Госбезопасность: как устроена новая стратегия борьбы с киберугрозами
Утверждение президентом России обновленной Доктрины информационной безопасности стало итогом работы, которая велась как минимум с осени 2015 года. Задача заключалась в модернизации доктрины 2000 года. Получился документ, который от прошлой версии отличается чуть ли не большей частью текста. Но признать, что новая доктрина соответствует сегодняшним реалиям и отвечает всему спектру вызовов безопасности государства, бизнеса и граждан в области IT, не получается по ряду причин.
Критический закон
Сначала о сильных сторонах нового документа. В первую очередь к таким стоит отнести раздел положений об обеспечении безопасности, устойчивого и бесперебойного функционирования критической информационной инфраструктуры (КИИ). Государственная политика в этой области активизировалась в 2013 году, когда появился указ президента, возложивший на ФСБ ответственность за обеспечение безопасности российских государственных информационных ресурсов и систем и запустивший процесс создания единой государственной системы обнаружения, предотвращения и ликвидации последствий компьютерных атак (ГосСОПКА) также под контролем ФСБ. В последнее время заметно увеличила свою активность в этой нише и частная отрасль — так, в сентябре 2016 года «Лаборатория Касперского» объявила о планах создания первого в России центра реагирования на компьютерные инциденты на объектах КИИ, услуги которого должны быть ориентированы на предприятия ключевых отраслей (ТЭК, машиностроение, нефтехимия и др.). Однако до сих пор не было федерального закона, который бы обеспечивал взаимодействие органов власти в этой области, вводил бы единую линейку требований к операторам и субъектам КИИ и, наконец, закрывал вопрос о классификации таких объектов.
Катализатором послужило усиление внимания государства к информационной безопасности. В один день с подписанием указа о доктрине в Госдуму был внесен законопроект «О безопасности КИИ РФ», разработанный ФСБ еще весной 2013 года и с тех пор неоднократно проходивший через обсуждения и доработки. В итоге законопроект позволяет наконец закрыть дыру в государственной политике по защите своей критической инфраструктуры от компьютерных атак, киберинцидентов и иных угроз. То, что благодаря доктрине появится новый закон, — уже серьезный плюс.
Из спорных, но в целом полезных частей доктрины стоит отметить раздел, посвященный импортозамещению в IT и конкретно — в нише информационной безопасности. Речь там идет о повышении конкурентоспособности продукции российской IT-отрасли, развитии собственной электронной промышленности и научно-технических разработок для сокращения зависимости от зарубежных технологий и продуктов. Комплексный взгляд, присутствующий в доктрине, хорош тем, что позволит направить импортозамещение в сбалансированное русло, укажет ему приоритетные ключевые ниши: системы объектов КИИ и автоматизированные системы управления промышленным и технологическим процессами (АСУ ПТП), информационные системы и платформы, используемые для решения задач Минобороны, управления вооруженными силами.
Государственный подход
Но именно в разделе про стратегические цели и обеспечение безопасности в экономике обнаруживается и один из главных недостатков новой доктрины: она не отводит активной и самостоятельной роли частной инициативе российской IT-отрасли, не ориентируется на потребности и интересы самого бизнеса. Исходя из логики доктрины, российская IT-отрасль должна «обеспечить» рост конкурентоспособности российских решений и технологий, укрепление позиций российской электронной промышленности, разработку новых способов и технологий обеспечения информационной безопасности. Однако в такой картине мира бизнес выступает в качестве объекта, а не субъекта — исполнителя определенных «целевых показателей». Доктрина не дает четкого ответа на вопрос о том, может и должен ли частный сектор выступать с собственной повесткой дня, выращивать и продвигать, пусть и в партнерстве с государством, собственные решения и механизмы обеспечения информационной безопасности.