В ожидании кибер-Катрины

АрхивБлог Алексея Лукацкого, Cisco Systems

После аварии на Саяно-Шушенской ГЭС в России займутся проверкой всех критически важных объектов. В это время в США готовят закон, который поможет защитить цифровую инфраструктуру от кибератак.

Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 ("Cybersecurity Act of 2009"). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает, что аналогичный нормативный акт может появиться у нас. Вот только некоторые из фраз, взятые мной из обоснования к проекту закона:

• "Архитектура национальной цифровой инфраструктуры, базирующейся на Интернете, не защищена и ненадежна. Требуются серьёзные усилия в области безопасности этих систем".
• "Более 85% всех критических инфраструктур находится в частных руках".
• "Удачные кибератаки на основных финансовых провайдеров могут иметь серьёзные последствия для национальной экономики".
• "Киберугрозы государственным информационным системам и критическим инфраструктурам эволюционируют и растут".
• "Наша национальная безопасность и экономика зависят от безопасности, стабильности и целостности коммуникаций и информационной инфраструктуры".
• "США не готовы к кибер-Катрине (ураган "Катрина" нанес серьёзный ущерб США – примечание автора) и массивная кибератака может привести к каскадному и долговременному воздействию без адекватной координации между государством и частным сектором".
• И т.д.

Знакомые слова, не правда ли? В той или иной степени приближения они звучат и из уст наших руководителей страны, политических партий и федеральных органов власти. Конечно с меньшей концентрацией на информационных технологиях, но это и понятно – уровень использования ИТ у наших чиновников не очень высокий. Поэтому будет интересно посмотреть, какой ответ на имеющуюся угрозу предложили в США. Тем более, что у нас аналогичный нормативный акт пытались принять ещё в 2006-м году. Правда, тогда основным посылом к его принятию было засилье продукции Microsoft на критически важных объектах. Законопроект под названием "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры" в итоге был снят с рассмотрения, но сама идея осталась на плаву. Помимо законопроекта было принято немало и других нормативных актов (отсутствует только федеральный закон):

• "Основы государственной политики в области обеспечения безопасности населения Российской Федерации и защищенности критически важных и потенциально опасных объектов от угроз"
• "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий"
• Распоряжение Правительства от 23.03.2006 №411-рс "Перечень критически важных объектов Российской Федерации"
• Распоряжение Правительства от 27.08.2005 №1314-р "Об одобрении Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов"
• "Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах" (утверждена ФСТЭК 18 мая 2007 года)
• "Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктур" (утверждены ФСТЭК 18 мая 2007 года)
• "Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктур" (утверждена ФСТЭК 18 мая 2007 года)
• "Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктур" (утверждены ФСТЭК 18 мая 2007 года).

У меня есть стойкое подозрение, что после трагедии в Хакассии эта тема вновь оживет. Но вернемся к проекту закона США "Об информационной безопасности".

Достаточно интересно, что он начинается с такой темы, как обучение и сертификация специалистов по ИБ. Причем сделано это должно быть на национальном уровне, предусматривающем также регулярное повышение квалификации и ресертификацию. Кстати, в Америке такая программа существует уже давно. В этом же разделе есть пункт, разрешающий (но не требующий) не пользоваться услугами компаний, не имеющих в своём штате сертифицированных специалистов по безопасности. Иными словами, ответственность ложится на руководителя организации, который сам взвешивает все риски обращения к неквалифицированным компаниям.

На уровне закона предусмотрено создание национальной программы подготовки квалифицированных кадров по безопасности ещё на уровне институтов, колледжей и школ. Эта программа предусматривает поиск подающих надежду студентов, выплату им стипендии, финансирование, оценку эффективности и т.п.

Очень интересное предложение этого закона заключается в организации конкурсов по ИБ с выплатой денежных призов талантливым специалистам, занимающихся развитием безопасности в своих организациях и стране. Эти конкурсы призваны развивать инновации и стимулировать школьников, студентов колледжей и университетов, аспирантов и исследователей научно-исследовательских институтов и т.п.

Вообще, больше трети всего законопроекта касается работы с персоналом – поиском и приёмом на работу, разработкой должностных обязанностей, повышением квалификации, оценкой эффективности и т.д. И это, пожалуй, самое главное отличие американского документа от всех вышеперечисленных отечественных нормативных актов, которые об обучении ИБ-специалистов и работе с персоналом вообще не говорят - и тем более на уровне всей страны, а не отдельных организаций, как в документах ФСТЭК.

Второй крупный раздел проекта закона касается обязанности президента США разработать долгосрочную национальную стратегию ИБ, предусматривающую множество различных вещей, включая и измерение эффективности реализации стратегии (чего нет в России и в помине). Среди интересных положений, за которые отвечает президент можно отметить:

• ежегодный анализ направлений развития ИБ и инвестирование в исследования по данному направлению;
• оценка эффективности принятых мер;
• создание консультационного комитета по ИБ и т.д.

Очень интересной рекомендацией рассматриваемого закона можно назвать создание некоего ситуационного центра, который бы в реальном режиме времени всесторонне и динамично демонстрировал бы текущее состояние ИБ всех государственных информационных систем и критических инфраструктур.

Национальный институт стандартов США (NIST) в альянсе с различными госорганами, регуляторами, отраслевыми вертикалями (через ассоциации и иные саморегулируемые организации) должен разработать не только рекомендации (а не обязательные требования, как у нас) по ИБ, но и метрики и способы оценки эффективности реализации этих рекомендаций. Но вновь хочу отметить, что данные рекомендации касаются только госорганов и критических инфраструктур, а не всех без разбора организаций, включая малый бизнес и индивидуальных предпринимателей. Что самое интересное, так это то, что требования по безопасности не едины для всех информационных систем (ИС), как это сделано в родном Отечестве, а дифференцированы в зависимости от профиля риска для конкретной ИС. Не забыт в данном разделе и пункт про обучение рядовых пользователей широкополосного доступа.

Понимая, что как бы сильна ни была отдельная страна, она не может обойтись без интеграции в мировое сообщество, законопроект предусматривает совместную с зарубежными государствами разработку мероприятий и стандартов по ИБ и участие в международных стандартизующих организациях по вопросам ИБ.

Не забыта и сертификация средств безопасности (в законопроекте она названа оценкой соответствия), являющаяся обязательной, но только для госорганов и критических инфраструктур, 85% которых принадлежит частному сектору. Правда и это уже вызвало определённые нарекания со стороны профессионалов, которые справедливо заметили, что Барак Обама уже заявлял об отказе от идеи выставления обязательных требований по ИБ для частного сектора. Они справедливо замечают, что, во-первых, технологии ИБ меняются быстрее, чем NIST сможет обновить свои стандарты и требования и пройти процедуру согласования новых требований. А во-вторых, соответствие требованиям не означает, что компания имеет ресурсы и процессы для реализации требований стандарта. И, наконец, компания может соответствовать всем стандартам, но при этом не быть защищённой и эффективной.

Третий раздел касается такой важной темы, как национальная программа повышения осведомленности в области информационной безопасности для всех граждан США. Это ещё одно уникальное отличие данного законопроекта от российской нормативной базы, которая просто закрывает глаза на то, что безопасность касается любого пользователя Интернета. И повысить уровень безопасности нельзя запретительными мерами или обязательной сертификацией всех средств защиты – это тупиковое направление. Гораздо эффективнее научить всех пользователей правилам интернет-гигиены ещё на школьной скамье. Но, увы, эта задача непростая, длительная и требующая существенных затрат (интеллектуальных, временных, финансовых). Куда как проще и выгоднее обязать любого пользователя использовать только продукты, имеющие сертификат соответствия отечественным требованиям безопасности, а на защиту информации для собственных нужд – получить лицензию регулятора.

Третий раздел немало внимания уделяет и исследованиям в области ИБ. Перечислены ключевые проблемы ИБ, требующие внимания академических кругов:

• дизайн и построение сложных систем с точки зрения безопасности и надежности;
• тестирование и проверка ПО, разработанного в США или полученного из третьих источников;
• гарантия privacy граждан в распределённых системах;
• разработка новых защищённых протоколов для Интернета;
• определение истинного автора сообщений, переданных через Интернет;
• поиск баланса между privacy граждан и безопасностью государства;
• борьба с растущей внутренней корпоративной угрозой;
• правильная и защищенная разработка ПО;
• моделирование угроз;
• и т.д.

В этом смысле разработанный Советом Безопасности РФ план приоритетных проблем научных исследований в области обеспечения информационной безопасности Российской Федерации гораздо более обширен. Правда, и касается он в первую очередь проблем государственной безопасности, в то время как американский план исследований учитывает и интересы бизнеса и рядовых граждан.

Наконец, четвертый - последний - раздел законопроекта описывает координацию государства с частным сектором. Для этого создаётся упомянутый ранее консультационный совет по ИБ, который включает в себя представителей промышленности, академических кругов, некоммерческих организаций, неформальных объединений и других заинтересованных лиц. Это некий аналог Общественной палаты РФ, являющийся посредником между президентом страны и отраслью ИБ во всех её аспектах и проявлениях.

Для продвижения в среду малого и среднего бизнеса лучших практик ИБ предлагается создание региональных (и на уровне штата) центров информационной безопасности, аффилированных с некоммерческими институтами или организациями, для исключения негативного влияния чиновников на деятельность центров. При этом лучшие практики должны аккумулироваться в стандартах, разработанных уже упомянутым NIST’ом.

В заключение можно заметить, что данный проект закона коренным образом отличается и от уже упомянутых выше отечественных нормативных актов по защите критичных инфраструктур и от "трехглавого" закона "Об информации, информационных технологиях и защите информации". Американский проект направлен не на блокирование, запреты и стрижку под "единую гребёнку", как это зачастую принято у нас, а на грамотное развитие рынка информационной безопасности, создание условий для инноваций, формирование когорты квалифицированных экспертов, готовящихся со школьной скамьи, дифференцированный подход к ИБ в зависимости от имеющихся рисков, общение государства и частного сектора, - на всё то, чего так не хватает российскому законодательству в области информационной безопасности.