Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Стоит ли публиковать информацию о защищенности госорганов, КВО и военных объектов РФ?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Опубликовано в:
Одной из идей, прозвучавших на заседании Совета Федерации при обсуждении Стратегии кибербезопасности Российской Федерации стало предложение государственным органам публично предоставлять ежегодную отчетность о киберпреступлениях против госорганов, о подготовленности госорганов к обеспечению кибербезопасности, о защите критически важных объектов. Я не помню, кто выступил инициатором этого предложения, но воспринято оно было многими в штыки. Противники высказывали идею, что такая публикация послужит снижению уровня защищенности российских госорганов и откроет ворота для иностранных хакеров.

Спор этот бесконечный и я не буду в него вступать. Но хотелось бы сослаться на последних два американских отчета, которые демонстрируют, как можно, не раскрывая государственных тайн, показать проблему и наметить шаги для ее устранения. Первый отчет "Resilient Military Systems and the Advanced Cyber Threat" посвящен не самой высокой защищенности американских военных информационных систем. Я про этот отчет уже писал недавно и не буду повторяться. Второй отчет также свежий (февраль 2013-го года) - "CYBERSECURITY. National Strategy, Roles, and Responsibilities Need to Be Better Defined and More Effectively Implemented". Выпущен он американской Счетной палатой (она у них там активно проводит также и аудит безопасности госорганов) и посвящен анализу уровня защищенности американских госорганов и критически важных объектов.

Без погружения в детали, этот отчет указывает на критические места в системе кибербезопасности госорганов и КВО США:
  • Число инцидентов ИБ в госорганах США растет (с 2006 года рост составил 782%).
  • Оставляет желать лучшего система оценки рисков и мониторинга ИБ. Только треть крупнейших госорганов США внедрили у себя практику управления рисками в соответствие с FISMA (в 2011-м году этот показатель был выше на 50%).
  • Острота проблемы обмена информацией об инцидентах с ИБ хоть и снизилась, но все равно остается.
  • Отсутствуют четкие и измеримые планы обучения и повышения осведомленности чиновников и работников КВО в части информационной безопасности.
  • Законодательная обязанность госорганов заниматься исследованиями в области ИБ (у нас о таком только мечтать) реализуется из рук вон плохо.
  • Плохо реализовано международное сотрудничество в области совместной борьбы с угрозами в информационном пространстве.
  • И т.д.
Ничего сверхсекретного в этой информации нет, но она показывает налогоплательщикам (а в США все-таки их мнение иногда учитывают), как государство защищает свой суверенитет от преступных посягательств и как защищаются данные американских граждан. Посмотрев данный отчет становится понятным, DDoS-атаки для американских госорганов и КВО неактуальны (0% в 2012-м году), в отличие от неавторизованного доступа (17%), вредоносного кода (18%) и неправильного использования информационных активов (20%).

Этот отчет показывает нам усилия американского правительства в области эволюции подходов по защите США от кибернападений.




Из этого отчета мы узнаем, насколько активно госорганы внедряют защитные меры, предусмотренные FISMA (аналог нашего 149-ФЗ применительно к госорганам), FIPS-200 и SP800-53 (аналог нашего 17-го приказа ФСТЭК или СТР-К). И картина меняется от госоргана к госоргану. Где-то уровень реализация приближается к 100%, а где-то и выше 0 не поднялся. Это, кстати, хороший пример того, что стоило бы реализовать ФСТЭК или ФСБ или Совету Безопасности по части мониторинга уровня ИБ в стране.


И дальше по тексту еще много чего написано, в деталях и с примерами. В этом госоргане так-то обстоит дело, а в этом - так-то. Если бы я был американским гражданином и налогоплательщиком, мне бы было понятно, с какими проблемами сталкиваются американские чиновники в области кибербезопасности. А им в свою очередь понятно, что есть такой независимый орган, как Счетная палата, которая выявит все плохое и расскажет об этом (не раскрывая госсекретов) гражданам. А это, в свою очередь, должно стимулировать американские госорганы делать что-то правильное для повышения своего уровня защищенности.

Правда, боюсь, что у нас эта идея все-таки не пройдет. А если и пройдет, то на такие отчеты сразу навесят какой-нибудь гриф, например, "не для прочтения вслух", и будем мы в неведении относительно реального уровня защищенности, а всю информацию будем получать из вот таких вот мастер-классов.
Оцените материал:
Total votes: 354
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.