СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИИ : актуальность организационных решений Александр Жуков, руководитель Некоммерческого партнерства «ИНФОФОРУМ»

Безопасность информационного пространства в условиях нарастающих киберугроз сегодня требует и новой, современной системы обеспечения информационной безопасности Какой же? Что такое наша система сегодня? Система обеспечения информационной безопасности органы законодательной, исполнительной и судебной власти, негосударственные и общественные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с законом, а также законодательство, регламентирующее отношения в сфере безопасности

Согласно Доктрине, основными элементами оргструктуры системы обеспечения ИБ являются: Президент РФ Палаты Федерального Собрания Правительство РФ Совет Безопасности РФ Федеральные органы исполнительной власти Межведомственные и государственные комиссии Органы исполнительной власти субъектов РФ Органы местного самоуправления Суды

ЧТО ОТСУТСТВУЕТ? (в соответствии с определением системы ИБ) На период формирования Доктрины: не было наполнения этой части системы; не было современных киберугроз государству и обществу; не было «сноуден-угроз» личной безопасности граждан - Информационная безопасность? Пожалуйста! Подберите себе удобный тарифный план Негосударственные и общественные организации и объединения, граждане – т.е. ЭЛЕМЕНТЫ ГРАЖДАНСКОГО ОБЩЕСТВА Кроме организаций, работающих на коммерческой основе по принципу:

Поэтому у нас совершенно отсутствует… негосударственная система мониторинга киберугроз Но! Нужен ли нам CERT, который будет работать круглосуточно и принимать звонки в режиме call-центра, скажем, от «Аэрофлота»? -Или это задача Роскомнадзора? Если нет негосударственного центра, то естественно, что возникает желание защищаться и от киберугроз, и от государства, ограничивающего наши свободы в рамках борьбы с киберугрозами, с помощью, скажем….. РОСКОМСВОБОДЫ Или поощрять желание иметь свой подобный CERT одной частной фирме, которая будет содействовать гражданскому обществу по принципу: - Информационная безопасность? Пожалуйста! Подберите себе удобный тарифный план…

Но никто не обязан в принципе РАБОТАТЬ БЕСПЛАТНО по теме обеспечения ИБ. Есть просто личные, корпоративные и общественные интересы, которые нужно связать воедино, и определиться, КТО БУДЕТ ВЫПОЛНЯТЬ ЗАДАЧИ по созданию и развитию системы обеспечения информационной безопасности России. Пора уже. Пора хотя бы обсуждать. Что нужно сделать, чтобы улучшить систему мониторинга вызовов и угроз в информационной безопасности страны в целом, отдельных сфер государственного управления и отдельных компаний? Может быть, нужно создать: Государственный ситуационный центр, функционирующий в режиме 24 с целью реагирования на киберугрозы, имеющие критически важный характер? Сеть региональных и отраслевых центров реагирования на угрозы информационной безопасности, которые отвечали бы за информирование государственных и негосударственных организаций и граждан (в том числе в рамках обучения)? Интерне-портал, содержащий статистическую информацию об инцидентах, уязвимостях, угрозах, осуществляющий также обратную связь, обсуждение проблем и т.д.?

Также у нас отсутствует: негосударственная система контроля и сертификации защищенности от киберугроз Как можно кого-то обязать предоставлять публичную отчетность о том, что на фирме (в банке, страховой компании), где собирают персональные данные, эти данные защищают? Или тем, что вас обязательно проверят каждый месяц. Или тем, что составят рейтинги, карикатуры, повесят их на Красной площади и будут хохотать при попытке вами получить госзаказ?

Но есть еще второе, что отсутствует (в соответствии с определением системы ИБ) СИСТЕМА ЗАКОНОВ, регламентирующих отношения в сфере информационной безопасности ЭТО ВЕСЬМА ПОКАЗАТЕЛЬНО! За годы, прошедшие с момента принятия Доктрины (с 2000 г.) не было проведено работ по принятию системы законов, которые охватили бы такую «глыбу», как система обеспечения ИБ, которая указана в Доктрине

Может быть, необходимо разобраться сначала, что мы понимаем под информационной безопасностью? А что под информационной политикой? И то, и другое можно будет регулировать, если разделим, разложим все по местам… Когда мы это сделаем: Пусть будет Управление информационной политики Администрации Президента РФ Пусть будет Агентство информационной безопасности РФ КАК ОТДЕЛЬНЫЕ ВЕДОМСТВА

Современный уровень угроз кибербезопасности говорит о том, что уже поздно учреждать пост советника Президента, группы консультантов и т.п… Нужно выстраивать новую систему обеспечения информационной безопасности… а ее, естественно, нужно будет кому-то РЕАЛИЗОВЫВАТЬ Чтобы: формировать целевые федеральные программы выстраивать систему приоритетов в развитии науки определять потребности развития системы образования разрабатывать долгосрочные и среднесрочные прогнозы… Поэтому нужно собрать из ныне существующих федеральных служб, агентств и ведомств ЕДИНУЮ СТРУКТУРУ, которая будет заниматься этим на профессиональной основе и ежедневно

Разумеется, это частное мнение отражает мнения многих экспертов Инфофорума в том, что настала пора обсуждать КОНКРЕТНЫЕ организационные решения по реформированию системы информационной безопасности в Российской Федерации ОБСУЖДАТЬ И РЕШАТЬ! Для этого предлагаю в рамках Национального форума информационной безопасности «ИНФОФОРУМ» образовать Постоянную рабочую группу ПО РАЗРАБОТКЕ МЕР УКРЕПЛЕНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ

Спасибо за внимание