30.8.13

Перспективы изменения законодательства в области защиты информации в НПС (презентация)

Выступал я вчера на конференции "Электронные платежные системы в России" с рассказом о перспективах изменения законодательства в области защиты информации в Национальной платежной системе. Времени было немного - всего 15 минут. Поэтому раскрыть особенно тему не удалось, но ключевые нормативные акты я все-таки в презентацию вместил. Думаю, будет полезно тем, кто попадает под регулирование Банк России; как в контексте НПС, так и в контексте создания нового мегарегулятора.


29.8.13

Кто такой "сотрудник" в контексте ПП-1119?

Наконец-то я получил официальную позицию регуляторов на вопрос "Кто же такой сотрудник, упомянутый в ПП-1119?" Этот вопрос волнует многих операторов персональных данных и есть даже те, кто опираясь на эту правовую коллизию, оптимизирует свои усилия в части выполнения требований законодательства по персональным данным. А коллизия проста - в Трудовом Кодексе нет понятия "сотрудник", но есть "работник". А раз такого понятия нет, то получается, что и ПП-1119 на львиную долю операторов ПДн не распространяется. Именно на львиную долю, т.к. все-таки понятие "сотрудник" можно встретить в ряде нормативных актов.

Понятие "сотрудник" в законодательстве встречается только по отношению к правоохранительным и силовым органам - ФСБ, полиции, военнослужащим, органам по контролю за оборотом наркотических средств и психотропных веществ, органам, уполномоченным на осуществление функций по контролю и надзору в сфере миграции, органам или учреждениям уголовно-исполнительной системы.

И есть еще такое понятие, как "внештатный сотрудник". Например по законодательству об органах безопасности это лица, содействующие ФСБ на гласной и негласной основе в качестве внештатных сотрудников. По закону о полиции внештатными сотрудниками полиции являются граждане, изъявившие желание оказывать помощь полиции и привлекаемые к сотрудничеству на добровольной, гласной и безвозмездной основе. Т.е. законодательство подразумевает что сотрудники - это лица, имеющих специальный статус и наделяемые специальными полномочиями, установленными федеральными законами, не связанными с трудовыми отношениями, регулируемыми Трудовым Кодексом. Так по крайней мере говорит законодательство. Но учитывая кто писал ПП-1119 (а это была ФСБ) есть и другая точка зрения. Ведь ФСБ не имеет (в прямом смысле этого слова) работников - у нее есть только сотрудники - свои или внештатные. А в Трудовой Кодекс юристам ФСБ видимо лень было залезать. А прислушаться к мнению экспертов (а об этом говорили неоднократно) видимо не позволила гордость. Вот и получилось, что в ПП-1119 попало понятие, которое с юридической точки зрения имеет вполне конкретное значение, но авторы ПП-1119 вложили в него совершенно иной, более широкий смысл. Ну а юристы Администрации Правительства толи спорить не стали с ФСБ, толи специально оставили такую коллизию, толи и сами не видели разницы между "работниками" и "сотрудниками". И вот сделал я запрос в Правительство по этой теме и вчера получил ответ, а точнее два ответа. Т.к. по законодательству головным органом за защиту прав субъектов ПДн в РФ является Минкомсвязь, а ПП-1119 разрабатывала ФСБ, то Минкомсвязь перенаправило мой запрос в 8-й Центр и г-н Ивашко ответил следующим образом:

Минкомсвязь, традиционно сославшись, что они не имеют права трактовать законодательство, меня проинформировало о своей позиции в отношении термина "сотрудник" в ПП-1119, расширив вариант ФСБ:


Что в сухом остатке? Фактически ничего не поменялось ;-) Если не рассматривать версию, что ФСБ считает всех граждан России своими внештатными сотрудниками, то как большинство операторов ПДн считало, что ПП-1119 на них распространяется, то так и продолжает считать. Ответ Минкомсвязи и ФСБ лишний раз подтверждает правильность этой позиции (и при проверке со стороны РКН позиция будет видимо аналогичной). А вот с юридической точки зрения ситуация по-прежнему висит в воздухе - при желании эту коллизию можно использовать для оптимизации своих усилий. Правда, с непредсказуемым результатом.

28.8.13

Целый сонм новых требований по безопасности ждет нас до конца года

Сегодня я хотел рассказать о новом ГОСТе по безопасности облаков, который был подготовлен в ТК362 и сейчас находится на обсуждении членами технического комитета. Но стандарт оказался не так прост, как мне казалось сначала и я взял тайм-аут на его дополнительное изучение. Поэтому я поступлю просто и опубликую список тех нормативных документов, которые содержат вполне конкретные требования по защите информации, проекты которых появились совсем недавно (в течение августа) и которые должны быть приняты в краткосрочной и среднесрочной перспективе:
  • ГОСТ Р ХХХХХ-20ХХ. Требования по защите информации, обрабатываемой с использованием технологии виртуализации.
  • ГОСТ Р ХХХХХ-20ХХ. Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений".
  • Требования по безопасности для технологий мобильного банкинга.
  • Новая редакция СТО БР ИББС 1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".
  • Новая редакция СТО БР ИББС 1.2 "Методики оценка соответствия СТО БР ИББС 1.0".
  • Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности"
  • Меры защиты информации в государственных информационных системах.
Также напомню, что сейчас завершается подготовка еще одних рекомендаций Банка России "Требования по к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений", отраслевой модели угроз ПДн Банка России и приказа Роскомнадзора "Об утверждении требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ".

И это только те нормативные акты, которые я держал в руках и текст которых уже можно обсуждать. Есть и ряд других нормативных актов, которые могут появиться в ближайшее время, но до проектов которых я пока либо не добрался, либо они находятся в стадии длительного внутреннего согласования и могут появиться в публичном доступе в любой момент.

Так что оставшаяся часть 2013-го года будет более чем интересной и насыщенной ;-) Хотя кто-то может считать и по-другому.

27.8.13

3 новости о PCI DSS

За последний неполный месяц произошло 3 новости по линии PCI DSS, которые могут быть интересны отечественным заинтересованным сторонам. Новость первая, самая важная. 7 ноября выходит 3-я версия стандартов PCI DSS и PA DSS, которые вступят в силу с 1-го января 2014 года.

Новость вторая имеет прямое отношение к России. Она была опубликована на сайте PCI Council 8 августа. С этого момента PCI Council официально признает наличие русскоязычной версии стандарта PCI DSS и создал специально под нее отдельный сайт на русском языке. Однако стоит сделать и небольшую ремарку. Выложенный на сайте перевод пока не стоит считать финальным - работа над ним продолжается и если все сложится хорошо, то перевод будет готов к осени. Если дела пойдут не так, как ожидается, то финальной версии перевода стоит ждать к зиме.

И наконец третья новость касается будущего PCI DSS. Согласно новости от PCI Council на 2014 год запланированы работы по следующим направлениям:

  • управление криптографическими ключами
  • руководство по проведению тестов на проникновение
  • руководство по защите от скиммеров
  • план реагирования на инциденты
  • рекомендации по внедрению программы повышения осведомленности
  • руководство для маленьких компаний
  • и т.д.

Приглашаю тех, кому есть, что сказать

Так случилось, что я буду модерировать по две секции/круглых стола на грядущих InfoSecurity Russia и Инфобез-Экспо, проходящих в Москве в конце сентября и начале октября соответственно. Как модератор я составляю программу секций и набираю докладчиков. Но дабы не закуклиться и не закукситься в кругу одних и тех же докладчиков, которые наверняка и так будут выступать на обеих конференциях-выставках, я бросаю общий и публичный клич. Кто хочет выступить на InfoSecurity Russia 25-27 сентября и Инфобез-Экспо 8-10 октября? Вам есть что сказать? Присылайте названия тем и тезисы мне - все рассмотрю и самые интересные/провокационные/манящие/познавательные/практичные войдут в итоговую программу.

Эти четыре секции звучат так:
  • "Современные тенденции ИБ в России". Тут вроде бы все ясно. Хочется поговорить о том, что нас ждет в обозримом будущем с точки зрения информационной безопасности. Новое законодательство, новые техногенные катастрофы из-за кибератак, межправительственные кибер-конфликты, выдавливание иностранных разработчиков с российского рынка, слияние ФСТЭК и ФСБ... Все, что может стать реалиями в ближайшее время.
  • "Экономическая эффективность ИБ". И тут вроде бы тоже все ясно. Я теме экономической эффективности время в блоге уделяю немало, да и на конференциях тоже выступаю по этой теме. Если вдруг вы готовы поделиться практическим опытом измерения чего-то (не важно, позитивным или негативным), то милости прошу.
  • "Безопасность Интернета вещей: от взлома унитаза до атак на международную космическую станцию". Еще совсем недавно Интернет для многих из нас представлял всего лишь набор Web-сайтов и электронную почту, которыми мы пользовались в повседневной жизни. И вот уже в нашу жизнь прочно вошли различные датчики систем водоснабжения, SmartTV, системы видеонаблюдения, работающие по IP, браслеты для арестованных и тахографы, взаимодействующие через спутниковые каналы… И это только начало. Не за горами наступление эры Интернета вещей (Internet of Things), в которой обмениваться информацией и "общаться" будут все устройства – автомобили, сантехника, кофеварки, холодильники, климатические датчики, часы, кардиостимуляторы и т.п. Но что с безопасностью этих устройств? Как их защищать? Именно этому непростому вопросу посвящен будет круглый стол
  • "Информационная безопасность спортивных объектов: от защиты городского стадиона до Олимпиады". Россия становится спортивной державой. Универсиада, Сочи-2014, чемпионат мира по футболу в 2018-м году… Чтобы не ударить лицом в грязь в России строится множество современных спортивных объектов с соответствующей инфраструктурой, в т.ч. и информационной. Но активное внедрение ИТ в спортивные сооружения влечет за собой не только множество полезных для болельщиков вещей, но и новые угрозы, о которых надо знать и которые стоит предвосхищать. О том, как должна строиться защита спортивных объектов мы и будем говорить на этом круглом столе.
Пишите. Обещаю рассмотреть и ответить на все предложения.

26.8.13

Business capability map в контексте ИБ КВО

Продолжу тему business capability map, начатую в пятницу. Достаточно интересно она раскрывается в контексте безопасности критически важных объектов, законопроект по которым 23-го августа завершил сбор предложений и замечаний. У данного законопроекта один из ключевых недостатков - расплывчатость объекта защиты. Дано общее определение КВО, но не раскрыты отрасли, которые подпадают под этот законопроект. ТЭК? Скорее всего. Банк России? Безусловно. Ростелеком? Непременно. А Россельхозбанк? А Tele2? И Торжокводоканал? А телеканал "Дождь" или радио "Эхо Москвы"?.. Полная неясность.

Но допустим этот недостаток устранят и составят список из отраслей (или типов объектов критической информационной инфраструктуры), подпадающих под действие данного законопроекта (такой список был у ФСТЭК). Но что дальше? Продовольственная отрасль, например, изначально туда не входила (в отличие от списков КВО других государств). Тем проще.
Возьмем системы управления транспортом. Они были КСИИ раньше и являются объектом критической информационной инфраструктуры по новому законопроекту. К ним предъявляются одинаковые высокоуровневые требования. Низкоуровневых пока нет (кроме документов ФСТЭК по КСИИ). И вот тут возникает задача дифференциации требований по защите, отличающиеся по типам объектов защиты. Ведь очевидно, что система управления трубопроводом и система управления воздушным транспортом - это суть разные вещи, хотя и та и другая управляют одним из сегментов транспортной отрасли. В первом случае объект защиты неподвижен, во втором - он перемещается. И если в первом случае приоритеты в защите одни, то во втором - немного (а может и много) другие.

А ведь есть еще и подсегменты. Например, автомобильный транспорт бывает грузовым, а бывает пассажирским. И если на пассажирском важно сберечь жизни людей, то на грузовом - недопустить хищения груза или срыва сроков его поставки. Поэтому на трубопровод врядли кто-то будет ставить навигационные датчики (кому придет в голову красть трубу), а вот установить тахограф на грузовой автомобиль - требование в порядке вещей. А канал GPS или ГЛОНАСС надо тоже защитить. Возьмем к примеру систему ЭРА-ГЛОНАСС, предназначенную для передачи экстренных сообщений с терминалов, которыми могут быть оборудованы автомобили экстренных служб, инкассаторские броневики, автобусы с цифровыми тахографами, 12-титонники, ездящие по платным дорогам и т.п. Даже если на нее взять и просто натянуть требования по КСИИ, то не факт, что система будет работать после этого.


Или возьмем электроэнергетику. Сейчас все чаще и чаще начинают внедрять системы мониторинга (WAMS, WAP, WAC), в основе которых лежит технология векторных измерений и синхронизации устройств, разнесенных в пространстве. Надежная синхронизация позволяет, например, в случае инцидента на какой-либо подстанции провести детальный разбор полетов и определить источник сбоя. И точность синхронизации в зависимости от задачи нужна разная. Для цифрового выравнивания для основных измерений значений тока и напряжения нужна точность синхронизации в единицы микросекунд. Для систем управления сетью и устройств защиты подстанций - единицы миллисекунд. Если вдруг кому-то придет в голову на протокол синхронизации времени (или вообще ГЛОНАСС) натянуть требования ФСБ по криптозащите с помощью наших ГОСТов (а у нас больше ничего нет), то вся система синхронизации полетит в тартарары, т.к. скорость выработки и проверки криптофункций гораздо ниже требуемых для надежной синхронизации; особенно в распределенной системе. Будут ли разработаны требования по защите системы синхронизации времени, как неотъемлемой части современных КВО в некоторых отраслях? Нет пока ответа. Анализ business capability map показывает, что это более чем актуальная задача.

Кстати, защита систем синхронизации на базе спутниковых передатчиков актуальна не только для электроэнергетики. Она важна для аэропортов, коммерческих автомобилей, ценных грузов, платных дорог, ФСИН, использующей браслеты на ногах арестованных, морских портов и т.п. Эффективность средств постановки помех для спутниковых систем достаточно высока. Вот, например, как выглядит радиус работы обычного джаммера (желтым показана зона, где работа спутникового сигнала все еще оставляет желать лучшего, а фиолетовым - где сигнал полностью блокируется).

А сам джаммер может быть и вовсе дистанционно управляемым:



Как будут выкручиваться наши регуляторы я пока не знаю. Если ФСТЭК вполне способна пригласить экспертов из разных отраслей для обновления своих КСИИшных документов и их привязки к специфике того или иного КВО, то в здравый смысл ФСБ я не очень верю. И причина такого неверия банальна - опыт разработки и законопроекта по КВО (а его ведь совсем не в августе начали разрабатывать), и документов по персданным показывает, что ФСБ не любит прислушиваться к экспертному мнению. И даже взятие на себя только КВО высокой категории опасности не сильно поможет - требования для Газпрома, Росатома, Ростелекома, ВГТРК и Сбербанка (предположу, что эти компании будут отнесены именно к высокой категории опасности) явно должны различаться.

А вот американский подход мне нравится больше. Заходим на сайт министерства национальной безопасности в раздел по безопасности критических инфраструктур. Там все просто - 16 секторов, утвержденных указом американского Президента. По каждому сектору краткое описание и объемный план, специально разработанный под каждую отрасль - с описанием отрасли и ее сегментов, процесс анализа рисков, участвующие организации и их ответственность, контактная информация и т.п. Вот как, например, выглядит часть плана по безопасности такого критически важного сектора как связь. Это высокоуровневая схема описания Интернет с указанием ключевых элементов:


Это схема сети следующего поколения (NGN):


Это схема спутниковых коммуникаций:

Это схема ОКС7:

Это схема подводных морских коммуникаций:


Это схема сотовой связи:


Это схема традиционных кабельных сетей:


Все достаточно наглядно (в плане еще и описание подробное есть) и ясно. Понятно что защищать, понятно, чем отличаются один сегмент отрасли связи от другого. От этого уже можно строить и более конкретные требования и планы защиты, которые, что тоже очевидно, будут отличаться друг от друга. Одно дело защищать спутниковые каналы и совсем другое обычный Интернет. Если вы забыли на точке пиринга поставить какой-нибудь DPI, то это не страшно, можно и потом поставить. А вот если вы что-то на спутник забыли взгромоздить, то ситуация сразу меняется - цена ошибки гораздо выше, а спектр возможных защитных решений гораздо уже.

Собственно весь этот пост нужен для демонстрации одной простой мысли - помимо законопроекта (который нуждается в серьезной доработке), нужно сделать еще много чего и гораздо более важного, чем это есть сейчас. Закон все-таки определяет только высокоуровневые вещи. Для эффективной защиты КВО со стороны тех, кто раньше этим почти не занимался, нужен системный подход, нормальное государственно-частное партнерство (это условие прописаны в стратегиях и планах защиты критических инфраструктур всех без исключения государств), отсутствие ненужной и избыточной секретности и... работать, работать и работать. Времени не так уж и много выделено даже по "Основным направлениям государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации" (кстати АСУ ТП есть далеко не на всех КВО), а уж в реальной жизни и того меньше.

23.8.13

Что такое business capability map в контексте ИБ?

О том чего не хватает образованию я уже писал не раз. Одним из серьезных недостатков является отсутствие бизнес-привязки в деятельности или образовании ИБ. Мы все время говорим о классических аксиомах - триаде КДЦ, ААА, криптографии и т.п. Все это важно, но мы часто забываем, что всему свое время и место и в разных бизнесах могут быть совершенно разные потребности и приоритеты в ИБ. Всех одним аршином не измерить, а мы пытаемся.

Возьмем к примеру финансовую отрасль. Мы под ней часто понимаем банки, на которых распространяется действие СТО БР. И меры по защите у нас для банка плюс-минус традиционные. Мы уже привыкли, что триада свойств информации в банке немного меняет свою направленность - на первое место выходит не конфиденциальность (хотя она также важна), а целостность. Мне, как клиенту, гораздо важнее не сохранить в тайне размер средств на моем счете, а предотвратить изменение суммы денежного перевода на ноль или два. Неприятно перевести за ЖКХ не пять тысяч рублей, а 50 тысяч. Пойди потом верни их... А теперь возьмем банкоматную сеть. Как клиента меня в банкомате интересует уже не целостность (все-таки я банкоматы с функциями перевода средств пока редкость), а доступность. Неприятно остаться в незнакомом городе с пустыми карманами и стоять перед банкоматом, у которого отсутствует связь с процессингом. Тут на первое место выходит доступность, а не целостность с конфиденциальностью. И это только два примера в одной отрасли. А еще есть трейдинг, в т.ч. мгновенный. Тут вообще с безопасностью все сложно. Конфидциальность, в традиционном понимании, не так важна. Срок жизни информации о сделке измеряется даже не сеундами, а долями секунд. Число сделок измеряется тысячами и десятками тысяч за тот же интервал времени. И какая криптография на ГОСТе тут поможет? И электронная подпись в такой ситуации только мешает. Время выработки ЭП и ее прроверки выше, чем длительность самой сделки. На первом месте тут время отклика и любая безопасность (помимо нарушений доступности) может сильно навредить бизнесу.

Медицина. Не могу сказать, что я сталкивался с большим количеством проектов по ИБ в российской медицине. Ну защита персданных, ну защита ЦОДов, ну защита телемедицины... Вот и весь опыт. Но в РФ стали приходить и новые технологии. Кардиостимуляторы с дистанционным мониторингом, сантехника, проводящая в реальном времени анализ испражнений и передающая эту информацию лечащему врачу, имплантанты с чипами... Опять меняется картина с точки зрения обеспечения безопасности. Ставить антивирус и межсетевой экран? А куда? На кардиостимулятор? На чип имплантанта? Безопасность важна (вспомните фильм "Сеть", когда сенатор застрелился из-за того, что ему собщили фальшивый диагноз о СПИДе или один из свидетелей, которому поменяли в электронной карте лекарство и дозировку, которые его и убили) и нужна, но не та, к которой мы привыкли и которой нас учат в ВУЗах.

M2M... Межмашинное взаимодействие. Еще одна тенденция последних месяцев, которая приходит и в Россию. И датчики в индустриальных системах, кардиостимуляторы с дистанционным мониторингом, банкоматные сети, это только один из возможных примеров. А автомобили, берующие информацию о заторах на дорогах от самой дороги? Правда не российской дороги, а "умной" дороги, проекты которых сейчас появляются в разных странах мира. Тахографы, передающие информацию о маршруте движения транспорта и о состоянии водителя через спутниковые каналы или GSM. Климатические датчики, датчики состояния трубопроводов, датчики контроля парогенератора атомного реактора... Примеров много, а вот с их безопасностью пока не так все хорошо. Традиционные защитные подходы не срабатывают - миниатюрные размеры, автономное энергоснабжение, длительные сроки работы... Все это не позволяет взять и поставить у каждого (или на каждом) датчика защитный комплекс. И тяжеловесную криптографию, требующую больших вычислительных ресурсов, тоже не реализуешь. Опять затык с традиционными подходами, к которым мы так привыкли и которым нас учат (учили в ВУЗах). А зачастую появляются и вовсе совершенно новые задачи, о которых мы раньше и не думали. Например, защита GPS-передатчиков. В них очень важно обеспечить защиту от блокирования сигнала. Представьте, что вы следите за перемещением инкассаторской машины с GPS-датчиком или осужденного под домашним арестом с браслетом за контролем перемещений. Вы уверены, что контролируемые объекты находятся там, где они должны находиться, а на самом деле это не так и они уже давно тю-тю - инкассаторский броневик разгружается преступниками, а домашний арестант по бутикам шатается.

Индустриальные системы (или как их часто называют АСУ ТП). Модная тема. Мне в течение последнего месяца пришлось столкнуться с тремя проектами по ИБ в области атомной энергетики. Проекты все разноплановые, но объединяет их всех одно - попытка идти в них с традиционным ИБшным опытом и взглядами, без учета специфики атомной отрасли, а она есть. Например, полное отсутствие учета требований нормативной базы Росатома к выбираемым средствам защиты. Требований не ИБшных, а, например, по наработке на отказ, по климатике, по происхождению. Или попытка прописать обычное для традиционных ИТ-проектов требование по управлию патчами - регулярное и автоматическое обновление ПО. Но в индустриальных системах, где установка патча может нарушить работоспособность контролируемой или управляемой системы, традиционные подходы к патч-менеджменту не работают. Как и традиционные VPN-шлюзы с их задержками и временем отклика. Представьте, что из-за такого шифратора или системы аутентификации по 802.1x система контроля реактора не получила вовремя сигнал от какого-либо датчика и запустила процесс аварийного отключения реактора?..

Поднимемся на уровень выше, туда где обрабатывается информация. Допустим мы все-таки реализовали технический комплекс защитных средств и он в состоянии обеспечить необходимый уровень защиты. Но защиты чего? Мы традиционно защищаем все. IP-шифратор шифрует все в канале, локальная СКЗИ шифрует либо весь диск, либо каталог, либо файл (что требует определенного порядка и системы управления файлами). А надо ли? Может и нет? Может не тратить ресурсы на то, что вовсе не требует защиты? Есть ли у нас не просто список сведений конфиденциального характера, а реальное понимание, где эта информация хранится, где обрабатывается, как и кому передается? Знаем ли мы владельцев этой информации? А ее стоимость? А влияние на бизнес? Может мы защищаем то, что вовсе не требует защиты, а то, что требует, мы не защищаем или просто не знаем как? Например, тривиальная задача - контроль утечек по протоколу ActiveSync во время синхронизации ПК с мобильным устройством. Мы контролируем то, что умеем или то, что надо? Или контроль и защита информации о переговорах о покупке актива, проводимые по Telepresence, или на худой конец видеоконференц-связи? Защищаем?

А что делать? Как учитывать потребности бизнеса? Начну с того, что все, что написано выше - это еще не совсем потребности бизнеса, это скорее технологии, ориентированные на бизнес-потребности, с понимания которых и надо начинать. Обычно они формулируются и помещаются в так называемые business capability map. Для тех, кто долгое время работает в той или иной отрасли проблемы составить такую карту труда не представляет. Для тех, кто присматривается к новому месту работы или приложения своих сил потребуется время на их составление. Обычно на это уходит около недели. Можно поступить проще и погуглить уже готовые карты (иногда их можно найти в открытом доступе). Хорошим подспорьем являются подобия таких карт, выложенные на сайте компании Perimetrix. У меня в какой-то из презентаций на блоге были приведены некоторые из таких карт (правда, не помню в какой). Третий вариант - купить или заказать разработку. Например, у Forrester такие карты есть по разным отраслям - банки (для разных видов банковской деятельности - разные), нефтянка, страхование и т.д.

Такие карты являются хорошим подспорьем в понимании в первом приближении бизнес-потребностей той организации, которую мы защищаем или для которой планируем выполнять какие-то проекты, или планируем регулировать и выпускать нормативные акты.

22.8.13

Новые рекомендации Банка России по защите ДБО

В начале августа Банк России выпустил документ с новыми рекомендациями по защите. Это письмо от 5.08.2013 №146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет". Как написано в преамбуле, "настоящие Рекомендации предназначены для использования кредитными организациями, являющимися операторами по переводу денежных средств, и привлекаемыми ими банковскими платежными агентами в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет".

Что-то особо комментировать в данных рекомендациях мне нечего. Во-первых, это рекомендации, а не обязательный к исполнению документ. А во-вторых, рекомендации достаточно здравые и написаны они простым языком. Разумеется, за каждой рекомендацией скрывается большая работа, но это уже вопрос другой, выходящий за рамки документа ЦБ. Да и не должен регулятор зажимать в жестких рамках способы реализации той или иной рекомендации - это дело каждого банка - участника НПС.

21.8.13

Правила международной ИБ определены

В конце июля Президент подписал "Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года", которые определяют как Россия будет трактовать понятие "информационная безопасность" и как она его будет продвигать на международной арене. Можно было бы сказать, что этот документ малоинтересно российским специалистам по ИБ, т.к. говорит о вопросах, которые большинство волнуют мало. На самом деле это не так - он ложится в общую канву того, что происходит в области регулирования вопросов ИБ в России и куда устремлены чаяния российских властей.

А устремлены они на Восток, а точнее в Среднюю Азию и Китай, которые должны стать для нас союзниками в деле противодействия попытке США навязать всему миру свое видение того, как должен управляться Интернет и как должна регулироваться тематика кибервойн, безопасности критически важных объектов и т.п. И вот в этом аспекте документ, опубликованный на сайте Совета Безопасности, очень и очень интересен.

Из интересного в данном документе:
  • Постулируется необходимость устранения цифрового неравенства. Но те методы, которые  планируется использовать для этого, не самые положительные для большинства участников этого рынка (исключая небольшую прослойку). Деталей в самом документе нет, но за ним скрывается ряд иных инициатив, о которых я писал раньше и которым посвящу несколько заметок в будущем.
  • Помимо классической триады угроз (военно-политические, террористические и криминальные) включено вмешательство во внутренние дела суверенных государств. То, против чего так протестуют США, желающие бОльших возможностей по ведению пропаганды на территории иных государств.
  • Одной из первых задач названо продвижение (навязывание) российской Конвенции по МИБ всем государствам - членам ООН. Она носит невоинствующий характер (в отличие от США, рассматривающих киберпространство, как поле военных действий) и направлена на нераспространение кибервооружений и неприменение его в военных и иных целях, направленных против государств.
  • Россия ратует за интернационализацию управления Интернетом и передача этих полномочий от ICANN в сторону ITU. Идея России проста - кнопка отключения Интернет должна быть у каждой страны своя, а не только у США.
  • Активно говорится о международном сотрудничестве, в первую очередь с текущими партнерами по БРИКС, ШОС, ЕврАзЭс и др. Хотя на самом деле это не то чтобы сотрудничество - скорее России нужны партнеры для коллективного отстаивания своей точки зрения супротив американской. Ведь по сути кроме дипломатии у России нет рычагов давления на мировое сообщество и США, в частности. ИТ у нас нет, телекоммуникаций нет, электроники нет, безопасности своей и то нет - одни сертифицированные поделки, малопригодные в реальной жизни. Вот и остается нам искать союзников в лице аналогичных стран Средней Азии и Латинской Америки, попутно сталкивая лбами США и Китай.
Вот такой интересный документ появился на свет. И это только начала. На финишной прямой аналогичный документ по культуре ИБ. На финишную прямую выходит стратегия кибербезопасности. А еще готовится и ряд других, не менее масштабных  документов уровня "основных направлений государственной политики". Так что в интересное время живем...

20.8.13

Новый законопроект о безопасности критически важных объектов

Ну вот и появился на свет очередной законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», о котором давно циркулировала информация и который предполагался в свете последних изменений как в законодательстве в области ИБ, так и в связи с изменением акцента, который наши (да и не только наши) спецслужбы делают в области ИБ в последнее время.

Почему я написал "очередной"? Дело в том, что это уже третья попытка каким-то образом отрегулировать такую непростую тему, как информационная безопасность критически важных объектов (КВО), что особенно актуально стало в последнее время, с момента активной информатизации критически важных объектов и их перехода с проприетарных технологий на IP-рельсы. Первая состоялась в 2006-м году, когда несколько депутатов активно стали бороться с засильем Microsoft, называемой главной угрозой национальной безопасности России. На свет появился законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры". Правда в пояснительной записке к нему говорилось, в-основном, о борьбе с кибертерроризмом.

В законопроекте 2006 года, за реализацию которого должна была отвечать ФСТЭК, устанавливались особенности осуществления:
  • определения угроз информационной безопасности критически важных объектов информационно-телекоммуникационной инфраструктуры;
  • оценки уязвимости объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации от актов незаконного вмешательства и деструктивных информационных воздействий;
  • категорирования критически важных объектов информационно-телекоммуникационной инфраструктуры и объектов информатизации в зависимости от негативных последствий, возникающих вследствие прекращения или нарушения их функционирования; 
  • разработки требований и реализации мер по обеспечению информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры.

Но законопроекту несуждено было взлететь - депутаты отозвали свою инициативу, а ФСТЭК уже успела разработать свое четверокнижие по защите ключевых систем информационной инфраструктуры (КСИИ), которое в отсутствие базового закона подвисло в воздухе. Хотя сам законопроект был более чем адекватен по своему содержанию - там были прописана и оценка защищенности, и регулярный контроль, и работа с персоналом, и требования к принимаемым на работу гражданам, и т.п.

В 2012-м году ФСТЭК сделала вторую попытку - я про нее писал; как и про то, что этот законопроект завернули. Повторять ту историю я не буду, просто повторю то, что уже тогда предполагал - мне показалось, что на данную тему хочет наложить руку совершенно другой орган исполнительной власти, ответственный за вопросы безопасности в стране. И вот подтверждение этому факту - новый законопроект, инициатором которого выступила ФСБ. Ей до 23-го августа и слать свои предложения и замечания по законопроекту.

В соответствии с новым законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет:
  • разработки критериев отнесения объектов критической информационной инфраструктуры к различным категориям опасности;
  • категорирования объектов критической информационной инфраструктуры в соответствии с указанными критериями;
  • ведения реестров объектов критической информационной инфраструктуры с учетом их категории опасности;
  • установления требований к системам безопасности объектов критической информационной инфраструктуры с учетом их категории опасности;
  • обеспечения взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданной в соответствии с Указом Президента Российской Федерации от 15 января 2013 г. № 31с;
  • осуществления оценки защищенности критической информационной инфраструктуры Российской Федерации и ее объектов;
  • осуществления государственного контроля в области безопасности критической информационной инфраструктуры Российской Федерации.

Список целей очень сильно похож на законопроект 2006-го года, но вот учитывая авторов данного законопроекта есть и особенности. Вот некоторые из них:
  • Иная терминология, отличная от существующей. Например, раньше была КСИИ, а сейчас критическая информационная инфраструктура (КИИ). Понятие КВО тоже отличается от ранее определенных.
  • Стало понятно, что государственная система обнаружения атак, предусмотренная 31-м указом, нужна именно для КВО, а не всех без исключения государственных информационных ресурсов.
  • Очень много говорится о классификации и категорировании КИИ, ведении их реестра (ФСТЭК давно ведет), но ни слова не говорится о том, как компании и организации должны эту классификацию проводить. Раньше система признаков отнесения объекта к критически важным была засекреченной. Возможна она останется и тут. Но вот как те, кто подпадает под действие законопроекта, узнают о том, что они под него подпадают? Я регулярно сталкиваюсь с тем, что, например, безопасники многих объектов ТЭК слыхом не слыхивали о документах ФСТЭК по КСИИ. Новый законопроект ситуацию не сильно изменяет.
  • Ответственность делится между ФСБ и ФСТЭК, которые отвечают за КИИ высокой и средней/низкой категорий опасности соответственно. Вот тут, пожалуй, разрулился тот конфликт, о котором я писал раньше. ФСБ и ФСТЭК делят поляну КВО на двоих, но главным является ФСБ. ФСТЭКу остались наименее опасные КВО. 
  • Требования по ИБ устанавливаются ФСТЭК и ФСБ соответственно. ФСБшных пока нет, а вот ФСТЭКовское четверокнижие по КСИИ скорее всего получит долгожданный официальный статус (может быть с некоторой доработкой).
  • ФСБ должна устанавливать в сетях электросвязи, передающих информацию КИИ, системы обнаружения атак (за счет операторов связи). Правда, непонятно, какие системы. Где у ФСБ системы, способные работать в операторских сетях?
  • Оценку защищенности могут проводить аккредитованные ФСТЭК организации. Формулировка допускает и иных участников, но на практике врядли это будет осуществимо. Аккредитация требует наличия лицензии на гостайну, специального инструментария, прошедшего оценку соответствия, трех специалистов с высшим профессиональным образованием. Ну с лицензией понятно. С инструментарием вроде тоже. А где взять специалистов с ВПО, если оно появилось относительно недавно? А главное что наличие ВПО не означает наличия знаний в области КВО.
  • Правда, сама оценка защищенности в терминах законопроекта явно не оперативный процесс. Чего только стоит процесс составления ФСТЭК или ФСБ по результатам оценки акта и предписание с мерами по устранению. Если в системе контроля реактора найдена уязвимость, то кто в ФСБ готов будет взять на себя смелость и ответственность порекомендовать меры нейтрализации?
  • Законопроектом предусматриваются дополнительные обременения, накладываемые на лиц, владеющих объектами КИИ на праве собственности, касающиеся категорирования, создания и обеспечения функционирования систем безопасности этих объектов, а также обеспечения их взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
  • Должен быть создан Национальный CERT (может на базе gov-cert.ru, а может и нет).
Общее впечатление от законопроекта двойственное. Регулировать тему ИБ КВО нужно и именно этого не хватало 256-ФЗ, но явно не так, как написано в законопроекте. Пока он только устанавливает ряд запретительных мер, ограничивает круг тех, кто может защищать КВО, и говорит о пока несуществующих требованиях по защите. Маловато ;-( Буду подавать свои предложения. Главное, чтобы их не постигла участь моих предложений в ФСБ по линии ПП-1119.

В дополнение к основному законопроекту, существует и второй, направленный на усиление ответственности за атаки на КИИ и халатность в части выполнения мер по безопасности КИИ. Это законопроект "О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Наказание только уголовное - никакой административки.

19.8.13

Соцсети хотят заставить проверять подлинность всех своих пользователей

Сегодня депутат Дегтярев внес в Госдуму внес очередной законопроект №333556-6, задача которого проста - подрегулировать малость социальные сети. А то ведь фигня какая-то творится - если верить заявлениям Facebook, Яндекса, Мейл.ру, ВКонтакте, Одноклассников, Google+, LinkedIn, YouTube и т.п., то их аудитория чуть не превышает население земного шара. Непорядок. Лукавят Цукерберги всякие. "К ногтю!", - подумал депутат от ЛДПР и потенциальный мэр г.Москвы и быстро начиркал законопроект, который:

  • запрещает незаконно использовать персданные верифицированных пользователей соцсетей (максимальное наказание - до 5 лет);
  • наказывает владельца соцсети за отсутствие верификации своих пользователей (наказание - всего лишь предупреждение);
  • вводит понятие "социальная сеть" (этот блог, кстати, под это определение подпадает). 
Для чего все это делается? Для защиты нас с вами. Депутат Дегтярев считает, что "потенциальные преступники должны осознавать, что простота вторжения в личную жизнь граждан в социальных сетях по сравнению с обычными способами незаконного получения персональных данных не преимущество, а, фактически, обстоятельство, существенно отягчающее наказание".

Занавес!...

Новая версия указания Банка России по отчетности по инцидентам ИБ

2 недели отсутствия... Думал что кто-нибудь разродится обзором вышедшей с пару месяцев назад новой редакции Указания Банка России №2831-У, которая была введена указанием 3024-У, но видимо все в отпусках или просто руки не дошли. Устраним данный недостаток.

Указание 2831-У всегда выделялось на фоне других нормативных актов в области ИБ в РФ. Оно, пожалуй, единственное устанавливало требования по обязательной отчетности по инцидентам в области информационной безопасности, которые некоторые участники Национальной платежной системы должны ежемесячно направлять операторам платежных систем, включая и Банк России. Будучи запущенным более года назад, оно стало первым блином Банка России, который поставил перед собой задачу получать реальную картину об инцидентах ИБ, их причинах и последствиях. Однако у первой версии 2831-У был ряд недостатков, среди которых отсутствие формализации ответов, непозволяющее адекватно анализировать статистику, и недостаток сведений о суммах похищенных или готовящихся к похищению финансовых средств. Эти недостатки и устранены в новой редакции 2831-У. Также был уточнен список ролей НПС, которые должны подавать отчетность (с указанием частоты подачи).

При изучении Приложения, которое и определяет новое содержание форм отчетности, обратите внимание на следующие особенности:

  • отчетность теперь составляется по текущему и прошедшим отчетным периодам
  • бОльшее число параметров для заполнения
  • необходим контроль инцидентов, произошедших у клиентов
  • часть сведений по инцидентам с платежными картами дублируются с 258-й формой отчетности
  • требуется указывать суммы похищенных и готовящихся к похищению денежных средств (это в свою очередь позволит наконец-то показать ИБ в финансовом выражении)
  • помимо похищаемых денежных средств потребуется также оценивать и масштаб иных убытков, возникших в рамках инцидента (простои, замена оборудования, оплата услуг контрагентов, вплоть до упущенной выгоды).
Помимо позитивных моментов новая 203-я отчетность несет с собой и ряд негативных, на мой взгляд. В первую очередь это увеличение бюрократической работы, возникающей при увеличении числа контролируемых параметров. При условии, что аналогичная отчетность должна готовиться и для других операторов платежных систем, в которых участвует отчитывающийся, необходимо средство автоматизации данной работы и новый персонал, который будет это все делать.


ЗЫ. Новая версия указания вступает в силу в течение 180 дней после опубликования его в "Вестнике Банка России" (читай, с нового 2014-го года).


2.8.13

Правовой нигилизм нарастает

В последние месяцы обострилась ситуация с нормативным регулированием в области Интернет, ИКТ, информационной безопасности. Принимается множество нормативных и нормативно-правовых актов разного уровня - федеральные законы, постановления правительства, стандарты, приказы и т.п. И разумеется множество людей начинает обсуждать, ругать, критиковать эти законодательные инициативы. И вот в последнее время очень остро стало заметно, что большинство критиков абсолютно ничего не понимают в законодательстве и праве, упирая только на эмоциональную составляющую. "Мне не нравится!" - основной тезис противников многих выпущенных нормативных актов.

С этим, правда, что-то поделать сложно ;-( Эмоции есть эмоции. Но доказывать с пеной у рта, что тот или иной нормативный акт неправильный, не удосужившись даже ознакомиться с основами права... Не комильфо, знаете ли. Не скажу, что я юрист и досконально знаю законодательство и основы права. Но немножко в эту тему погружался и кое-что изучал. Поэтому любой нормативный или нормативно-правовой акт (а это, кстати, два разных понятия) я оцениваю с двух точек зрения - "нравится/не нравится" и "корректно/некорректно". Первое сейчас брать в расчет не буду, а по второму пройдусь немного.

Новость вчерашнего дня. Планируется внести поправки в п.2 статьи 1252 Г, который будет звучать так: "В порядке обеспечения иска по делам о нарушении исключительных прав могут быть приняты обеспечительные меры, установленные процессуальным законодательством, в том числе может быть наложен арест на материальные носители, оборудование и материалы, а также запрет на осуществление действие в информационно-телекоммуникационных сетях, если в отношении таких материальных носителей, оборудования и материалов или в отношении таких действий выдвинуто предположение о нарушении исключительного права на результат интеллектуальной деятельности или на средство индивидуализации" (выделение мое). И началось! Основной тезис противников данной поправки (мне она, кстати, тоже не нравится) простой - у нас презумпция невиновности и пока не доказана вина, никто не может ничего изымать или накладывать арест.

Презумпция невиновности существует. Но в уголовном праве. А речь идет о гражданском. А в нем нет презумпции невиновности! Скорее наоборот. В гражданском судопроизводстве (а речь в данном случае именно о нем идет) речь идет об обязанности надлежащего ответчика выполнить некоторое обязательство и (или) возместить причиненный им вред. При этом изначально предполагается, что лицо, в отношении которого установлено, что оно нарушило обязательства или причинило вред, виновно! Задача истца предъявить достаточные доказательства, что лицо, привлеченное по делу в качестве ответчика, не выполнило обязательств или причинило вред. Если такие доказательства (в данном случае предположения) представлены, то лицо, против которого они выдвинуты, признается надлежащим ответчиком. И именно ответчик (если он не хочет выполнять требования истца) должен доказывать отсутствие вины. А в уголовном судопроизводстве ситуация обратная - там подозреваемое лицо ничего не должно доказывать (как минимум в теории) - это обвинение должно доказать его вину.

Идем дальше. Возьмем PRISM и XKEYSCORE. Хотя нет. Возьмем наш СОРМ. У нас есть Конституция и статья 23-я о тайне переписки, которая все-таки может быть нарушена, но только по решению суда. В США эта схема работала именно так. Не буду сейчас рассматривать вопрос о том, что суд был секретный и отказов на запросы спецслужб почти не было. Схемы была законна (на мой непросвещенный взгляд), хотя и неприятна с точки зрения рядового гражданина. Что у нас? А у нас есть 538-е Постановление Правительства от 27-го августа 2005 года, в котором говорится, что оператор связи обязан предоставлять спецслужбам информацию об абонентах "путем осуществления круглосуточного удаленного доступа к базам данных". Какая Конституция?! Какое решение суда?! Ничего подобного. Если в случае с PRISM ни ЦРУ, ни АНБ формально не имели прямого доступа к данным операторов связи и Интернет-провайдеров (это делалось через шлюз ФБР), то у нас прямой круглосуточный доступ. Что тут можно сказать? Данный НПА нарушает конституционные права граждан! И вновь возникает непонимание норм права. Чтобы нарушение признать, надо обратиться в Конституционный суд, который и должен признавать или не признавать несоответствие нормативно-правового акта Конституции. Кто обращался?

Хочу заметить, что правовой нигилизм - это проблема не только рядовых граждан, но и самих регуляторов (да и судов тоже). Возьмем пресловутое Постановление Правительство №330, которое устанавливает требование обязательной сертификации средств защиты персональных данных. На него регулярно ссылаются во ФСТЭК, да и многие производители продвигая свои поделки с голограммами упирают на обязанность применять только сертифицированные средства защиты. Но у нас есть Конституция (ох уж эта Конституция, мешающая жить), в 15-й статье которой написано, что "Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения". Про то, что это же написано в самом ФЗ-152 и ФЗ-294 я даже и не говорю. И тоже самое касается методических указаний ФСБ по применению шифровальных средств для защиты персданных. Справедливости ради надо сказать, что ФСБ никогда официально и не настаивала на обязательности этих методичек.

Идем дальше. Есть такой правовой принцип lex speciali derogat legi generali. Он понятен и прост - если есть специальный закон, то общий не применяется. Возьмем к примеру вопросы оценки соответствия. В ФЗ-149 нет требований по оценке соответствия средств защиты для негосударственных информационных систем. Значит ли это, что можно выбирать любые из них? Нет. Т.к. ФЗ-149 - это общая норма, а тот же ФЗ-152 - норма частная. И он имеет право установить свои требования по оценке соответствия средств защиты персональных данных, что он и делает (но по оценке соответствия, а не по сертификации). Или другой пример. Как защищать персональные данные в рамках НПС? По требованиям ФСТЭК/ФСБ (21-й приказ ФСТЭК и готовящийся приказ ФСБ) или по требованиям ЦБ? Регуляторы спорят, а юристы давно дают ответ - по требованиям ЦБ, т.к. ФЗ-161 и разработанное во его исполнение 382-П - это частная норма права, устанавливающая особенности обработки (и защиты) персональных данных "не вообще", а только в Национальной платежной системе.

Вернемся к оценке соответствия в контексте частных и общих норм права.  При наличии общей нормы закона подзаконные нормативные акты применяются тогда, когда общий закон прямо предусматривает установление специальных норм именно в подзаконных актах – например, в постановлениях правительства. В ФЗ-152, что средства защиты ПДн должны пройти оценку соответствия. Чтобы поставить знак равенства между оценкой соответствия и сертификацией ФЗ-152 должен был явно это указать или дать право (именно в данном вопросе) установить специальные нормы на уровне подзаконных актов. Такого права нет. Поэтому и в ПП-1119 и в 21-м приказе нет требования по сертификации средств защиты, но есть общее требование по оценке соответствия.

Еще один пример, который уже скоро год как регулярно всплывает на поверхность. Действует или нет "приказ трех" по классификации ИСПДн? Роскомнадзор да и многие другие органы госвласти считают, что раз явно этот приказ никто не отменял, то его надо по-прежнему выполнять. И поэтому в уведомлении в РКН надо по-прежнему указывать класс ИСПДн, а не уровень защищенности. Но "приказ трех" никто и не будет явно отменять, т.к. по общему правилу он уже отменен. Ведь отменено Постановление Правительства №781, во исполнение которого и разрабатывался "приказ трех". Отменили вышестоящий акт - автоматом отменяются и все нижестоящие, если нет явных исключений (а их нет).

Ну и напоследок. Вспомним, что у нас есть разные отрасли права - частное (гражданское), публичное (конституционное, административное, уголовное, процессуальное) и международное. В частном праве основополагающим принципом является "все, что не запрещено, разрешено" (диспозитивная норма). А в административном  (у госорганов) принцип прямо противоположный - "все, что не разрешено, запрещено" (императивная норма). И госорган действует только в рамках своей компетенции прямо установленной нормативными актами. По этой причине, ни ФСТЭК, ни ФСБ никогда не дадут официального ответа на вопрос "кто определяет актуальность типов угроз ПДн?". Не уполномочены они разъяснять действие Постановлений Правительства и федерального законодательства. И не стоит от них этого ждать. Они могут высказать свое мнение или позицию, но не установить обязательное к исполнению требование.

Я не призываю прекращать критиковать нормативные акты, выпускаемые в России. Ни в коем случае (я и сам регулярно это делаю). Просто критикуя надо... нет не предлагать (хотя это само собой), а понимать основы, на базе которых появляются те или иные нормативные документы. И далеко не всегда они выполнены в соответствие с логикой рядового гражданина. И далеко не всегда нормы, по которым живут граждане или частные компании, применимы к действиям госорганов (и наоборот). Это, как мне кажется, является очень важным и этому надо учить как в ВУЗах (а то и в старших классах школы), так и на курсах повышения квалификации; и не только по вопросам информационной безопасности.

ЗЫ. Некоторые основы в части именно ИБ я расписывал в презентации, которую уже выкладывал в блоге.

1.8.13

Кибербезопасность или информационная безопасность?

Подписанный в пятницу Президентом РФ документ под названием "Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года" лишний раз убедил меня в мысли, что термин кибербезопасность имеет право на жизнь, чтобы ни говорил МИД по этому поводу.

Если посмотреть на основополагающий документ по ИБ для "внутрироссийского" использования, то информационная безопасность по мнению наших властей - это очень широкий пласт задач и направлений - от обеспечения доступа к информации и ее защиты до борьбы с негативной информацией и цифрового суверенитета. Мы, т.е. традиционные безопасники, обычно трактуем термин "информационная безопасность" очень узко, беря в расчет только один ее аспект - защиту информации.

МИД России, который с конца 80-х годов на международной арене отстаивает интересы России, настаивал и продолжает настаивать на термине "международная информационная безопасность". При этом сотрудники МИД постоянно говорят (акцент на слове "говорят"), что они имеют ввиду всего лишь защиту информации и в "контентные" вопросы не вторгаются и даже мысли у них такой не возникало. Ибо "контентные" вопросы - это сугубо внутренние дела, а вот кибервойны, кибертерроризм, кибероружие - это именно то, чему надо противостоять. Звучит красиво. Вот только на практике все обстоит немного иначе.

В так и не прошедшей через ООН Конвенции об обеспечении международной информационной безопасности, инициаторами которой была Россия и ряд ее союзников (я сознательно сейчас дистанцируюсь от того, что делает РФ и поэтому пишу "ее", а не "наших"), помимо правильных слов о киберугрозах говорится и о воздействии на индивидуальное и общественное сознание, т.е. о манипуляциях, пропаганде и т.д. Российские власти, очевидно, боятся повтора оранжевых революций и не хотят, чтобы кто-то (намекая на США) пытался манипулировать сознанием россиян через Интернет, социальные сети и иные информационные источники. И именно это видится нашим властям основной угрозой. Достаточно посмотреть все последние шаги, чтобы убедиться в этом - ФЗ-139, запрет мата в Интернет, гнобление Google, наезд на Facebook, антипиратский закон и т.п. Ни о какой борьбе с "традиционными" киберугрозами речь не идет. Я имею ввиду о реальной борье. Пока у нас есть полусекретный Указ 31с, есть "Основные направления госполитики в области защиты АСУ ТП", есть неработающая статья в 256-ФЗ "О безопасности ТЭК"... Да много чего есть, только все не работает или остается на уровне деклараций. А вот ФЗ-139 работает. В полной мере (пусть его и обходят все, кому не лень).

И вот именно этого и боятся противники российского подхода (читаем США) в области международной информационной безопасности (МИБ). Именно упор на контентную часть ставят в упрек российскому МИДу, который с улыбкой на лице рассказывает, что проклятые империалисты ничего не понимают и на самом деле Россия озабочена именно традиционными киберугрозами, а не борьбой с инакомыслием в Интернет. И именно по этой причине основной противник России - США, против использования в ООНовских документах термина "международная информационная безопасность" в том контексте, как его понимает Россия и ее союзники. И поэтому США противодействуют всем попыткам РФ насадить этот термин (а лобби США в ООН о-о-о-о-очень сильное). России же противопоставить нечего (надеюсь, что пока нечего). Своих технологий у нас нет и никто даже не пытается их развивать. Провайдеров первого уровня нет (но хотим). Интернетом мы не управляем (но хотим). Денежными потоками мы не управляем (но хотим). У нас нет никаких реальных рычагов давления. Как говорил герой Папанова в "Берегись автомобиля" "У тебя ничего нет, ты голодранец" ;-)

Именно по причине такого противления сторон, во взаимоотношениях РФ и США используется термин "безопасность при использовании информационно-коммуникационных технологий (ИКТ)". Он сужает область ИБ, концентрируясь только на технологической составляющей, которой большинство из нас и занимается. Но это только во взаимоотношениях РФ и США. Весь мир использует термин "кибербезопасность" (cybersecurity). И несмотря на яркое сопротивление приставке "кибер" со стороны МИД, этот паразит уже прочно вошел в нашу лексику, включая и лексику Президента, который его регулярно вставляет, говоря о киберпространстве и его милитаризации.

Именно по этой причине документ, который пишется сейчас в Совете Федерации, называется "Национальная стратегия кибербезопасности". На одном из первых заседаний в СФ, когда мы обсуждали этот документ, были жаркие споры на тему названия - "кибербезопасность", "информационная безопасность", "безопасность в сфере ИКТ"... И одной из задач Руслана Гаттарова, как инициатора этой работы, было уйти от контентной составляющей, сконцентрировашись именно на том, о чем говорят зарубежные стратегии кибербезопасности - европейская, английская, американская, японская, австралийская...

И несмотря на заявления МИДа, документ, подписанный на днях Президентом, опять нас возвращает к информационной безопасности, составной частью которой является манипулирование сознанием, пропаганда, ксенофобия и т.п. Именно по этой причине (чтобы не смешивать то, что важно властям, и то, что интересует традиционных безопасников) я являюсь сторонником использования именно термина "кибербезопасность", а не "информационная безопасность".