Госпецсвязь - сакральный идол?
Тема дальнейшей судьбы такой крупной структуры, как Госспецсвязь, сейчас самая обсуждаемая в кругу экспертов из IT- и телеком-секторов.
И как принято у нас в стране, где собирается три эксперта – там появляется, как минимум, четыре мнения.
Но в одном все-таки сходятся все – бизнес, зарегулированный донельзя этой машиной, надеется на качественные изменения в структуре с приходом новой власти.
Для широкого круга общественности Госспецсвязь – грозный и загадочный монстр, призвать которого можно случайно произнеся вслух аббревиатуру "КСЗИ" (комплексная система защиты информации).
Вслед за этим начинается длительный изматывающий период совершения строго регламентированных и не всегда понятных ритуалов, включая прочтение вслух заклинаний нормативных документов.
Сам многократно и регулярно приносил сакральные жертвы этому Идолу. И ждал, что буду прощён или убит молнией.
Пришло время качественных изменений, так что поделюсь с вами своим видением.
История, как родился монстр?
Итак, начнем с истории. Государственная служба специальной связи и защиты информации как отдельная структура появилась в 2006 году.
Тогда из СБУ было выделено одно подразделение, а точнее департамент специальных телекоммуникационных систем и защиты информации.
Задачей нового органа была реализация государственной политики в сфере защиты государственных информационных ресурсов в сетях передачи данных, обеспечение функционирования Государственной системы правительственной связи, Национальной системы конфиденциальной связи, регулирование в области криптографической и технической защиты информации.
Как человек, принимавший самое непосредственное участие в практической реализации первого этапа проекта НСКЗ (Национальной системы конфиденциальной связи), скажу, что буквально за полгода была построена её первая очередь, на 52 точки.
Строилась она по технологии "Ethernet-over-STM", и 15 лет назад 100 мегабит были серьезным технологическим прогрессом.
Однако с самого момента своего создания Госспецсвязь стала активно "обрастать" несвойственными функциями, началось "натягивание одеяла" на себя…
В структуре появились десятки подразделений, никак по сути не связанных с её непосредственными задачами: несколько институтов, медицинский центр, куча госпредприятий (в том числе – не смейтесь – по распространению периодических изданий), теле- и радиоканалы.
Есть даже свое строительно-монтажное управление! Справедливости ради отмечу, что из полезного в структуре Госпецсвязи появился Центр киберзащиты и Центр реагирования - CERT-UA.
Так Госпецсвязь начала превращаться в монстра, совмещающего в себе в том числе функции создания нормативных требований и проверки их выполнения.
Такое совмещение само по себе является очень нездоровой практикой. А уж то, что нормативные требования по защите информации создаются свои, уникальные, и вовсе отрывает Госспецсвязь от реальности (слово "уникальные" здесь, к сожалению, не комплимент).
Что делать?
Любой подобный орган прежде чем что-то требовать, сначала что-то должен дать.
И этот баланс quid pro quod – ты мне, я тебе – и определяет ценность таких органов не только для их себя любименьких, но и для их потребителей.
Поскольку они могут либо помогать своим контрагентам повышать их безопасность, предоставляя необходимую информацию / нормативку и вообще ответы "что и как делать, чтобы обеспечить настоящую безопасность и защищенность вашей ИС и информации, которая в ней циркулирует" и даже оказывать услуги по аудиту и консультативные – либо "требовать выполнение нормативов" с апофеозом в виде выдачи некоторого количества бумаги об аттестации КСЗИ.
Первый вариант – помогать – это путь, например, американских органов вроде NIST, которые, кажется, понимают, что существуют на деньги налогоплательщиков и эти самые налогоплательщики должны получать нечто реальное за свои деньги.
Второй, чисто контролирующе-требующий вариант – это наш национальный вариант.
Так что же можно предложить Госпецсвязи в качестве быстрых изменений?
1) Начнем с наиболее понятного. В основе - Центр киберзащиты и CERT-UA. Они могут стать базой для создания Национального агентства (или службы) кибербезопасности Украины. Это одна из базовых служб современного государства!
2) Подразделения, отвечающие за гражданскую связь, естественно, перевести в созданное Министерство цифровизации. Что уже и было озвучено.
3) Специальная, в том числе конфиденциальная связь. Тут все понятно: почистить и проредить список пользователей. А то сейчас спецсвязью пользуются все, кому нравится телефон с гербом на столе.
То же самое касается и узла защищенного интернета.
Значительно сложнее с подразделениями технической и криптографической защиты информации.
Для внедрения качественных изменений тут необходимы изменения регуляторной базы.
И тут логичным будет, считаю, не свой особый, как мы любим, сценарий, а уже протоптанная дорога.
Первое! Переход к использованию в Украине в качестве нормативной базы в области защиты информации международных стандартов и присоединение Украины к международному соглашению "Common Criteria Recognition Arrangement".
Внедрение надежной общей системы оценки, основанной на международных стандартах, позволит уже в краткосрочной перспективе демонополизировать рынок сертификации. В результате Украина получит:
– рост качества услуг путем привлечения к рынку новых игроков, имеющих действительно квалифицированный персонал и огромный опыт реализации ИТ-проектов;
– существенное уменьшение предпосылок для коррупции;
– возможность сравнивать между собой результаты сертификационных испытаний, признание таких результатов на международном уровне.
И кстати, в странах, участвующих в соглашении (прежде всего, в США, Великобритании, Франции) разработаны десятки, если не сотни практически применимых современных профилей защиты для различных типов ИТ-продуктов: ОС, СУБД, Firewalls, смарт-карт и тому подобных.
Существует международный реестр сертифицированных профилей защиты. Таким образом, переход к использованию международных стандартов сразу позволит Украине использовать уже накопленный в этой области мировой опыт.
Отмечу, что на сегодня в Украине уже предпринимаются шаги в этом направлении.
Так, стали появляться стандарты в области информационных технологий и их защиты, гармонизированные с международными.
Например, с 2017 года действуют ДСТУ ISO/IEC 15408. Да, это те самые Common Criteria - один из наиболее распространенных в мире стандартов в области оценки реализованных функций и мер безопасности.
Осталось только перейти к их практическому применению.
Вместо эпилога.
Так что, спустить Идола вниз по реке? Метод радикальный, учитывая негативную ауру, но не очень правильный с практической точки зрения. Вместе с откровенно ненужным будет потеряно и много ценного. А в нашей ситуации, когда против Украины ведется гибридная война, это может дорого обойтись.
Как и в любой реорганизации, в данном случае тоже очень важно не переборщить.
Обязательно нужно вычленить полезные функции из огромной неповоротливой государственной структуры, сохранить и доразвить их. Также нужно решить, что делать с непрофильными подразделениями. Например, отдать их Фонду госимущества, пусть они мучаются.
Осталось только перейти к практическому применению. А этот процесс может занять до года.