Обычно крупные заметки по разным темам я стараюсь разделить на несколько, но эту решил опубликовать так, как есть.
С вниманием власти к ИБ у нас все хорошо, реализация задуманного хромает.
Нельзя сказать, что российская власть не занимается вопросами ИБ, или игнорирует ИТ, не понимая их важность. Хромает у нас лишь реализация задуманного, а с вниманием к теме у нас все хорошо. Принимаются поправки в Уголовный кодекс , разрабатываются новые постановление о лицензированию деятельности по разработке СЗИ по линии ФСТЭК, Минэкономразвития разрабатывает постановление о лицензировании в области шифрования, Путин распорядился определить ФСБ национальным координирующим органом в сфере обеспечения ИБ в рамках ОДКБ, Минсвязи назначено уполномоченным органом в сфере использования электронной подписи … Одним словом с вниманием власти к ИБ у нас все хорошо!
Но есть проблема. Силовые ведомства в России не меняются под изменяющуюся жизнь и практически любой нормативный акт по ИБ, прошедший силовиков не работает. Более того, силовики, по каким-то своим причинам, не желают привлекать сторонних экспертов. Судьба письма Президенту , которую описал Алексей Лукацкий, это явно показывает. [Лучше сделать плохой документ самим, чем хороший с привлечением кого-тоk это позиция наших силовиков. Печально, коллеги, но это факт.
К чему я веду? Регуляторы – наша системная проблема! Специалисты скажут баян, сколько можно об этом говорить? Сколько можно, столько и нужно! Руководство регуляторов должно понять, что не будет весь мир и здравый смысл подстраиваться под их представление об этом мире.
Интересно то, что первые лица государства очевидно понимают, что регуляторы создают проблемы, однако упорно продолжают проводить через них все нормативные документы. И поправки в закон о ПДн самый лучший тому пример.
Ситуация с персональными данными
Пользуясь моментом, чтобы не выносить в отдельный пост, сообщаю, что из 2-х источников появилась информация о состоянии дел с подготовкой Постановлений Правительства по ПДн:
[Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данныхk
[Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данныхk.
Никаких позитивных изменений там не будет. Ситуация с уровнями защиты только усложнит существующую модель с классами, а требования к защите будут включать ПЭМИН. Короче, как увидим результат будем смеяться и плакать одновременно.
Власть считает, что перемены в ИБ нужны. Но понимает ли какие?
Медведев за последние несколько недель дважды поднимал вопрос регулирования ИБ:
1) Совсем недавно по интернету прошла волна о начале разработки [национального фаерволаk. Суть новости в том, что Медведев предложил Касперской сформулировать предложения по защите детей от нежелательного контента в интернете. На встрече Медведев и Путин разошлись во мнениях, кто должен заниматься этой работой. Путин предложил поручить работу Совету безопасности (в нашем случае, читай ФСБ), а вот Медведев сказал: [Я не уверен, что эта задача для Совета безопасности, потому что там нет специалистов это лучше сделать все-таки на другой площадкеk.
Также Медведев сказал, что правоохранительные органы, которые занимаются проблематикой нежелательного контента, делают это [не слишком удачноk.
Ну и в заключение Медведев добавил: [Без вас (Касперская)… напишут такую ересь, что после этого вы сами придете ко мне и скажете: Вы хотите сделать у нас китайский интернет?k
2) И вот, не далее как в пятницу, Медведев подписал перечень поручений по итогам заседания Международного консультативного совета по созданию и развитию международного финансового центра в РФ. Среди поручений Правительству указано:
рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации и представить соответствующие предложения.
Срок 1 марта 2012 г.
Ответственный: Путин В.В.
2. Правительству Российской Федерации совместно с Банком России:
а) представить предложения
по внесению изменений в законодательство Российской Федерации о ценных бумагах в целях установления для резидентов Российской Федерации возможности самостоятельно выпускать долговые ценные бумаги, обращающиеся на внешнем рынке.
Срок 1 марта 2012 г.;
Жажда создания в Москве международного финансового центра подталкивает власти рассматривать возможности перемен в области ИБ. Если вопрос криптографии носит статус [священной коровыk, то вопрос [о признании международных стандартов в области защиты информацииk кажется очень перспективным.
Не смотря на то, что последние годы я занимался продвижением СТО БР ИББС и считаю его самым удачным стандартом по ИБ в России, тем не менее, РФ нужно принимать западные стандарты по ИБ [в полный ростk и без всяких [НОk. И причина тут не технологическая, а экономическая. Для вхождения в мировое экономическое пространство мы не можем изобретать велосипеды , нам нужно принимать существующие правила игры и работать по ним. Центральные банки Казахстана и Украины не желают принимать наш СТО БР, для них он избыточен. Они склоняются к ISO 27-й серии, что вполне понятно. Другими словами, о какой Евразийской интеграции или о Таможенном союзе мы можем говорить, когда мы даже стандарты с нашими партнерами согласовать не можем?
В качестве эксперимента я показал знакомому безопаснику из казахского банка письмо АРБ по поводу новой редакции 152-ФЗ. Он сказал, что ничего не понял 
. К слову, хороший обзор письма уже сделал Игорь Бурцев, всем банковским безопасникам желательно с ним ознакомиться.
Кто теперь наша власть и куда мы идем?
Все знают имя следующего президента, его прошлое и настоящее, осталось спрогнозировать будущее. Помня позицию Путина по поводу площадки для разработки [национального фаерволаk, держа в голове прямое подчинение ФСБ Президенту РФ и вспоминая отсутствие положительных сдвигов в области ИБ при президентстве [либеральногоk Медведева, я делаю вывод
А какой вывод делаете вы?
