Держспецзв'язок - сакральний ідол?

Держспецзв'язок - сакральний ідол?

Прийшов час реорганізації Державної служби спеціального зв’язку та захисту інформації України. Але зробити це потрібно так, щоб зберегти все потрібне і позбутися зайвого. (рос)
П'ятниця, 27 вересня 2019, 09:20
IT-бізнесмен, експерт з кібербезпеки, голова наглядової ради "Октава Капітал"

Тема дальнейшей судьбы такой крупной структуры, как Госспецсвязь, сейчас самая обсуждаемая в кругу экспертов из IT- и телеком-секторов.

И как принято у нас в стране, где собирается три эксперта – там появляется, как минимум, четыре мнения.

Но в одном все-таки сходятся все – бизнес, зарегулированный донельзя этой машиной, надеется на качественные изменения в структуре с приходом новой власти.

Для широкого круга общественности Госспецсвязь – грозный и загадочный монстр, призвать которого можно случайно произнеся вслух аббревиатуру "КСЗИ" (комплексная система защиты информации).

Реклама:

Вслед за этим начинается длительный изматывающий период совершения строго регламентированных и не всегда понятных ритуалов, включая прочтение вслух заклинаний нормативных документов.

Сам многократно и регулярно приносил сакральные жертвы этому Идолу. И ждал, что буду прощён или убит молнией.

Пришло время качественных изменений, так что поделюсь с вами своим видением.

История, как родился монстр?

Итак, начнем с истории. Государственная служба специальной связи и защиты информации как отдельная структура появилась в 2006 году.

Тогда из СБУ было выделено одно подразделение, а точнее департамент специальных телекоммуникационных систем и защиты информации.

Задачей нового органа была реализация государственной политики в сфере защиты государственных информационных ресурсов в сетях передачи данных, обеспечение функционирования Государственной системы правительственной связи, Национальной системы конфиденциальной связи, регулирование в области криптографической и технической защиты информации.

Как человек, принимавший самое непосредственное участие в практической реализации первого этапа проекта НСКЗ (Национальной системы конфиденциальной связи), скажу, что буквально за полгода была построена её первая очередь, на 52 точки.

Строилась она по технологии "Ethernet-over-STM", и 15 лет назад 100 мегабит были серьезным технологическим прогрессом.

Однако с самого момента своего создания Госспецсвязь стала активно "обрастать" несвойственными функциями, началось "натягивание одеяла" на себя…

В структуре появились десятки подразделений, никак по сути не связанных с её непосредственными задачами: несколько институтов, медицинский центр, куча госпредприятий (в том числе – не смейтесь – по распространению периодических изданий), теле- и радиоканалы.

Есть даже свое строительно-монтажное управление! Справедливости ради отмечу, что из полезного в структуре Госпецсвязи появился Центр киберзащиты и Центр реагирования - CERT-UA.

Так Госпецсвязь начала превращаться в монстра, совмещающего в себе в том числе функции создания нормативных требований и проверки их выполнения.

Такое совмещение само по себе является очень нездоровой практикой. А уж то, что нормативные требования по защите информации создаются свои, уникальные, и вовсе отрывает Госспецсвязь от реальности (слово "уникальные" здесь, к сожалению, не комплимент).

Что делать?

Любой подобный орган прежде чем что-то требовать, сначала что-то должен дать.

И этот баланс quid pro quod – ты мне, я тебе – и определяет ценность таких органов не только для их себя любименьких, но и для их потребителей.

Поскольку они могут либо помогать своим контрагентам повышать их безопасность, предоставляя необходимую информацию / нормативку и вообще ответы "что и как делать, чтобы обеспечить настоящую безопасность и защищенность вашей ИС и информации, которая в ней циркулирует" и даже оказывать услуги по аудиту и консультативные – либо "требовать выполнение нормативов" с апофеозом в виде выдачи некоторого количества бумаги об аттестации КСЗИ.

Первый вариант – помогать – это путь, например, американских органов вроде NIST, которые, кажется, понимают, что существуют на деньги налогоплательщиков и эти самые налогоплательщики должны получать нечто реальное за свои деньги.

Второй, чисто контролирующе-требующий вариант – это наш национальный вариант.

Так что же можно предложить Госпецсвязи в качестве быстрых изменений?

1) Начнем с наиболее понятного. В основе - Центр киберзащиты и CERT-UA. Они могут стать базой для создания Национального агентства (или службы) кибербезопасности Украины. Это одна из базовых служб современного государства!

2) Подразделения, отвечающие за гражданскую связь, естественно, перевести в созданное Министерство цифровизации. Что уже и было озвучено.

3) Специальная, в том числе конфиденциальная связь. Тут все понятно: почистить и проредить список пользователей. А то сейчас спецсвязью пользуются все, кому нравится телефон с гербом на столе.

То же самое касается и узла защищенного интернета.

Значительно сложнее с подразделениями технической и криптографической защиты информации.

Для внедрения качественных изменений тут необходимы изменения регуляторной базы.

И тут логичным будет, считаю, не свой особый, как мы любим, сценарий, а уже протоптанная дорога.

Первое! Переход к использованию в Украине в качестве нормативной базы в области защиты информации международных стандартов и присоединение Украины к международному соглашению "Common Criteria Recognition Arrangement".

Внедрение надежной общей системы оценки, основанной на международных стандартах, позволит уже в краткосрочной перспективе демонополизировать рынок сертификации. В результате Украина получит:

рост качества услуг путем привлечения к рынку новых игроков, имеющих действительно квалифицированный персонал и огромный опыт реализации ИТ-проектов;

существенное уменьшение предпосылок для коррупции;

возможность сравнивать между собой результаты сертификационных испытаний, признание таких результатов на международном уровне.

И кстати, в странах, участвующих в соглашении (прежде всего, в США, Великобритании, Франции) разработаны десятки, если не сотни практически применимых современных профилей защиты для различных типов ИТ-продуктов: ОС, СУБД, Firewalls, смарт-карт и тому подобных.

Существует международный реестр сертифицированных профилей защиты. Таким образом, переход к использованию международных стандартов сразу позволит Украине использовать уже накопленный в этой области мировой опыт.

Отмечу, что на сегодня в Украине уже предпринимаются шаги в этом направлении.

Так, стали появляться стандарты в области информационных технологий и их защиты, гармонизированные с международными.

Например, с 2017 года действуют ДСТУ ISO/IEC 15408. Да, это те самые Common Criteria - один из наиболее распространенных в мире стандартов в области оценки реализованных функций и мер безопасности.

Осталось только перейти к их практическому применению.

Вместо эпилога.

Так что, спустить Идола вниз по реке? Метод радикальный, учитывая негативную ауру, но не очень правильный с практической точки зрения. Вместе с откровенно ненужным будет потеряно и много ценного. А в нашей ситуации, когда против Украины ведется гибридная война, это может дорого обойтись.

Как и в любой реорганизации, в данном случае тоже очень важно не переборщить.

Обязательно нужно вычленить полезные функции из огромной неповоротливой государственной структуры, сохранить и доразвить их. Также нужно решить, что делать с непрофильными подразделениями. Например, отдать их Фонду госимущества, пусть они мучаются.

Осталось только перейти к практическому применению. А этот процесс может занять до года.

Колонка є видом матеріалу, який відображає винятково точку зору автора. Вона не претендує на об'єктивність та всебічність висвітлення теми, про яку йдеться. Точка зору редакції «Економічної правди» та «Української правди» може не збігатися з точкою зору автора. Редакція не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія.
Реклама: