Виктор Минин, 10/01/20
Председатель правления АРСИБ (Ассоциация руководителей служб информационной безопасности)
Например, закон о персональных данных прошел этот путь за 10 лет, закон о цифровой (а затем и электронной) подписи – тоже за 10 лет. А теперь вот закон о безопасности КИИ принят с опозданием даже не в 10, а в 15 лет.
Почему так случается? К сожалению, законодатель не всегда достаточно осведомлен об ИТ-технологиях и уж тем более не всегда точно понимает сопутствующие ИТ-технологиям риски. И это беда всего мирового сообщества, зарубежные страны сталкиваются с аналогичными проблемами.
В итоге закон о безопасности КИИ все же принят, идет его реализация, но идет, надо признаться, тяжело. Есть закон, есть подзаконные акты, но нет понимания важности самой проблемы обеспечения безопасности КИИ! С точки зрения психологии это звучит так: то, чего не понимаю, отрицаю. В результате субъекты КИИ стараются "оптимизировать" свои усилия по выполнению требований закона. Не секрет, что "оптимизация" почти всегда происходит на этапе категорирования объектов КИИ путем искусственного занижения их категории.
Чтобы этого не происходило, ФСТЭК России, кроме прочего, нужно активнее работать совместно с МЧС России, потому что в первую очередь в защите нуждаются такие объекты КИИ, как ядерные, химические, относящиеся к обеспечению жизнедеятельности населения. Порядок, связанный с защитой такой значимой инфраструктуры, должен быть наведен как можно скорее, ведь кризис может случиться в любой момент.
В этом процессе важна роль и общественных организаций – обмен честными данными об обнаруженных уязвимостях между субъектами информационного взаимодействия может существенно улучшить ситуацию. Например, АРСИБ ведет такую работу с момента своего создания. Время умалчивания и выстраивания эшелонированной защиты прошло. Даже 10 лет назад типовой проект по ИБ, который строился полтора-два года, терял актуальность на момент завершения. Сейчас эти сроки еще сократились.
С учетом закона о безопасности КИИ на сегодняшний день необходимо наводить элементарный порядок и выстраивать обмен информацией c центрами мониторинга (SOC/CERT/CSIRT). Начинать нужно уже сегодня, уже сейчас.
Закон о безопасности КИИ стоит на двух столпах. Первый – мониторинг. Это прерогатива ФСБ России, для которой впервые за много лет предусмотрен новый вид деятельности, внесены дополнительные изменения в закон о ФСБ России.
Вторая составляющая – суметь правильно защитить объекты КИИ. Это связано с деятельностью ФСТЭК России, которая готовит необходимые нормативные акты, направленные на обеспечение безопасности. Тут же можно упомянуть и огромное количество документов по таким направлениям, как персональные данные, ГИС, АСУ ТП. Отмечу, что сейчас мы видим реинкарнацию закона об АСУ ТП (КСИИ), только с точки зрения КИИ.
Лет пять-шесть назад на одной из конференций безопасники пришли к выводу, что в сфере ИТ есть импортозамещение, а в сфере ИБ есть импортосовмещение. Это связано с большим количеством технологий, для которых отсутствуют отечественные аналоги, в первую очередь это касается микроэлектроники и операционных систем. Уже лет пять обсуждается вопрос появления наших процессоров, но реальные продукты единичны, и в массовом применении их нет. Соответственно, мы кричим про импортозамещение, про стимуляцию бизнеса, но скорость реализации этих идей оказывается крайне медленной.
Как это изменить? Ответ прост и очевиден: нужно консолидировать усилия и совместно создавать технологии, которые сейчас выпадают из стека импортозамещения. Нужно обратить внимание на отечественные процессоры "Эльбрус" и мобильную операционную систему "Аврора". Пока эти продукты находятся в начальной стадии развития и массово продаваться вряд ли смогут. По сути, даже эти продукты на настоящий момент нишевые, они ориентированы на использование в органах государственной власти, они не массовые. Но когда будут созданы продукты с востребованной на сегодняшний день функциональностью, вот тогда ситуация с импортозащением начнет кардинально изменяться. Нам нужно научиться создавать отечественные флагманские продукты.
И все же идея импортозамещения – правильная, в том числе и с точки зрения поддержки промышлености. Но пока, исходя из того, что мы видим в последние 10 лет, есть ощутимая тревога за успешность ее реализации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019
