Почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ?

Почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ?
Пока специалисты, выйдя из отпусков и выходных, разбирается в WannaCry (вот тут можно про это более подробно почитать), решил я опубликовать философскую заметку. В продолжение темы Стратегии развития информационного общества. На самом деле речь пойдет не только о Стратегии, но и, например, о Доктрине ИБ, в разработке которой мне довелось участвовать и я даже получил благодарность СовБеза, и о проекте Стратегии кибербезопасности РФ, которая писалась в Совете Федерации, и о ряде других доктринальных и стратегических документах.

Начну с банального тезиса - в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) - есть куча приглашенных для работы над "Стратегией/Доктриной" экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает "вот эта идея прикольная, вставлю ее в финальный документ". И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу - набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем  принцип Питера , который звучит как "в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности". Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.

Я всегда считал, что стратегия - это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы : "Надо понимать, что стратегия определяет тактику" С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? "Пользователями Интернет в 2016-м году стали", "В России с 2014-го осуществляется подключение" и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния "как есть" в состояние "как хочется". Это и будет стратегия. Но у нас все объединяют вместе и получается...

Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкретными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает , что "отсутствие конкретики и показателей эффективности - это правильно". Если нет измеримой цели, то двигаться можно куда угодно - все направления будут одинаково хороши.

Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура - VSE, которая расшифровывается как "Vision. Strategy. Execution" ("Миссия. Стратегия. Исполнение"). Циничные продавцы превратили ее в "Vision, mission и comission" ("Миссия и комиссия", то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.

Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с "Россия должна..." или "Россия может...". Я это "должна" и "может" уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.

Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.

ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь