сначала было слово, и слово это было ПД ИТР [3]. И было всё хорошо! Каждый знал, что делать и как делать, потому что в стране была чёткая линия партии. Партия сказала: «Надо», — все ответили: «Есть»! Да, были времена, были и люди… А потом, как сказано в детективном фильме «Чёрный принц», пришёл гегемон [4], и всё пошло прахом. Да, 90-е не очень хочется вспоминать, но это наша история, и без её осмысления мы вряд ли двинемся дальше. Разруха в промышленности (пропустим), дефицит товаров (пропустим), внешнее управление (а это пропустить нельзя), изменение юридического ландшафта (признание верховенства частной собственности). В результате государство частично потеряло контроль над стратегически важными направлениями развития и секретами. И это был период разбрасывания камней. Но даже в это сложное время государство блюдёт свои интересы и пытается обеспечить защиту своих секретов. Выходит постановление Правительства № 912-51 О создании ГСЗИ [5]. Опять всё чётко и ясно, но только для гостайны.

Ну, слава богу, этот период мы прошли. А тут, аккурат, мы начали отстаивать своё право называться РОССИЕЙ и теперь вошли в период собирания камней. В нашем приземлённом мире ИБ-шников всё, что надо защищать, мы называем скромно: объект критической информационной инфраструктуры. А на самом деле ведь это объекты национального достояния. Представьте, не сможет работать КамАЗ или 1-я ЦКБ? Сложно будет! Да и на внешнем фронте не так всё благополучно. Эти информационные хрущи просто достали! К сожалению, нельзя их всех собрать в ведро и сжечь…

А теперь о тех проблемах, которые, на мой взгляд, возникнут при реализации указаний Президента РФ.

 

КАДРЫ РЕШАЮТ ВСЁ!

Одним из главных направлений по совершенствованию информационной безопасности Указ определяет создание во всех организациях специальной структуры, обеспечивающей решение данных вопросов. А для придания должного веса этой проблеме предлагает возложить на заместителя руководителя организации полномочия по обеспечению информационной безопасности (читай — управление такой структурой). При этом персональная ответственность за обеспечение информационной безопасности в организации остаётся непосредственно за руководителем организации.

Таким образом, нам нужны руководители, способные правильно организовать процесс обеспечения информационной безопасности, и спецы, способные правильно эксплуатировать систему защиты информации объекта критической инфраструктуры.

Ну, со вторыми, наверное, проблему решить можно, правда, надо учитывать, что к ним предъявляются специальные требования по компетенции [6]. Будем надеяться, что многочисленные кафедры информационной безопасности различных вузов смогут подготовить достаточное количество специалистов. А вот с первой категорией — проблема. Думаю, что трёхлетнего стажа здесь будет маловато.

Во-первых, для эффективной работы надо хорошо знать не только основы информационной безопасности, но и специфику отрасли, в которой работает организация. А это за 1–3 года не узнаешь. Во-вторых, нужен простой житейский опыт. Только обладая таким опытом, можно принимать взвешенные решения, которые могут затрагивать различные аспекты. Такой опыт в 25–28 лет ещё не приобретается. Такой опыт характерен для более солидных личностей, лет 45 (знаю по своему опыту), когда знания, помноженные на жизненный опыт, позволяют мыслить стратегически и принимать верные решения, основанные на глубоком анализе обстановки. А много ли у нас на сегодня серьёзных 45-летних специалистов, способных взять на себя полномочия заместителя руководителя организации и нести персональную ответственность за обеспечение информационной безопасности? Не уверен. А потребность — большая, ведь объектов критической информационной инфраструктуры — много. Целых 13 сфер деятельности.

Где брать таких специалистов? Проблема!

А сроки построения всей государственной системы защиты информации очень напряжённые. Не получилась бы здесь профанация, когда к управлению процессом обеспечения информационной безопасности придут дилетанты. По всей вероятности, в подготавливаемом Правительством РФ типовом положении о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности, целесообразно определить критерии к компетенции таких ответственных работников, а может быть, даже предусмотреть аттестацию таких специалистов по аналогии с руководителями РСО.

 

ИНТЕРЕСЫ БИЗНЕСА И ГОСУДАРСТВА

Здесь же ещё одна проблема — деньги. Подразделения по обеспечению безопасности информации — это всегда затратные (читай убыточные) подразделения для собственника бизнеса. Конечно, когда речь заходит о федеральных органах исполнительной власти, высших исполнительных органах государственной власти субъектов РФ, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании федеральных законов, можно обойтись директивным решением, и они будут вынуждены создавать такие подразделения. А что делать с остальными, в том числе и обычными юридическими лицами? Обязать их создавать такие подразделения — это означает, что государство вмешивается в процесс хозяйственной деятельности собственника, что, в принципе, недопустимо.

Значит, надо найти баланс между интересами собственника бизнеса и государства. Надо как-то убеждать собственника в необходимости таких действий, социальной ответственности бизнеса и необходимости принимать определённые меры. Директивным давлением здесь проблемы не решишь. Давайте не будем забывать, что по закону именно субъект КИИ проводит категорирование, определяет, есть у него объекты КИИ или нет [7]. Такое положение дел может привести к тому, что у нас формально не будет объектов критической информационной инфраструктуры (нет объекта — нет подразделения, нет «бесполезных» затрат для бизнеса). По всей вероятности, надо предусмотреть какие-то льготы и преференции со стороны государства, которые могли бы заинтересовать руководителей бизнеса экономически создавать специальные подразделения по обеспечению информационной безопасности и проводить комплекс мер по защите информации. Либо создавать чёткую юридическую основу таких структур, подкреплённую жёстким репрессивным механизмом, что, конечно, в современных условиях нежелательно.

Кстати, возлагая персональную ответственность за обеспечение информационной безопасности на руководителей организаций, хотелось бы знать, сколько это «в граммах»? Декларация ответственности — это ещё не ответственность. Ну возложили, ну не сделал. И что? С работы не снимешь — я сам хозяин, взыскание объявишь — ну чёрт с ним, зато прибыль больше, пожурили — да и ладно.

 

ИМПОРТОЗАМЕЩЕНИЕ И СРОКИ

Об этом уже говорено-переговорено. А сколько различных конференций проведено на эту тему! И между тем Президент РФ ставит чёткий и конкретный срок: с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. Казалось бы, речь только о средствах защиты информации. Но если посмотреть на проблему шире, то окажется, что многие существующие сейчас системы защиты информации используют встроенные в операционные системы и СУБД механизмы защиты информации. Более того, нормативные документы требуют в приоритетном порядке применять именно средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов [8].

Следовательно, с 01.01.2025 запрещается использовать в том числе и все зарубежные ОС и СУБД. Готова ли наша промышленность к таким радикальным мерам? Буду рад, если это так, однако… И между тем, как говорил известный политический деятель: «Наши цели ясны, задачи определены. За работу, товарищи!» [9]

***

Написав всё это и ещё раз внимательно перечитав, задался вопросом: а прав ли я в своих рассуждениях? И засомневался. Поэтому передаю вам, коллеги, право дать своё заключение.

 

[1] Национальный координационный центр по компьютерным инцидентам.

[2] https://habr.com/ru/news/t/657473/?

[3] Противодействие иностранным техническим разведкам — термин, который в социалистические времена включал в себя и информационную безопасность. Впоследствии, когда СССР был развален и все стали «друзьями», был заменен на термин ПД ТСР — противодействие техническим средствам разведки, но сути это не изменило.

[4] Гегемон — лицо, государство или общественный класс, осуществляющие лидерство (гегемонию).

[5] Постановление Совета министров — Правительства РФ от 15.09.1993 № 912-51 «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам».

[6] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования», п. 12.

[7] Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Ст. 7.

[8] Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», п. 27.

[9] Заключительные слова выступления на XXII съезде Коммунистической партии Советского Союза (1962) её руководителя, Первого секретаря Никиты Сергеевича Хрущева.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных