понедельник, 27 января 2014 г.

Стратегия кибербезопасности: без хозяина не взлетит

С удовольствием прочитал проект документа «КОНЦЕПЦИЯ СТРАТЕГИИ КИБЕРБЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ». Поскольку официального запроса на рецензию не приходило, выскажу в частном порядке свое личное мнение.
В целом документ выглядит невредным, есть полезные моменты, есть пару недоработок.
Далее много букв.


Хорошо

Дано определение кибербезопасности. Полезно, поскольку информационная безопасность понятие более широкое и мне часто приходится использовать построения типа «компьютерная безопасность» для определения текущих задач, но громоздко и часто требует объяснений. Кибербезопасность – хорошо.
Многие меры «направления деятельности» тоже хороши. Одобряю. По ряду причин (см. ниже) трудно оценить полноту.

Вопросы

  • Определение киберпространства содержит фразу «и любых форм осуществляемой посредством их использования человеческой активности» (стр. 2., абз. 7), что вызывает сложности с восприятием. Если я пишу некто напишет, например, в фейсбук воззвание взломать сайт Кремля, то это действия в кибернетическом пространстве или информационном?
  • Много вопросов вызывает раздел III (Место Стратегии в системе действующего законодательства) и его взаимосвязь с разделами VI и VII (Приоритеты Стратегии в обеспечении кибербезопасности, Направления деятельности по обеспечению кибербезопасности, которые должны быть отражены и уточнены в Стратегии). У меня в голове постулаты из раздела «Стратегия призвана» трудно связываются с предлагаемыми далее приоритетами и направлениями деятельности.  Опять таки «сформулировать модель угроз кибербезопасности Российской Федерации», это далеко не стратегическая задача, модель угроз - это проходной и вспомогательный инструмент. Я понимаю если бы здесь были метрики (критерии), еще куда не шло. 
  • Не хватает раздела «задачи», он как-то размазан по всему документу, встречается например в разделе III. Через это не совсем понятно, что же будет в результате. 
  • «поддержки отечественных разработчиков программного обеспечения» (стр. 2., абз. 7). А если аппаратного и программно-аппаратного? 
  • Много внимания уделяется «аудиту», но где-то он называется «оценка и анализ защищенности». Это разные задачи/процессы? Более того, скачет объект аудита, где-то это госорганы, а где-то даже «критической информационной инфраструктуры организаций с частным и государственным участием». Отдельный вопрос как эти «организаций с частным участием» подведут под аудит. 
  • Да, я думаю что термин «критическая информационная инфраструктура» тут использовать не хорошо, лучше уж просто КВО, ибо, цитирую «критическая информационная инфраструктура Российской Федерации (далее - критическая информационная инфраструктура)»
  • «средств обеспечения кибербезопасности» - есть же средства защиты информации, зачем вводить новый термин?
  • Надеюсь, что на странице 9 под «механизмом поощрения граждан» не подразумевается открытый bug-bounty. Дело в том, что на текущем уровне зрелости СУИБ многих госорганов bug-bounty будет вреден. Для Google или Mozilla (при анализе отчуждаемых приложений) он выглядит вполне себе эффективным. А вот уже для компаний, даже таких крупных и зрелых, как Nokia или Yandex процесс запуска был достаточно сложным, что косвенно доказывают комментарии Алексея Синцова. И мне пока трудно сравнить СУИБ Yandex и городской администрации N-ского областного центра.
  • Не стоит забывать, что bug-bounty это фактически легализация атак…

- Мальчик, ты зачем SQL Map на kremlin.ru запускал и плохое слово в новости написал?
- Дык я ж багу нашел, отсабмитить просто не успел еще. 

Настораживает

  • Явно бросается в глаза, что слово «зарубежных» и «иностранных» на фоне событий «имени Сноудена» встречается чересчур часто. Создается впечатление, что именно попытка протащить зарубежные требования являются основной задачей данного документа. 
  • Несколько раз упоминается портал (то веб-, то интернет-), что вызывает непонимание, ведь это только один из инструментов повышения осведомленности, откуда такое внимание. А как же телевидение, радио, конференции, наружная реклама в конце концов? Примерно тоже, что в стратегии развития строительной отрасли упоминались бы изделия ГОСТ 4981-87. 
  • Совершенно выбивается абзац про «облака» (стр. 7, абз. 8). Он даже вписан другим шрифтом. Такое ощущение, что в последний момент прибежал лоббист из микрософт крупного вендора и дописал. Более того, в последних документах ФСТЭК виртуальные инфраструктуры вполне себе комфортно себя чувствуют. 

Неточности

  • «кибероружие» (стр. 1, абз. 7) и «информационное оружие» (стр. 4, абз. 2). Хорошо бы определиться, или поменять местами. Те совсем понятно – кибероружие это частный случай оружия информационного или это самостоятельные виде вооружений?
  •  «с использованием отображения, заданного на произвольном множестве и имеющее числовую область значений»??? (стр. 1, абз. 9)
  •  «стекхолдеров» (стр. 5, абз. 10), это из «трехглавого» закона термин или какие-то другие источники «на основе адаптации правовых норм из законодательств зарубежных государств» использовались?

PS. Звоночек

разработка совместно со страховыми и аудиторскими организациями мер по страхованию рисков от киберугроз, юридической поддержке обеспечения кибербезопасности, аудиту государственных органов и организаций по направлению «кибербезопасность»;

PPS. Кто «крайний» - важный вопрос. Пока обозначена некая рабочая группа. Что же, посмотрим. Но что-то заставляет меня скептически усмехнутся. Без хозяина – не взлетит.

Комментариев нет: