понедельник, 17 марта 2014 г.

Концепция Стратегии кибербезопасности Российской Федерации. Комментарии.

Данный комментарий был размещён на "Яндекс.Диске" 27.01.2014г. Дискуссия по проекту затихла, но чтобы было с чем сравнивать, когда проект станет официальным документом, я решил перенести его на этот ресурс.

Я решил продолжить свой опыт анализа нормативных правовых актов  с точки зрения здравого смысла и  логики, как это было сделано впервые при анализе 152-ФЗ «О персональных данных» (Инсайд. Защита информации, 2012, № 1-3). По форме это выглядит так: сначала я воспроизвожу полностью часть текста проекта «Концепции Стратегии кибербезопасности Российской Федерации», в котором выделяю курсивом фразы, на которые считаю необходимым обратить внимание, а затем привожу свой комментарий и/или предложения по его корректировке. Текст комментария печатается полужирным курсивом и размещается сразу после цитируемого фрагмента (абзаца) проекта. Выделенному слову или словосочетанию соответствует отдельный абзац комментария. Кроме того, жёлтым цветом выделены термины, обозначающие социальных субъектов. Сделано это с целью обратить внимание разработчиков проекта на нарушение логического закона тождества. Такое разнообразие субъектов и, следовательно, их понятийная неопределённость неизбежно породит массу правовых коллизий.
Работа не завершена, но сроки «поджимают». Некоторые пункты я прокомментировать не успел, а только отметил спорные места и оставил для комментария место. При наличии времени и, главное, необходимости, я завершу начатое. Необходимость будет определяться интересом общественности к такого рода деятельности. Отдаю себе отчёт, что читать подобные документы – не очень увлекательное занятие, требующее времени и вдумчивости. Но надеюсь, что такие читатели найдутся. Если я где-то был не очень убедителен или ошибся – пишите мне на электронный адрес, постараюсь обосновать более развёрнуто или признаю свою ошибку (с благодарностью).


Атаманов Г.А.
Комментарий к проекту Концепции Стратегии
кибербезопасности Российской Федерации,
размещённому на сайте Совета Федерации


КОНЦЕПЦИЯ СТРАТЕГИИ КИБЕРБЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ

Концепция – это способ понимания, трактовки каких-либо явлений, основная точка зрения, руководящая идея для их освещения; система взглядов на явления, ведущий замысел. Стратегия – недетализированный план деятельности на длительный период. Получается, что «Концепция Стратегии» - это система взглядов на недетализированный план деятельности. Во-первых, это нонсенс, во-вторых, данный проект, по факту, – ни система взглядов, ни план. С точки зрения логики и здравого смысла должно быть либо Концепция, либо Стратегия. Но ни «Концепции кибербезопасности», ни «Стратегии кибербезопасности» тоже быть не может. Официальная трактовка «безопасности» - «состояние защищённости». Подставив, получим: «Концепция состояния защищённости» или «Стратегия состояния защищённости» или как в проекте – «Концепция Стратегии состояния защищённости», что является абсурдом. Даже, если принять мою трактовку безопасности, как ситуации, при которой объекту не может быть причинён вред, на выходе получится то же. И «стратегия состояния», и «стратегия ситуации» - абсурд. Должно быть либо «Концепция обеспечения кибербезопасности», либо «Стратегия обеспечения кибербезопасности».

Проект

Настоящая Концепция обосновывает необходимость и своевременность разработки Стратегии кибербезопасности Российской Федерации (далее – Стратегии), определяет ее принципы и направления, а также ее место в системе нормативных актов государства.

Концепция ничего не обосновывает! Она трактует! Если «Концепция Стратегии» трактуется как «концепция закона» (хотя Стратегия далеко не закон), которая есть «обоснование необходимости принятия закона и совокупность положений, отражающих его основное содержание; это научно обоснованная  интегративная характеристика целей, предмета и способов правового регулирования проектируемого закона» (http://slovari.yandex.ru). Подчёркиваю – научно обоснованная. Представленная Концепция далека от научности.
Данные документы безнадёжно отстали от жизни, и обоснование их своевременности означает оправдание своего бездействия.
Стратегия (т.е. план) – это порядок действий и он не может иметь направлений!

I. Актуальность разработки Стратегии

Актуальность ≠ своевременность. Если в преамбуле – своевременность, то и в тексте должно быть так же.

Информационные и коммуникационные технологии (ИКТ) стремительно развиваются, усиливая свое влияние на все ключевые сферы деятельности гражданина, организаций и государства в Российской Федерации. Сеть Интернет и другие составные элементы киберпространства утвердились в качестве системообразующего фактора российского экономического развития и модернизации. Внедрение ИКТ в процессы государственного управления является основой построения эффективного и социально ответственного демократического государства в XXI веке. В связи с этим требуется целенаправленная и системная государственная политика развития национального сектора применения информационных технологий.

Использование термина «гражданин» в единственном числе, а «организаций» во множественном, говорит о том, что речь идёт об одном гражданине? Тогда кто это? Если обо всех,  тогда должно быть «граждан». Но деятельностью занимаются не только граждане, но и лица без гражданства. В Стратегии они будут проигнорированы?
Фраза «деятельности ... государства в Российской Федерации» говорит о том, что в РФ есть ещё какое-то государство, которое в нём действует? Речь идёт о деятельности государства в государстве?
Пространство – это форма форм, оно едино. Внутри пространства находятся материальные объекты, которые состоят из элементов, но само пространство не имеет составных элементов.
Системообразующим фактором системы является её функция. Интернет и другие элементы – материальные объекты и потому не могут быть «системообразующими факторами», тем более «российского экономического развития», которое ни при каких обстоятельствах не может быть системой. Кроме того «российское экономическое развитие» - это что? Термин «российское экономическое развитие» не тождественен термину «экономическое развитие России», который был бы гораздо более уместен.
Основой «построения эффективного и социально ответственного демократического государства» не только в XXI веке, но и во все времена,  была мудрая и социально ответственная политика правительства. «Внедрение» же не может быть «основой». Основой чего-нибудь может быть ИКТ. Но назвать ИКТ основой «построения эффективного и социально ответственного демократического государства» - это значит унизить роль власти, да и саму власть.
Термин «сектор применения» - это «пустое понятие», что-то вроде «сектора газа».

 В то же время вместе со значительным ростом возможностей проникновение ИКТ во все сферы жизни вызывает возникновение ряда новых и развитие некоторых существующих угроз личности, обществу и государству.

О росте каких возможностей и возможностей кого/чего идёт здесь речь? Кроме того «проникновение … вызывает возникновение», да ещё и угроз, - звучит как насмешка.
Как понимать фразу «развитие … угроз»? Угрозы развиваются?
В фразе «угроз личности, обществу и государству» речь опять идёт об одной личности? Если речь идёт обо всех личностях, живущих в России, то в тексте слово «личность» должно быть во множественном числе – «угроз личностям» и далее по тексту. Если действительно об одной, то лучше указать конкретно кому, как считают разработчики, адресованы эти угрозы. Кроме того, в первом абзаце Ч.1 перечислены «гражданин, организации, государство», здесь – «личность, общество, государство». Налицо нарушение логического закона тождества. Кроме того, в очередной раз обращаю внимание на то, что «личность, общество, государство» в качестве и объектов, и в качестве субъектов угроз – абсурд (подробнее об этом можно прочитать в моих статьях на Наука-XXI, журнале «Инсайд. Защита информации» и др.).

Трансграничный характер киберпространства, его зависимость от сложных информационных технологий, активное использование площадок и сервисов киберпространства всеми группами граждан России определяют новые возможности, но при этом и развивают новые угрозы для:
нанесения урона правам, интересам и жизнедеятельности личности, организации, государственных органов;
проведения кибератак против защищаемых информационных ресурсов со стороны киберпреступников и кибертеррористов;
использования кибероружия в рамках специальных операций и кибервойн, в том числе сопровождающих традиционные боевые действия.

Киберпространство не может быть трансграничным, так же как, например, «воздушное пространство». Трансграничным (т.е. пересекающем границы) может быть перемещение материального объекта (например, полёт; перевод денежных средств; передача информации и т.п.).
У киберпространства нет и не может быть ни площадок, ни сервисов. Площадки и сервисы есть у Интернета. Но нужно понимать, что и это сленг.
«Группы граждан» - это что? О каких группах идёт речь? Кто группировал?
«… характер … определяет возможности»?!
Как понимать фразу «развивают новые угрозы»? Разве можно развивать угрозы?
 Нанести урон (лучше было бы ущерб) можно индивиду, организации, государству, но не правам, интересам и жизнедеятельности.
Здесь в качестве субъектов перечислены: личность (опять в единственном числе), организация (в единственном числе), государственные органы (во множественном числе)?!
Смысл фразы «…угрозы для: … использования кибероружия» прямо противоположен здравому смыслу, но может быть таков замысел разработчика? Или это его очередной недогляд?

В настоящее время в Российской Федерации принят ряд документов, направленных на обеспечение различных аспектов национальной информационной безопасности. Среди них Доктрина информационной безопасности Российской Федерации, Стратегия развития информационного общества в Российской Федерации и другие документы. Однако существующее регулирование не охватывает в необходимой мере систему отношений, возникающих в рамках киберпространства как элемента информационного пространства.

Документов, регламентирующих «национальную информационную безопасность» в РФ нет! Российская Федерация – название государства. Поэтому Доктрина информационной безопасности Российской Федерации – это Доктрина информационной безопасности государства под названием Российская Федерация. «Государство» и «нация» далеко не одно и то же. По этой причине понятия «государственная безопасность» и «национальная безопасность» не тождественны. Я перечитал (просмотрел) кучу литературы по этой теме и не встретил ни одного более-менее внятного и логичного определения. «Национальная безопасность» - это безопасность нации, а «государственная безопасность – безопасность государства. Нация (от лат. natio – племя, народ) - историческая общность людей, складывающаяся в ходе формирования общности их территории, экономических связей, литературного языка, некоторых особенностей культуры и характера. Государство – триединство территории, населения, конституционного строя. В традиции российской гуманитарной науки принято связывать нацию с территорией, поэтому у нас понятие «нация» носит интровертивный характер и близко понятию «население» (но не тождественно ему). Поэтому объём понятия «государственная безопасность» значительно больше объёма понятия «национальная безопасность».  А, например, в американской традиции понятие «нация» не связывается с территорией и  потому носит экстравертивный характер и по объёму значительно превосходит понятие «государственная безопасность». Получается, что для России: «государственная безопасность» = «безопасность территории» + «безопасность населения» + «безопасность конституционного строя». Или так: «государственная безопасность» ≈ «военная безопасность» + «национальная безопасность» + «социальная безопасность», где «национальная» - производная от «нация», а не от «национальность».
Регулирование ничего не охватывает. Регулирование осуществляется. Фраза «существующее регулирование не охватывает» - абсурд.   А что такое «мера охвата»? И какая у охвата может быть мера?
Ещё раз: у киберпространства не может быть рамок.

В целях реализации связанных с использованием функционала киберпространства возможностей и установления контроля над возникающими рисками остро встает вопрос о необходимости подготовки специального документа в данной области. Принимая во внимание комплексный характер проблемы, ее масштаб, перспективу долговременного развития, накопленный международный опыт, обоснованным представляется выбор стратегии как формы документа.

Что такое «функционал киберпространства» и как его можно использовать? Квазинаучный стиль изложения, приводящий к абсурду.
Что такое «контроль над рисками»? И как можно риски контролировать?
Перспектива долгосрочного развития … проблемы? Как понимать фразу «долгосрочное развитие проблемы»? Проблемы развиваются?
«… выбор стратегии как формы документа»?! Стратегия – форма документа? Даже если «стратегия» с прописной буквы, т.е. как обозначение сокращения, она не может быть «формой документа». В этом случае она – документ. Стратегия может быть представлена в форме документа, но так, как написано в тексте проекта, – абсурд.

II. Место кибербезопасности в структуре информационной безопасности
Разработка Стратегии как документа, направленного на получение планируемого результата с учетом долговременного развития, требует четкого обозначения круга проблем, которые будут решены в рамках работы по обозначенным в Стратегии направлениям. Поэтому особое значение имеет определение понятия «кибербезопасность».

В главе, посвящённой обозначению места кибербезопасности в информационной безопасности (что само по себе уже странно: зачем?), речь идёт о Стратегии?! Не проще было бы назвать этот раздел «Термины и определения»?
«… долговременного развития» чего или кого? США? Стейкхолдеров? Или всё-таки России? В любом документе требуется конкретика, а в документе такого уровня – тем более.
Проблема – практически неразрешимый вопрос. Вопрос, на который будет дан ответ, – задача. Отсюда должно быть: круга задач, которые должны быть решены. Именно «должны быть решены», но не «решены»! Лично я уверен, что они никогда не будут решены, хотя бы потому, что это невозможно в принципе. Обеспечение безопасности – это непрерывный процесс, его нельзя остановить. Безопасность будет обеспечиваться, но никогда не будет обеспечена. Это азбука безопасности.

В Стратегии киберпространство должно рассматриваться как определенный, имеющий четкие границы элемент информационного пространства. Такой подход согласуется с положениями международных стандартов, которые дают определения терминам из сферы информационной безопасности и устанавливают их соотношение. «Кибербезопасность» понимается, таким образом, как более узкое по смыслу понятие, чем «информационная безопасность».

В Стратегии киберпространство должно рассматриваться так, а где-то иначе?
Киберпространство (равно как и информационное пространство) - это метафора, виртуальное понятие. У него нет и не может быть границ! Пространство, какое бы оно ни было, не имеет границ. Оно бесконечно, едино и неделимо. А тут получается «пространство в пространстве».

Стратегия должна базироваться на следующей системе понятий:

Система – это система, а не 4 алогичных дефиниции. Кроме того, здесь (как и в любом другом документе) представлены не понятия, а термины и их определения.

1) информационное пространство – сфера деятельности, связанная с формированием, созданием, преобразованием, передачей, использованием, хранением информации, оказывающая воздействие, в том числе на индивидуальное и общественное сознание, информационную инфраструктуру и собственно информацию;

Определение пространства как сферы деятельности – признак полного методологического невежества. Пространство не может быть ни сферой, ни, тем более, деятельностью! Пространство – абстрактное понятие, условная форма бытия множества предметов материального мира. Следовательно, информационное пространство - абстрактное понятие, условная форма бытия подмножества предметов, имеющих отношение к производству, обработке и хранению информации. «Информационное пространство» – это метафора, термин, употреблённый в переносном значении. Онтологически – всё есть информация и информация есть во всём. Исходя из этого, объективно, информационное пространство тождественно абсолютному (ньютоновскому) пространству.
Любая деятельность в социуме связана с формированием, созданием, преобразованием, передачей, использованием, хранением информации, любая деятельность оказывает воздействие на индивидуальное и общественное сознание, даже такая, как добыча угля или рубка леса.
Неплохо было бы дать определение понятию «информационная инфраструктура». При этом следует учесть, что СМИ, библиотеки, издательства, театры и кинотеатры, музеи и  школы тоже являются элементами информационной инфраструктуры. Кстати, и «беззубые старухи» (из песни В.Высоцкого), которые разносят слухи «по умам», тоже. 

2) информационная безопасность – состояние защищенности личности, организации и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве;

Набило оскомину: безопасность не может быть ни «состоянием», ни «состоянием защищённости»! Тем более с 2010 года эта формулировка уже и вне закона. Безопасность объекта – ситуация, при которой ему не может быть причинён вред (более подробно в Инсайд. Защита информации, 2012, №5 или на Наука-XXI). Информационная безопасность участника информационных отношений – ситуация, при которой удовлетворяются его информационные потребности, направленные на позитивное развитие его и социума, на него не оказывается деструктивное информационное воздействие и не наносится вред его информационным ресурсам.
Опять новые субъекты: личность, организация, государство. Все в единственном числе. До этого субъекты были иными. Опять нарушение логического закона тождества. 

3) киберпространство – сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства);

Подставив в определение «киберпространства» определение «информационного пространства», приведенное в п.1 этого параграфа получим: «Киберпространство – сфера деятельности в сфере деятельности, связанной с формированием, созданием, преобразованием, передачей, использованием, хранением информации, оказывающая воздействие, в том числе на индивидуальное и общественное сознание, информационную инфраструктуру и собственно информацию». «Сфера деятельности в сфере деятельности»!? Верх абсурдизма. Киберпространство – это абстрактное понятие, условная форма бытия подмножества предметов материального мира, состоящего из киберсистем. А киберсистема – разновидность системы, состоящей из киберустройств, соединяющих их коммуникаций, программного обеспечения и создаваемых, обрабатываемых, передаваемых и хранимых в (на) них информационных объектов. 
«… сфера деятельности …, образованная совокупностью коммуникационных каналов» - это не меньший абсурд! «Сфера деятельности» - идиоматический оборот и она ни при каких обстоятельствах не может образовываться совокупностью каналов. Для пояснения применю метод аналогии: сантехбезопасность – сфера деятельности в городском пространстве, образованная совокупностью канализационных каналов и канализационных сетей …». Абсурд? Несомненно!

4) кибербезопасность – совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями.

Информационная безопасность – состояние защищённости, а кибербезопасность – совокупность условий? Почему? Должно быть: кибербезопасность – ситуация, при которой киберсистемам не причиняется (не может быть причинён) вред.
Что значит «составляющие киберпространства»? Какие у киберпространства могут быть составляющие? Это должно быть чётко расписано. Телефонный столб в поле – составляющая киберпространства? Как он должен быть защищён и от каких угроз? Смартфоны, ноутбуки, планшеты и прочие гаджеты – однозначно входят в объём понятия «все составляющие киберпространства». Они тоже должны быть максимально защищены от максимально возможного числа угроз? Как и каких?
Любой безопасник знает, что количество угроз любому реально существующему объекту стремится к бесконечности. Как защититься от бесконечного числа угроз? А как узнать с «желательными» последствиями оказывается воздействие или с «нежелательными»? Даже богу это не известно. Как тогда об этом должен узнавать безопасник?

Анализ показывает, что в официальных российских документах в области информационной безопасности термин «кибербезопасность» не выделяется из объема понятия «информационная безопасность» и не используется отдельно. В то же время в большинстве зарубежных стран он выделен в самостоятельную дефиницию. Необходимо учитывать, что регулирование киберпространства исключительно на национальном уровне невозможно в силу его трансграничности. В связи с этим существует необходимость обозначения в российских документах, посвященных информационной безопасности, термина «кибербезопасность», что позволит установить соответствие между российскими и иностранными нормативными актами, а также даст возможность участвовать в международной нормотворческой работе в сфере кибербезопасности.

В объём понятия входят объекты, охватываемые понятием. Термин не входит в объём понятия, потому и не выделяется. Термин – это слово или сочетание слов, а понятие – форма мышления. Как выделить слово из формы мышления?
Что значит «не используется отдельно»? Даже в этом проекте термин «кибербезопасность» используется отдельно и никогда никак иначе.
Термин не может быть выделен в дефиницию! Дефиниция – это определение понятия. Подставим и получим: термин выделен в самостоятельное определение?! Очередной абсурд!

III. Место Стратегии в системе действующего законодательства
Стратегия имеет свой предмет регулирования, не вступает в противоречие с действующими нормативными актами и не создает избыточного регулирования.

Стратегия ничего не регулирует. Это всего лишь план действий на длительную перспективу.
Использование глаголов в настоящем времени неуместно. Стратегии ещё нет и она ничего не «имеет» и не с чем «не вступает». Она «должна иметь» и «не должна вступать».

Стратегия призвана:
1) устранить имеющиеся пробелы в регулировании обеспечения кибербезопасности Российской Федерации;

Ещё раз: Стратегия – план действий и он ничего не регулирует и не устраняет пробелы!

2) создать основания для включения в процесс обеспечения кибербезопасности Российской Федерации в качестве действующих лиц наравне с государственными органами структуры гражданского общества и бизнес-организации;

Основанием любой деятельности в государстве является его конституция. Всё остальное создаёт условия (если это закон) или способствует их созданию (если это концепция или стратегия).
Понятия «действующие лица» и «бизнес-организации» отсутствуют в российском законодательстве. В то же время есть понятие «субъект».
«Структуры гражданского общества и бизнес-организации» - квазинаучный сленг! Кроме того, наравне с органами нельзя привлечь структуры. Структура – способ организации системы.

3) систематизировать действия всех заинтересованных сторон в целях повышения уровня кибербезопасности Российской Федерации;

«Систематизировать действия»? Действия можно, например, синхронизировать, коррелировать, согласовывать и др. Но как действия систематизировать?

4) сформулировать модель угроз кибербезопасности Российской Федерации, а также направления и меры для противостояния им.

Формулировать модель угроз в документе высшего уровня планирования, как минимум, неуместно. Это задача самого низшего уровня – оперативного. А формулировка направлений и мер противодействия – это вообще уровень технологический.

В части включения Стратегии в систему действующих нормативных актов Российской Федерации следует обратить внимание на следующее:
1. Стратегия основывается на ключевых принципах Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»[1], к которым можно отнести обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации, неприкосновенности частной жизни, недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

Стратегия основывается не на принципах закона, а на самом законе. Она декларирует (или устанавливает) принципы, на которых должна строиться работа по обеспечению кибербезопасности.
Сам 149-ФЗ не выдерживает никакой критики. На его базе ничего приемлемого разработать нельзя.

2. Стратегия согласуется с Доктриной информационной безопасности Российской Федерации (далее – Доктрина)[2] и развивает ее отдельные положения.
Одной из центральных задач в области информационной безопасности, согласно Доктрине, является разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности. Стратегия предусматривает действия по обеспечению безопасности государственных информационных ресурсов, такие как проведение регулярной оценки защищенности государственных информационных ресурсов и систем.

Задач чего? «Задач в области» не бывает (если по-русски). Может быть, например, «задач по обеспечению информационной безопасности».
«Оценка защищённости» - задача оперативного планирования. Включение её в Стратегию есть демонстрация желания разработчиков «застолбить» контрольную функцию и, следовательно, создаёт условия для коррупции.

Задачей Стратегии является организация поддержки отечественных разработчиков программного обеспечения в соответствии с включенными в Доктрину положениями о необходимости развития современных информационных технологий и отечественной индустрии информации.

У Стратегии нет задач! «Задача Стратегии – поддержка разработчиков» - это, примерно, то же, что сказать «задача столба – держать провода». У объектов – назначение, а задачи – у субъектов.
«Индустрия информации» - это что? Индустрия (лат. Industria – деятельность, усердие) – сфера деятельности, сектор экономики, включающий в себя производство (промышленность), сбыт товаров какого-то рода (в том числе и услуг как товара), сопряжённые секторы и потребительскую аудиторию.  «Информация» - это и не сфера деятельности, и не сектор экономики! Термин «индустрия информации» - нулевое понятие, то же, что «индустрия воды», «индустрия нефти» или, ещё нагляднее, «индустрия столба».

В соответствии с Доктриной, к организационно-техническим методам обеспечения информационной безопасности относится формирование системы отслеживания показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. Стратегия, конкретизируя положения Доктрины, предусматривает создание механизма мониторинга киберугроз и реагирования на них, а также открытие общедоступного интернет-портала, посвященного проблемам кибербезопасности, который будет, в том числе, содержать аналитическую и статистическую информацию. Доктрина предусматривает создание единой системы подготовки кадров в области информационной безопасности и информационных технологий. Стратегия, в свою очередь, предлагает набор необходимых мероприятий и действия в целях повышения компетентности специалистов различных сфер в вопросах кибербезопасности.

Интересно, какие сферы жизни и деятельности общества и государства признаны наиболее важными? Кем, когда и где это установлено?
Стратегия не может предусматривать. Пред-усматривают люди в стратегиях.
В очередной раз: всё, что касается Стратегии должно (если вообще должно) быть указано в будущем времени, но никак не в настоящем.
О специалистах каких сфер здесь идёт речь? Спортсмены, сантехники, животноводы, растениеводы и т.д. и т.п. – тоже «специалисты различных сфер».

Отдельно необходимо отметить внимание, которое Стратегия, как и Доктрина, уделяет расширению международного сотрудничества. В этом сотрудничестве главенствующую роль играет, прежде всего, выработка совместных мер по нормативному ограничению распространения и применения информационного оружия.

Опять: Стратегия не может «уделять внимание», потому что у неё нет внимания. Внимание уделяют разработчики в Стратегии.
Причём в Стратегии кибербезопасности «информационное оружие»? Главное «информационное оружие» - СМИ, кино, театр, учебники. Какое отношение к кибербезопасности они имеют? Здесь имеет место банальная подмена понятий. В Стратегии кибербезопасности уместно вести речь о кибероружии. Но прежде, чем вести о нём речь, нужно дать определение этому понятию.

3. Стратегия согласуется с положениями Стратегии развития информационного общества в Российской Федерации (далее – Стратегия развития информационного общества)[3].
Одной из задач Стратегии развития информационного общества является сохранение культуры многонационального народа России, укрепление нравственных и патриотических принципов в общественном сознании, развитие системы культурного и гуманитарного просвещения. Стратегия предусматривает содействие формированию культуры информационной безопасности и повышения уровня цифровой грамотности граждан России.

Национальная культура – один из объектов защиты в информационной безопасности, но не в кибербезопасности. Это абсолютно спекулятивное заявление, неуместное в данном документе.
«Цифровая грамотность» - идиоматический оборот, сленг, а без кавычек – абсурд.

Согласно Стратегии развития информационного общества, общественное развитие базируется на следующих принципах: партнёрство государства, бизнеса и гражданского общества, свобода и равенство доступа к информации и знаниям, поддержка отечественных производителей продукции и услуг в сфере информационных и телекоммуникационных технологий, содействие развитию международного сотрудничества в сфере информационных и телекоммуникационных технологий, обеспечение национальной безопасности в информационной сфере. Стратегия построена на принципах включенного участия всех вовлеченных в систему отношений в рамках киберпространства сторон: гражданского общества, бизнеса и государства.

Общественное развитие не базируется ни на каких принципах. Это объективный процесс, который протекает в соответствии с объективными законами. А Стратегия декларирует только принципы построения информационного общества в России. Это элемент социального проектирования (причём, убогий).

4. Стратегия постулирует ряд подходов, соответствующих «Основным направлениям государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации»[4].

Постулат (от лат. postulatum - требование), утверждение (суждение), принимаемое в рамках какой-либо научной теории за истинное, хотя и недоказуемое её средствами, и поэтому играющее в ней роль аксиомы[5]


5. Стратегия согласуется с «Основными направлениями государственной политики в области формирования культуры информационной безопасности», предусматривая повышение уровня компетенций граждан Российской Федерации в части обеспечения кибербезопасности через разработку новых и расширение существующих образовательных программ, а также организацию просветительских информационных кампаний. 



6. Стратегия поддерживает и развивает положения «Основ государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года»[6] как на уровне взаимодействия государственных институтов, предусматривая участие Российской Федерации в разработке и реализации мер по обеспечению кибербезопасности на международном уровне, так и на уровне взаимодействия организаций, в том числе в части расширения сотрудничества российских коммерческих и корпоративных ситуационных центров с иностранными и международными ситуационными центрами в целях обмена информацией о киберугрозах, использовании защитных технологий, мерах и средствах обеспечения кибербезопасности.



IV. Цель Стратегии
Целью Стратегии является обеспечение кибербезопасности личности, организации и государства в Российской Федерации путем определения системы приоритетов, принципов и мер в области внутренней и внешней политики.

У Стратегии нет и не может быть цели! Цель есть у заказчика, разработчика Стратегии, т.е. у субъекта.
«Кибербезопасность личности», если речь не идёт в данной Стратегии не о киборгах, верх абсурдизма! Равно, как и «кибербезопасность организации» и «кибербезопасность государства». Можно вести речь о кибербезопасности индивидуальных, корпоративных, государственных (т.е. принадлежащих индивиду, корпорации, государству) киберсистем. Но кибербезопасность личности ….
Обеспечить безопасность «путём определения системы приоритетов, принципов и мер» невозможно! Обеспечить безопасность можно путём принятия своевременных и адекватных мер по обеспечению безопасности.

V. Принципы Стратегии

У Стратегии нет принципов! Принципы должны быть у разработчиков, которые они должны соблюдать при разработке Стратегии.

Стратегия кибербезопасности базируется на следующих основных принципах:

Кибербезопасность стоится в соответствии с принципами, но не базируется на них.

1) принцип гарантированности конституционных прав и свобод человека и гражданина в области получения информации и пользования ею;

???

2) принцип максимальной защищенности личности, организаций, в том числе обеспечивающих функционирование критической информационной инфраструктуры, и государственных органов в части функционирования информационных ресурсов, информационных систем и информационно-телекоммуникационных сетей в киберпространстве;

???

3) принцип конструктивного сотрудничества всех субъектов информационного обществаличности, организаций и государства – в области обеспечения кибербезопасности;

Государство может призывать и к неконструктивному сотрудничеству?
Субъектами информационного общества являются «личность, организации, государство»? Личность в ед. числе, а организации во множественном?! Личность и государство не являются субъектами информационного общества. Личность – субъект межличностных отношений, государство – межгосударственных. Субъектами информационного общества являются участники информационных отношений. Например, физические и юридические лица или индивиды и их сообщества, но никак не «личности» и «государство».  

Сферы ответственности действующих лиц:

государство – правовое регулирование сферы кибербезопасности и координация усилий стейкхолдеров;
бизнес – обеспечение кибербезопасности критической информационной инфраструктуры, находящейся в частной собственности, внедрение и соблюдение стандартов кибербезопасности;
общество – повышение уровня цифровой грамотности и обеспечение обратной связи в ответ на усилия государства и бизнеса.

«Действующие лица» - это кто? «Государство» - это «лицо»? А «бизнес»? А обозвать «общество» «лицом» - это как?
Задача повышения грамотности, в т.ч. и «цифровой» (кстати, сленг в НПА государственного уровня), - задача государства, но не общества. Образование, как отрасль, находится под управлением государства, а не общества. Здесь же реализуется принцип «с больной головы на здоровую». 
«Обеспечение ОС» – это стонать как можно громче от гнёта государства и беспредела бизнеса? Или это призыв выходить на Болотную? «Болотная» - это пример действия отрицательной обратной связи общества и государства. К этому призывают разработчики?

4) принцип баланса между установлением ответственности за несоблюдение требований кибербезопасности с одной стороны и введением избыточных ограничений - с другой;

Баланс между «установлением ответственности» и «введением ограничений» – это всё равно, что баланс между круглым и красным.

5) принцип приоритезации рисков кибербезопасности в соответствии с вероятностями реализации киберугроз и размерами негативных последствий от инцидентов кибербезопасности;

Риски прежде всего?

6) принцип систематической актуализации средств и методов обеспечения кибербезопасности в целях противостояния изменяющимся киберугрозам.

Принцип «актуализации средств»  введён здесь с целью «лупить бабло»? Чтобы  противостоять угрозам ни средства, ни методы не нужны. Нужен только объект, который будет противостоять и креативный регулятор, который будет выдумывать угрозы. Средства и методы необходимы, чтобы противостоять атакам и защищаться от нападений.

VI. Приоритеты Стратегии в обеспечении кибербезопасности

Обеспечивать кибербезопасность будет не Стратегия, а субъекты. Приоритеты расставляет правительство в Стратегии, но не Стратегия.

Стратегия предусматривает первоочередную реализацию следующих действий:
1) развитие национальной системы защиты от кибератак и предупреждения киберугроз, поощрение создания и развития частных защитных систем в данной области;

Стратегия пока ничего не предусматривает. В Стратегии должны быть предусмотрены …
Чтобы развивать СЗ от кибератак, её нужно сначала создать.
В какой такой «данной области»? Московской? Воронежской? Тульской?

2) развитие и обновление в соответствии с требованиями времени механизмов повышения надёжности критической информационной инфраструктуры;
3) совершенствование мер обеспечения безопасности государственных информационных ресурсов в киберпространстве;
4) разработку механизмов партнёрства государства, бизнеса и гражданского общества в сфере кибербезопасности;
5) развитие цифровой грамотности граждан и культуры безопасного поведения в киберпространстве;
6) наращивание международного сотрудничества в целях выработки и развития договоренностей и механизмов для повышения глобального уровня кибербезопасности.

 «Механизмов» – это катапульт, пушек, ядерных боеголовок и т.п.? Или здесь речь идёт о других механизмах? Тогда каких?
Глобальный уровень – это что? Или как? И какие ещё есть уровни? Уровень безопасности, по логике, может быть высоким, средним и низким, но не глобальным, региональным и местным, как это будет следовать из применённого здесь принципа классификации уровней.

VII. Направления деятельности по обеспечению кибербезопасности, которые должны быть отражены и уточнены в Стратегии

Обеспечение кибербезопасности Российской Федерации должно осуществляться по следующим направлениям.

Обеспечение не имеет направлений!

1. Принятие общесистемных мер по обеспечению кибербезопасности, в частности:
организация проведения регулярной оценки и анализа защищённости государственных и муниципальных информационных систем и информационно-телекоммуникационных сетей, критической информационной инфраструктуры от киберугроз;

Сначала оцениваем, потом анализируем? Это очень по-нашему.
Киберугрозы – это что? Угрозы, исходящие от киборгов?

принятие стандартов кибербезопасности и определение механизма проверки их соблюдения;

Как можно стандартизировать безопасность вообще и кибербезопасность в частности? Что может быть выбрано в качестве стандарта безопасности? Какая безопасность будет стандартной?

гармонизация национальных стандартов Российской Федерации и международных стандартов информационной безопасности, обеспечение перевода на русский язык действующих и подготавливаемых иностранных стандартов в целях информирования специалистов в области информационной безопасности и использования в нормотворческой работе;

«гармонизация стандартов» - ???
Причём здесь «информационная безопасность».

развитие государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в том числе создание и развитие сети государственных и корпоративных ситуационных центров и центров реагирования на инциденты кибербезопасности;

 «Компьютерные атаки» и «кибератаки» – это не одно и то же? В чём разница? Термин «компьютерная атака» требует определения.

разработка, утверждение и подготовка к использованию антикризисного плана пресечения попыток реализации или непосредственной реализации киберугроз национального масштаба, в том числе во взаимодействии с иностранными государствами, организациями и гражданами.

Кто масштабировал угрозы? Какие масштабы могут быть ещё? По применённой логике могут быть «угрозы городского масштаба», «угрозы деревенского масштаба» или «угрозы школьного масштаба»?! Или «угрозы этнического масштаба»?!

2. Совершенствование нормативно-правовой базы и правовых мер обеспечения кибербезопасности, в частности:



проведение аудита и создание механизма обновления требований и рекомендаций по кибербезопасности в отношении государственных и муниципальных информационных систем, информационно-телекоммуникационных сетей, критической информационной инфраструктуры организаций с частным и государственным участием;



системное совершенствование законодательства Российской Федерации в сфере кибербезопасности, в том числе на основе адаптации правовых норм из законодательств зарубежных государств, и приведение законодательства Российской Федерации в сфере кибербезопасности в соответствие с ратифицированными международными соглашениями;



расширение практики привлечения экспертного сообщества, научных и некоммерческих организаций к подготовке ключевых проектов нормативных документов в сфере кибербезопасности;



ужесточение административной и уголовной ответственности за преступления, совершенные в киберпространстве, введение норм уголовной и административной ответственности за традиционные правонарушения, совершенные с применением информационно-коммуникационных технологий; упрощение взаимодействия правоохранительных органов с иностранными уполномоченными органами при расследовании инцидентов кибербезопасности;

«Традиционные правонарушения» - ???

подготовка нормативно-правовой базы для совершенствования и применения технологий облачных вычислений, а также разработки и функционирования «облачных» сервисов.

3. Проведение научных исследований в области кибербезопасности, в частности:

реализация научно-технических программ и исследований в соответствии с «Основными направлениями научных исследований в области обеспечения информационной безопасности Российской Федерации», утверждёнными Советом Безопасности Российской Федерации;

«Проведение … исследований…: реализация … программ и исследований»?!

определение передовых научно-технических центров в области кибербезопасности и оказание им адресной государственной поддержки в проведении прикладных и фундаментальных исследований и конструкторских работ.

«Определение передовых центров» - это не «проведение научных исследований в области кибербезопасности». Это – коррупциогенный фактор.

4. Создание условий для разработки, производства и применения средств обеспечения кибербезопасности, в частности:
государственная поддержка отечественных производителей средств обеспечения кибербезопасности, в том числе введение налоговых льгот, поддержка продвижения продукции на глобальном рынке;

Поддержка продвижения такой продукции на глобальном рынке нужна для ведения кибервойны. Поэтому выделенную курсивом фразу лучше удалить. Да и про налоговые льготы тоже. У государства есть широкий спектр возможностей, не стоит их ограничивать.  

 содействие разработке отечественных программных и технических средств обеспечения кибербезопасности, в том числе реализуемых как свободно распространяемое программное обеспечение;

Технические средства как программное обеспечение?! Это же откровенная чушь! Не понятно, в Совете Федерации корректоры перевелись?

разработка системных мер по внедрению и применению отечественных программных и аппаратных средств, в том числе средств обеспечения кибербезопасности, вместо аналогов иностранного производства в государственных и муниципальных информационных системах, информационно-телекоммуникационных сетях, информационных системах критически важных объектов инфраструктуры и обеспечивающих их взаимодействие информационно-телекоммуникационных сетях.

Стиль изложения просто ужасный! Он породит массу правовых коллизий. Догадаться, что имели в виду разработчики можно, но будет ли это верно? В документах такого уровня «ребусов» быть не должно!
«Инфраструктуры» чего? О какой инфраструктуре речь? По-моему, слово «инфраструктуры» здесь просто лишнее.

5. Совершенствование кадрового обеспечения и организационных мер обеспечения кибербезопасности, в частности:

Совершенствовать кадровое обеспечение можно (правда, не теми методами и способами, о которых идет речь ниже), на как совершенствовать меры? Метр – мера длины. Как можно усовершенствовать метр? А как усовершенствовать килограмм или километр? Орг. меры – не меры длины или веса, это меры деятельности. Их, как и все другие меры, можно устанавливать и применять, но нельзя совершенствовать.

доработка, согласование и введение в действие образовательных стандартов подготовки и переподготовки специалистов в области кибербезопасности;

А они уже есть, чтобы их дорабатывать?

разработка и внедрение в учебный процесс образовательных организаций разного уровня курса по информационной безопасности, включающего модули по обеспечению кибербезопасности, либо дополнение имеющихся курсов упомянутыми модулями;

«Образовательные организации разного уровня» - это что? Детские сады, школы, ВУЗы или что-то другое?
Модуль – это период обучения. Должно быть – «темы».

доработка квалификационных требований к государственным служащим, занятым в области информационных технологий и информационной безопасности, с учётом современных тенденций в целом и кибербезопасности в частности, а также закрепление для них проведения обязательной периодической аттестации на предмет проверки соответствия требованиям;

«Современных тенденций»? Какие тенденции «современные»?
Доработка требований – это не совершенствование кадрового обеспечения.

разработка и введение актуальных периодически обновляемых учебных курсов повышения квалификации в области кибербезопасности для преподавательских кадров и государственных служащих, вовлеченных в процессы обеспечения кибербезопасности государства, организаций и граждан;



подготовка мер стимулирования частно-государственного партнерства в области дополнительного профессионального образования по направлению кибербезопасности;



обеспечение содействия в создании новых и развитии функционирующих отечественных центров компетенций по вопросам кибербезопасности;



разработка рекомендаций по обеспечению безопасного использования аппаратных и программных продуктов и сервисов иностранного производства для граждан Российской Федерации, чья деятельность связана со сведениями, составляющими государственную тайну, защищаемой информацией или обеспечением кибербезопасности организаций и государственных органов.



6. Организация внутреннего и международного взаимодействия действующих лиц по обеспечению кибербезопасности, в частности:

«Внутреннее взаимодействие»? Если есть «внутреннее взаимодействие», тогда должно быть и «внешнее взаимодействие»? А если есть «международное взаимодействие», тогда должно быть «народное взаимодействие» и/или «внутринародное взаимодействие»!?
«Международное взаимодействие действующих лиц» - это как или что?! От имени народов будут действовать отдельные лица?
И кто они, эти «действующие лица»?

расширение сотрудничества государства и государственных ситуационных центров с коммерческими и некоммерческим организациями, корпоративными и международными ситуационными центрами в целях обмена информацией о киберугрозах, об использовании технологий, применении мер и средств обеспечения кибербезопасности, а также популяризация и внедрение практики безопасного поведения в киберпространстве;

«Внедрение практики безопасного поведения»?! Как можно внедрить «практику поведения»?

установление порядка подготовки государством и организациями отчетности по вопросам кибербезопасности, в том числе в целях проведения последующего анализа и корректировки деятельности по обеспечению кибербезопасности;

О каких организациях идёт здесь речь и перед кем должно отчитываться «государство»? И кто должен будет проводить анализ и корректировку деятельности?

усовершенствование механизмов инициирования государственными органами, организациями и гражданами расследований киберпреступлений, а также механизмов оказания помощи в ликвидации их последствий;

Почему только «механизмов инициирования», а  не «механизмов расследования»?

разработка совместно со страховыми и аудиторскими организациями мер по страхованию рисков от киберугроз, юридической поддержке обеспечения кибербезопасности, аудиту государственных органов и организаций по направлению «кибербезопасность»;

Киберугрозы не приносят никому никакого вреда! Вред приносят кибератаки! Да и то не всегда. А киберугрозы – никому и никогда! Разве только параноикам и людям с неустойчивой психикой.

обеспечение участия Российской Федерации в разработке и реализации мер по обеспечению кибербезопасности на международном уровне;



создание механизмов государственного консультирования и оказания методической помощи в части обеспечения кибербезопасности критически важных объектов инфраструктуры;

Гос. консультирование только в части кибербезопасности КВО? А на остальных «плевать с седьмого этажа»? Или с шестнадцатого?

разработка механизмов поощрения граждан, оказывающих помощь в борьбе с киберугрозами, в том числе в части поиска специалистами по информационной безопасности разного профиля уязвимостей защищаемых информационных ресурсов и формирования предложений по их устранению.

«Специалистам разного профиля» или «разного профиля уязвимостей»? Тогда что есть «профиль уязвимости»?

7. Формирование и развитие культуры безопасного поведения в киберпространстве и безопасного использования его сервисами, в частности:
организация комплексной информационной кампании в целях повышения уровня информированности граждан, организаций и государственных органов об актуальных киберугрозах, уязвимостях защищаемых ресурсов в киберпространстве и способах их компенсации, популяризация доступных технологий, мер и средств обеспечения кибербезопасности;

Развитие культуры?!
Поведение в киберпространстве?! Авторы насмотрелись «Матрицы»?
Комплексная кампания?!
Уязвимости бывают не у ресурсов, а у ИС.
Компенсация уязвимостей?!

создание и проведение кампании по популяризации общедоступного государственного веб-портала о киберугрозах, проблемах кибербезопасности и путях их решения;
обеспечение информационной поддержки проводимым в Российской Федерации семинарам, выставкам, форумам по вопросам информационной безопасности в целом и кибербезопасности в частности.

VIII. Разработка и принятие Стратегии
После утверждения настоящей Концепции Правительство Российской Федерации создает рабочую группу по разработке Стратегии с участием представителей Совета Безопасности Российской Федерации, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, иных федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, органов государственного надзора и контроля, коммерческих компаний, компаний с государственным участием и государственных организаций, в том числе научных и академических учреждений, некоммерческих организаций, ведущих деятельность в связанных с кибербезопасностью сферах. Рабочая группа обеспечивает разработку Стратегии в соответствии с положениями настоящей Концепции, которая впоследствии утверждается нормативным актом Правительства Российской Федерации. Неотъемлемой частью Стратегии является план мероприятий по ее реализации.

Академические учреждения – это не научные?
Интересно, какие сферы, по мнению разработчиков Концепции, связаны с кибербезопасностью и какими узами? Известно, что в Мире всё связано со всем. Поэтому при желании даже дворников можно причислить к сфере кибербезопасности.
По правилам русского языка «которая» относится к Концепции, поэтому всё предложение превращается в абсурд.
Стратегия и есть план. По определению понятия. Получается – план по реализации плана?! А потом «план по реализации «плана по реализации плана»» и так до бесконечности?

Необходимые бюджетные средства на реализацию мероприятий Стратегии предусматриваются в бюджетных ассигнованиях государственных органов, ответственных за их реализацию.

Ключ к пониманию данной Концепции: главное, чтобы бюджетные ассигнования были выделены, а как их поделить – в Стратегии распишут? А кибербезопасность – это только повод (а не причина)?






Выводы и предложения

1. В проекте Концепции Стратегии кибербезопасности Российской Федерации, разработанной группой анонимных авторов и представленной к обсуждению на сайте Совета Федерации Федерального собрания Российской Федерации (http://council.gov.ru/press-center/discussions/38324/), практически, нет ни одного пункта, в котором бы не было методических и/или методологических ошибок.
2. Если речь действительно шла о концепции стратегии, т.е. плане обеспечения кибербезопасности России, то она должна была бы состоять из следующих разделов:
основные принципы разработки стратегии;
общие задачи разработки стратегии;
общие требования к разработке стратегии;
основы организации и управления разработкой стратегии;
основные направления совершенствования разработки стратегии.
Ничего подобного в проекте нет.
3. Если данный документ задумывался как «прелюдия» Стратегии, которая по определению этого понятия является совокупностью взаимосвязанных решений, определяющих приоритетные направления усилий государства по реализации его миссии в обеспечении кибербезопасности на своей территории, то в нём должны были бы быть раскрыты, например:
- миссия (кредо, «философия») государства – совокупность общих установок и принципов, определяющих предназначение и роль государства в деле обеспечения кибербезопасности, взаимоотношения с другими социально-экономическими субъектами;
- цели – описание конечных и промежуточных состояний в ходе реализации стратегии;
- задачи – конкретизация целей применительно к различным направлениям деятельности;
- действия – кто и когда должен осуществлять мероприятия, с помощью которых решаются поставленные задачи.
Этого  в представленном проекте также нет.
4. В представленном для обсуждения проекте декларируется обоснование необходимости и своевременности разработки Стратегии, принципы, направления (?!), место Стратегии в системе нормативных актов государства. Фактически же в нём обосновывается актуальность разработки Стратегии, место кибербезопасности в структуре информационной безопасности, приводится система понятий (абсолютно нелогичных), призвание, основания, задачи, цели, принципы, сфера ответственности действующих (?) лиц, приоритеты, действия, направления деятельности. То есть, в содержательном плане проект не является ни концепцией, ни стратегией.  
5. Привести данный проект в соответствие с названием не представляется возможным. Более того, само название документа нелогично и даже вычурно.
6. Предлагаю вместо «Концепции Стратегии кибербезопасности Российской Федерации» разработать два самостоятельных документа: «Концепцию обеспечения кибербезопасности РФ» и «Стратегию обеспечения кибербезопасности РФ».
7. Разработку и Концепции и Стратегии необходимо поручить методологически грамотным, не ангажированным бизнесом, патриотически настроенным специалистам.
8. Осуществлять разработку целесообразно с использованием современных технологий выработки решений: создание виртуальных коллективов, «мозговой штурм», мониторинг мнений специалистов, изучение опыта иностранных государств и других. Если, конечно, инициаторы действительно заинтересованы в результате, а не в процессе, а результатом считают обеспечение достойного уровня безопасности киберсистем, функционирующих в пределах юрисдикции Российской Федерации, и не преследуют другие – латентные – цели.






[1] СЗ РФ. 2006, № 31 (1 ч.), ст. 3448.
[2] Утв. Президентом РФ 09.09.2000 № Пр-1895.
[3] Утв. Президентом РФ 07.02.2008 № Пр-212.
[4] Информация Совета Безопасности от 8 августа 2013 г.
[5] http://slovorus.ru/index.php?ID=51244&pg=227&w=%CF%CE%D1%D2%D3%CB%C0%D2&s=%CF&a=
[6] Утв. Президентом РФ 24.07.2013 № Пр-1753.

Комментариев нет:

Отправить комментарий