12.5.17

Обзор Стратегии развития информационного общества

9 мая Президент подписал Указ №203, утвердив новую Стратегию развития информационного общества до 2030-го года. Прежняя была реализована неполностью и вот новая попытка. Сложно говорить о том, насколько она будет успешной (все-таки срок стратегического планирования отодвинут до 2030 года, а это значит, что как в притче про Ходжу Насредина - "либо ишак, либо эмир, либо Ходжа". Поэтому дистанцируясь от реалий, поделюсь тезисно тем, что мне запомнилось из этого документа применительно к теме ИБ:

  • Вводится достаточно много новых терминов, имеющих более привычные нам английские аналоги - Big Data, Fog computing, Industrial Internet, Internet of Things, Cyberspace и др.
  • В отличие от прошлой стратегии в нынешней много говорят (местами завуалированно) о безопасности, включая и безопасность критической информационной инфраструктуры.
  • Вводится понятие "безопасного ПО и сервиса", под которым понимается сертифицированное по требованиям ФСБ и ФСТЭК ПО и сервис. Умолчим о том, где у нас требования по сертификации сервисов, но движение в этом направлении понятно и предсказуемо. Правда зачем нужно это понятие по тексту Стратегии непонято - оно нигде не упоминается.
  • Вводится понятие "технологически независимого ПО и сервиса", то есть такого, которое обслуживается и поддерживается в Крыму, не обновляется принудительно из-за рубежа (даже в случае наличия в нем критических уязвимостей), не управляется из-за рубежа, а также которые не передают ничего несанкционированно за пределы РФ (укол в сторону Windows 10?). Вообще про защиту от несанкционированной и незаконной трансграничной передачи информации говорится в нескольких местах. Как и в случае с понятием "безопасного ПО" термин "технологически независимое ПО" тоже непонятно зачем введен в Стратегии - он нигде не упомянут.
  • Терминология в части КИИ совпадает с законопроектом по безопасности КИИ, а значит, что упомянутые мной в декабре проблемы со списком отраслей, где могут быть критические инфраструктуры остались нерешенными и, видимо, их и оставят нерешенными (а то получится, что в законе по КИИ у нас одни отрасли, а в указе Президента - другие).
  • Иностранные технологии официальны признаны угрозой национальной безопасности и мешающими защите граждан и государства в информационной сфере.
  • Официально объявленный курс на изоляционизм и протекционизм как-то сочетается с желанием вывести отечественные технологии на мировой рынок и сделать их конкурентноспособными. То, почему это будет сделать сложно, хорошо написал Александр Чачава в своей недавней статье.
  • В очередной раз заявлено о необходимости создавать и развивать нормативную базу под ГосСОПКУ. Я про это писал пару лет назад, но с тех пор нормативки по ГосСОПКЕ у нас почти не появилось (кроме методички по созданию центров ГосСОПКИ - часть 1, 2 и 3).
  • Интернет-сайты, соцсети и мессенджеры будут регулировать еще больше.
  • Информационная инфраструктура РФ (читай, Рунет) должен централизованно мониториться и управляться. Как это сделать применительно к изначально децентрализованному Интернету не совсем понятно, но отдельные идеи в прессу просачиваются. Вполне допускаю, что Минкомсвязь вытащит из под полы проект приказа по использованию для управления магистральным оборудованием только сертифицированных по требованиям ИБ средств управления.
  • Также требуется обеспечить устойчивость, безопасность и независимость функционирования российского сегмента Интернет. Про это уже не раз Минкомсвязь выпускал нормативку, но как обычно забивал болт на контрол ее исполнения (по крайней мере РКН, который уполномочен это делать, занимается совсем другими вещами).
  • В очередной раз требуется перейти на использование отечественной криптографии при обмене не только между госорганами и муниципалами, но и с гражданами и предприятиями. Видимо прошлое поручение Президента пока не спешат реализовывать.
  • В информационной инфраструктуре необходимо заменить все импортное на свое родное, а также защитить ее с помощью ГосСОПКИ (раньше ГосСОПКУ распространяли только на критическую информационную инфраструктуру). Требование про непрерывный мониторинг и анализ угроз при наличии ГосСОПКИ, которая это и делает, не совсем понятно. Видимо, разные люди писали. На свои технологии надо также перейти в госорганах, органах местного самоуправления и компаниях с госучастием. В сетях связи должно использоваться оборудование и ПО, производство и ремонт которых (а также запчастей) должно производиться на территории России (и процессоры?).
  • В очередной раз требуется создать сугубо отечественное системное и прикладное ПО, железо и пользовательские устройства (очередной Йотафон?) и чтобы там непременно были встроенные российские средства защиты информации.
  • 31-й пункт вроде посвящен защите данных (не информации), но что хотели сказать авторы не до конца понятно, кроме общих фраз по защиту прав субъектов персданных и контроль трансграничной передачи ПДн.
  • Постулируется необходимость одновременно обеспечивать конфиденциальность пользователей и исключать их анонимность.
  • Предлагается усилить участие России в международных организациях по стандартизации.
  • Технологии ИБ должны стать одним из направлений развития отечественных ИТ. Это позитивно, но хотелось бы увидеть конкретные шаги для этого (пока ни один из регуляторов не сделал ничего для развития отрасли средств защиты информации). Про это в Стратегии написано много, но пока на уровне хотелок.
  • Говорится о трансфере иностранных технологий и применение лучшего зарубежного опыта в сфере ИТ. Интересная идея, но вот как она будет реализовываться на фоне существенного сокращения применения иностранных технологий и по сути постепенного запрета работы иностранных ИТ-компаний в России?
  • Развитие технологий удаленной идентификации и аутентификации пользователей, а также формирование трансграничного пространства доверия к электронной подписи.
  • В НПС рекомендуется применять сертифицированные средства защиты информации. Про это я уже писал в контексте новых требований ЦБ по ИБ.
  • Локализация не только ПДн, но и всей информации, которая создается и обрабатывается иностранными организациями в рамках цифровой экономики России. Это требование будет покруче ФЗ-242 по локализации ПДн россиян.
В целом Стратегия выглядит немного странновато - очень много повторов и пересечений между разделами. Такое впечатление, что документ писался разными экспертами (так оно и было на самом деле), но потом кто-то не очень сведущий в предмете регулирования свел все предложения воедино, не сильно задумываясь над конечным результатом. Главное, чтобы документ читался и в нем были правильные слова. Вот эта задача была выполнена на 100%. Подождем конкретных НПА, которые должны реализовать все указанные в Стратегии положения. В течение полугода они, как минимум, основные, должны быть приняты Правительством и ФОИВами.

1 коммент.:

Александр Германович комментирует...

"Такое впечатление, что документ писался разными экспертами (так оно и было на самом деле), но потом кто-то не очень сведущий в предмете регулирования свел все предложения воедино, не сильно задумываясь над конечным результатом. Главное, чтобы документ читался и в нем были правильные слова."

Золотые слова. У нас ведь вся нормативка так пишется, и не только общегосударственная, но и ведомственная тоже: разным департаментам раздают указания "быстро написать!", они быстро пишут, потом кто-то не очень сведущий все это быстро объединяет в один документ.

Но это не проблема: при рарзарботке последующих НПА никто не будет следить за тем, чтобы они соответствовали Стратегии или хотя бы ей не противоречили. Стратегия сама по себе, НПА сами по себе.