В жестких условиях нарастания киберугроз бизнес заинтересован в сотрудничестве с государственным аппаратом, и это стремление обоюдно. Под государственной системой обеспечения информационной безопасности понимается основанная на стратегической документации высокого уровня и сопутствующих ей законах совокупность органов, планов, программ, методов и методик, направленных на сохранение суверенитета страны и интересов общества, их защиту от растущего уровня киберугроз. Защита от них становится основным звеном общей модели национальной безопасности, обеспечивая качество связи, сохранность данных, защиту систем управления промышленными и энергетическими активами и безопасность ведения научных разработок, охрану их результатов.

Модель регулирования

Основой создания и совершенствования системы стала Доктрина информационной безопасности – документ, разработанный Совбезом РФ и содержащий стратегическое видение ситуации в области суверенитета страны, основные типы угроз и направление движения с целью не только защититься от их растущего уровня, но и предвосхитить будущие риски, развивая ключевые отрасли экономики. 

Доктрина в качестве основных рисков называет:

• работу зарубежных разведок, направленную на подрыв суверенитета страны, на проникновение сквозь системы защиты государственной тайны;
• агрессивное психологическое воздействие на граждан, направленное на создание паники и деморализацию;
• кибертерроризм и хакерские атаки;
• отставание страны от иностранных конкурентов в области разработки программного обеспечения ПО, при этом уровень государственной поддержки разработчиков снижается;
•  отставание, медленное развитие научного потенциала в области информационных технологий;
• невысокий уровень квалификации кадрового потенциала в сфере ИТ, ограниченное количество подготовки специалистов.

На базе Доктрины принимаются нормативные акты, предназначенные для практической цели, призванные реализовать ее положения. Одним из основополагающих в этой сфере стал закон об объектах КИИ - промышленных и энергетических активах, авария на которых может причинить ущерб населению. Он посвящен принципам защиты систем управления и ИС объектов здравоохранения, науки, транспорта, атомной промышленности, энергетики, ЖКХ, сетевой инфраструктуры. 

Также среди основных нормативных актов, содержащих нормы, связанные с безопасностью ИС, необходимо назвать:

• ФЗ «О безопасности». Он рассматривает статус Совбеза, определяет основы политики в сфере обеспечения защиты интересов страны вообще и в секторе защиты данных в частности; 
• закон «О государственной тайне»;
• закон «Об информации»;
• ФЗ «Об участии в международном информационном обмене». Регулирование отношений между государствами на уровне нормативных актов, принимаемых международными организациями, стало одной из целей, декларируемых в Доктрине. Шаги по решению этой задачи сформулированы в плане практических действий, созданном для реализации национального проекта «Цифровая экономика».

Интересно, что Доктрина не говорит о государственной системе защиты информации. Этот термин впервые появился в Положении о защите гостайны в РФ от иностранных технических разведок и ее утечки по техническим каналам, утвержденном правительством РФ еще в 1993 году. Положение посвящено защите именно от наукоемких способов хищения данных и рассматривает систему организации мероприятий в сфере управленческой, научной и производственной деятельности, призванных минимизировать риск утечки сведений. 

Документ называет такие действия, как:

• классификация вооружения и военной техники, организаций и объектов по степени важности защиты информации в военной, финансовой, промышленной, политической, научно-технической сферах;
• обеспечение безопасности сведений при подготовке и реализации международных договоров и межгосударственных соглашений;
• введение ограничений любого уровня в порядке использования технических средств;
• создание и применение защищенных от внешнего проникновения АСУ;
• разработка и внедрение технических решений и элементов защиты данных при создании и эксплуатации вооружения и военной техники, проектировании, строительстве и эксплуатации значимых объектов;
• разработка программных и технических средств защиты данных, их сертификация. Выявление незадекларированных возможностей, протекционизм по отношению к национальному софту.

Нормативная база совершенствуется вместе с отшлифовкой практики ее применения. государственные органы каждый год изменяют регулирование отдельных направлений в сфере телекоммуникаций и защиты данных. Недавно она пополнилась законом о суверенном Рунете, который посвящен вопросу защиты потоков информации на границах страны и созданию автономных национальных зон контроля за каналами интернет-связи.

Реализация системы на ведомственном уровне 

Президент РФ, реализующий задачи Доктрины и отвечающий за создание и работоспособность государственной модели безопасности, опирается в своей работе на федеральные органы и региональные правительства. 

Совместно они должны добиться реализации следующих целей:

• формирование и реализация единой технической политики, организация и координация работ по защите информации в военной, экономической, научно-технической и других сферах;
• создание условий для развития отечественного программного обеспечения, которое сможет конкурировать с зарубежными аналогами;
• минимизация риска получения информации с помощью технических средств службами иностранной технической разведки и другими специализированными подразделениями других государств;
• разработка, принятие и совершенствование нормативных актов, регулирующих отношения в области защиты информации, государственных и частных баз данных, в том числе в сфере международного права;
• создание и обеспечение деятельности структур, отвечающих за защиту информации, создание технических и программных средств, предназначенных для реализации требований ИБ, и контроля за эффективностью их применения;
• контроль состояния защиты информации в органах государственной власти, в банковской сфере, на объектах критической инфраструктуры;
• анализ состояния государственной системы управления, выявление ключевых проблем в области защиты информации и каналов связи;
• нормативно-методическое и информационное обеспечение работ по защите информации.

Реализацию основных положений государственной стратегии на федеральном, региональном, отраслевом и субъектном уровнях проводит ФСТЭК РФ, которая наделена полномочиями регулятора и организатора элементов системы. Государственная служба обеспечивает функционирование трех элементов системы:

• лицензирование деятельности компаний-разработчиков программного обеспечения и производителей технических средств в области защиты информации;
• сертификация средств защиты информации и аттестация объектов информатизации;
• аттестацию помещений согласно требованиям защиты данных.

Доктрина ставит одной из основных целей в сфере защиты информационного суверенитета разработку конкурентоспособного национального программного обеспечения, а проект «Цифровая экономика» предполагает создать несколько компаний-разработчиков, флагманов отрасли внутри страны и на международном уровне. Деятельность ФСТЭК в сфере лицензирования и сертификации призвана способствовать решению этой задачи.

За функционирование системы отвечают и другие федеральные структуры. Так, в состав коллегии ФСТЭК в целях координации совместно реализуемых программ и проектов входят представители ключевых государственных ведомств. Органы и рабочие группы по защите информации создаются на федеральном уровне и в региональных подразделениях государственных структур.

Во взаимодействии с ФСТЭК РФ при организации госсистемы защиты информации активно участвуют экономические субъекты, выстраивающие свои системы защиты объектов ключевой информационной инфраструктуры. Ключевую роль играют компании, разрабатывающие ПО и предлагающие услуги по обеспечению ИБ предприятий. 

Основные положения стратегии были реализованы путем принятия и исполнения национального проекта «Цифровая экономика». Сейчас он пересматривается с целью переноса основной активности с частной на государственную сферу, но основные задачи остаются неизменными. Он предусматривает решение следующих задач, поставленных Доктриной:

• преодоление отставания страны в части кадрового потенциала специалистов по ИБ;
• создание качественного российского ПО в различных сферах его применения – от обеспечения неприкосновенности баз данных госорганов до нейросетей и искусственного интеллекта;
• повышение уровня информационной безопасности государственных информационных систем.

Важнейшим шагом в направлении усиления уровня информационного суверенитета страны стало принятие закона о суверенном Рунете и поэтапное внедрение в жизнь его положений.

Участие бизнеса 

Доктрина и основанная на ней система обеспечения информационной безопасности ставят своей целью в том числе защиту интересов и прав граждан, неприкосновенности собственности и бизнеса.

Важнейшими задачами в этой сфере государственного управления становятся:

• защита граждан от негативного информационного воздействия, используемого для подрыва традиционных ценностей;
• защита персональных данных граждан, запрет их хранения на иностранных серверах, установление общих правил защиты ПД от хищений и иных форм посягательств;
• защита имущества граждан от покушения с использованием информационных технологий и социальной инженерии;
• защита граждан от последствий инцидентов, произошедших на объектах транспорта и промышленности и связанных с отказом от высокого уровня бдительности и контроля за рисками;
• защита бизнеса от киберпреступлений и недобросовестной конкуренции со стороны иностранных компаний, опирающихся на данные технических разведок и других служб, решающих политические задачи.

Обеспечение защиты банковской сферы, хранящихся там ПД физических лиц, информации о счетах, вкладах, банковских картах становится одной из важнейших задач государственных органов и международных организаций. О важности международного сотрудничества в этой сфере говорит, например, то, что недавно российские и немецкие полицейские, действующие под эгидой Евросоюза, совместно раскрыли многонациональную хакерскую группировку, похитившую из российских и европейских банков данные десятков тысяч человек.

Все чаще международные хакерские группировки нападают на системы управления производственными предприятиями (АСУ). Более половины российских АСУ уже были испытаны на прочность, устояв перед хакерскими нападениями или вирусами, использующими прорехи в операционных системах, или не справились с ними. Одному предприятию достаточно сложно мониторить все новые виды угроз и оперативно противостоять им, необходима система отраслевого сотрудничества. В связи с этим важнейшей задачей бизнеса в части защиты населения от последствий киберинцидентов на промышленных предприятиях стало подключение к возможностям программы ГосСОПКА. 

Она реализуется на уровнях регионов и внутри отраслей и предназначена для:

• координации деятельности владельцев КИИ в сфере защиты от рисков;
• внедрения общих стандартов управления рисками;
• создания механизма обмена информацией между участниками системы;
• информирования участников о способах противостояния угрозам;
• анализа последствий инцидентов и выработки рекомендаций об улучшении реагирования;
• формирования отчетности.

Активное включение предприятий в работу государственной системы обеспечения информационной безопасности помогает предотвратить киберинциденты, снизить риск ущерба бизнесу и обеспечить безопасность граждан. Участвует бизнес и в международной повестке дня по вопросам совместной борьбы с киберрисками, активно взаимодействуя с коллегами из других стран в области разработки этических мер, призванных сократить использование современных достижений науки и техники в целях недобросовестной конкуренции.

15.05.2020