Держспецзв'язок - сакральний ідол?

П'ятниця, 27 вересня 2019, 09:20
Прийшов час реорганізації Державної служби спеціального зв’язку та захисту інформації України. Але зробити це потрібно так, щоб зберегти все потрібне і позбутися зайвого. (рос)
IT-бізнесмен, експерт з кібербезпеки, голова наглядової ради "Октава Капітал"

Тема дальнейшей судьбы такой крупной структуры, как Госспецсвязь, сейчас самая обсуждаемая в кругу экспертов из IT- и телеком-секторов.

И как принято у нас в стране, где собирается три эксперта – там появляется, как минимум, четыре мнения.

Но в одном все-таки сходятся все – бизнес, зарегулированный донельзя этой машиной, надеется на качественные изменения в структуре с приходом новой власти.

Для широкого круга общественности Госспецсвязь – грозный и загадочный монстр, призвать которого можно случайно произнеся вслух аббревиатуру "КСЗИ" (комплексная система защиты информации).

Вслед за этим начинается длительный изматывающий период совершения строго регламентированных и не всегда понятных ритуалов, включая прочтение вслух заклинаний нормативных документов.

Сам многократно и регулярно приносил сакральные жертвы этому Идолу. И ждал, что буду прощён или убит молнией.

Пришло время качественных изменений, так что поделюсь с вами своим видением.

История, как родился монстр?

Итак, начнем с истории. Государственная служба специальной связи и защиты информации как отдельная структура появилась в 2006 году.

Тогда из СБУ было выделено одно подразделение, а точнее департамент специальных телекоммуникационных систем и защиты информации.

Задачей нового органа была реализация государственной политики в сфере защиты государственных информационных ресурсов в сетях передачи данных, обеспечение функционирования Государственной системы правительственной связи, Национальной системы конфиденциальной связи, регулирование в области криптографической и технической защиты информации.

Как человек, принимавший самое непосредственное участие в практической реализации первого этапа проекта НСКЗ (Национальной системы конфиденциальной связи), скажу, что буквально за полгода была построена её первая очередь, на 52 точки.

Строилась она по технологии "Ethernet-over-STM", и 15 лет назад 100 мегабит были серьезным технологическим прогрессом.

Однако с самого момента своего создания Госспецсвязь стала активно "обрастать" несвойственными функциями, началось "натягивание одеяла" на себя…

В структуре появились десятки подразделений, никак по сути не связанных с её непосредственными задачами: несколько институтов, медицинский центр, куча госпредприятий (в том числе – не смейтесь – по распространению периодических изданий), теле- и радиоканалы.

Есть даже свое строительно-монтажное управление! Справедливости ради отмечу, что из полезного в структуре Госпецсвязи появился Центр киберзащиты и Центр реагирования - CERT-UA.

Так Госпецсвязь начала превращаться в монстра, совмещающего в себе в том числе функции создания нормативных требований и проверки их выполнения.

Такое совмещение само по себе является очень нездоровой практикой. А уж то, что нормативные требования по защите информации создаются свои, уникальные, и вовсе отрывает Госспецсвязь от реальности (слово "уникальные" здесь, к сожалению, не комплимент).

Что делать?

Любой подобный орган прежде чем что-то требовать, сначала что-то должен дать.

И этот баланс quid pro quod – ты мне, я тебе – и определяет ценность таких органов не только для их себя любименьких, но и для их потребителей.

Поскольку они могут либо помогать своим контрагентам повышать их безопасность, предоставляя необходимую информацию / нормативку и вообще ответы "что и как делать, чтобы обеспечить настоящую безопасность и защищенность вашей ИС и информации, которая в ней циркулирует" и даже оказывать услуги по аудиту и консультативные – либо "требовать выполнение нормативов" с апофеозом в виде выдачи некоторого количества бумаги об аттестации КСЗИ.

Первый вариант – помогать – это путь, например, американских органов вроде NIST, которые, кажется, понимают, что существуют на деньги налогоплательщиков и эти самые налогоплательщики должны получать нечто реальное за свои деньги.

Второй, чисто контролирующе-требующий вариант – это наш национальный вариант.

Так что же можно предложить Госпецсвязи в качестве быстрых изменений?

1) Начнем с наиболее понятного. В основе - Центр киберзащиты и CERT-UA. Они могут стать базой для создания Национального агентства (или службы) кибербезопасности Украины. Это одна из базовых служб современного государства!

2) Подразделения, отвечающие за гражданскую связь, естественно, перевести в созданное Министерство цифровизации. Что уже и было озвучено.

3) Специальная, в том числе конфиденциальная связь. Тут все понятно: почистить и проредить список пользователей. А то сейчас спецсвязью пользуются все, кому нравится телефон с гербом на столе.

То же самое касается и узла защищенного интернета.

Значительно сложнее с подразделениями технической и криптографической защиты информации.

Для внедрения качественных изменений тут необходимы изменения регуляторной базы.

И тут логичным будет, считаю, не свой особый, как мы любим, сценарий, а уже протоптанная дорога.

Первое! Переход к использованию в Украине в качестве нормативной базы в области защиты информации международных стандартов и присоединение Украины к международному соглашению "Common Criteria Recognition Arrangement".

Внедрение надежной общей системы оценки, основанной на международных стандартах, позволит уже в краткосрочной перспективе демонополизировать рынок сертификации. В результате Украина получит:

рост качества услуг путем привлечения к рынку новых игроков, имеющих действительно квалифицированный персонал и огромный опыт реализации ИТ-проектов;

существенное уменьшение предпосылок для коррупции;

возможность сравнивать между собой результаты сертификационных испытаний, признание таких результатов на международном уровне.

И кстати, в странах, участвующих в соглашении (прежде всего, в США, Великобритании, Франции) разработаны десятки, если не сотни практически применимых современных профилей защиты для различных типов ИТ-продуктов: ОС, СУБД, Firewalls, смарт-карт и тому подобных.

Существует международный реестр сертифицированных профилей защиты. Таким образом, переход к использованию международных стандартов сразу позволит Украине использовать уже накопленный в этой области мировой опыт.

Отмечу, что на сегодня в Украине уже предпринимаются шаги в этом направлении.

Так, стали появляться стандарты в области информационных технологий и их защиты, гармонизированные с международными.

Например, с 2017 года действуют ДСТУ ISO/IEC 15408. Да, это те самые Common Criteria - один из наиболее распространенных в мире стандартов в области оценки реализованных функций и мер безопасности.

Осталось только перейти к их практическому применению.

Вместо эпилога.

Так что, спустить Идола вниз по реке? Метод радикальный, учитывая негативную ауру, но не очень правильный с практической точки зрения. Вместе с откровенно ненужным будет потеряно и много ценного. А в нашей ситуации, когда против Украины ведется гибридная война, это может дорого обойтись.

Как и в любой реорганизации, в данном случае тоже очень важно не переборщить.

Обязательно нужно вычленить полезные функции из огромной неповоротливой государственной структуры, сохранить и доразвить их. Также нужно решить, что делать с непрофильными подразделениями. Например, отдать их Фонду госимущества, пусть они мучаются.

Осталось только перейти к практическому применению. А этот процесс может занять до года.