Необходимо принуждение к исполнению
Механизмы регулирования с точки зрения регуляторов и отрасли обсудили участники сессии «Механизмы регулирования» в рамках Форума «Цифровая устойчивость и информационная безопасность России».
Обеспечение нормативно-правого регулирования в сфере информационной безопасности разнообразно. При этом не всегда соблюдается четкое выполнение регуляторной базы, либо она выполняется формально, отметил модератор сессии Артем Сычев, советник генерального директора Positive Technologies.
Почему?
Участники дискуссии обсудили вопрос, почему так происходит и чего не хватает в существующей нормативной документации.
Евгений Хасин, врио Директора Департамента обеспечения кибербезопасности Минцифры России, сравнил ситуацию с регуляторикой и компаниями с героями сказки «Три поросенка», которые в спокойной ситуации жили в домике из соломы и как-то выполняли требования регуляторов. Однако, в экстренном режиме выяснилось, что регуляторика и проектная документация не те, в них чего-то не хватает. Оперативно изданный Указ № 250 стал стимулом для того, чтобы вопросами информационной безопасности занялись топ-менеджеры компаний.
После выхода Указа 250 оказалось, что в стране действуют порядка 200 тысяч организаций, которые подпадают под критерии критически значимых, стратегических и системообразующие предприятий. За Указом подтягивается и регуляторика. «Далее должна быть ответственности», — считает представитель Минцифры.
Диалог между регуляторами и отраслью налаживается. Несколько лет назад киберриски были малы на фоне иных рисков. В экстренной ситуации киберриски выросли, все ибшники первые месяцы «строили каменные дома». Сейчас ситуация выровнялась, стоит задача довести до первых лиц, принимающих решения, актуальность кибербеза. И показать, что в случае невыполнения требований возможны штрафы и издержки как со стороны государства, так и регуляторов, уголовные дела. «Необходимо принуждение к исполнению», — считает Евгений Хасин.
Иван Минаев, представитель НКЦКИ, отметил, что иначе как формально компании не могут исполнять требования регуляторов. Он видит проблему в качестве нормативных актов, которые были созданы в либерально-ориентированный период, когда превалировали интересы бизнеса. В результате мы обросли таким количеством требований к этапам подготовки НПА, что это стало отдельным искусством: появились специфические требования к оформлению и подаче материала. В процессе реализации финальный документ значительно отличается от исходного замысла.
Два фактора — реакционная романо-германская правовая система и нагромождение бюрократических препон — дают большой лаг по времени на реагирование. Поэтому Указ № 250, который не проходил все стадии согласования, — рабочий инструмент, считает представитель НКЦКИ.
На историю вопроса стандартизации со времен начала 2000-х годов обратил внимание Владимир Голованов, заместитель начальника аналитического отдела компании ИнфоТеКС, эксперт ТК 122. Он напомнил продвижение добровольности стандартизации с 2002 года и появление техрегламентов в 2003 году. Определенную роль сыграли отраслевые стандарты реализации, которые получили развитие в зрелых отраслях и к разработке которых были привлечены технические специалисты. «Уровень зрелости ИТ-технологий компании определяет готовность компании реализовывать нормативные документы, в том числе в области ИБ», — резюмировал выводы коллеги Артем Сычев.
Николай Комлев, исполнительный директор АП КИТ, отметил низкое качество быстроустаревающей нормативно-правовой базы, наличие лоббистов со стороны государства и бизнеса, недостаточную координацию работы регуляторов по смежной тематике. В этом он видит причины неработающих регуляторных требований.
Ренат Лашин, исполнительный директор АРПП «Отечественный софт», напомнил, что вопрос импортозамещения был поднят еще в 2014-2015 годах, однако многие нормативные требования легко обходились. Предприятия получили право самостоятельного категорирования систем, что позволило компаниям с легкостью относиться к нормативно-правовой базе. «Мы получили то, что множество предприятий было недокатегорировано», — подчеркнул спикер.
Это привело к тому, что ФСТЭК сегодня выпускает отраслевые требования по категорированию предприятий, подпадающих под объекты КИИ, отметил докладчик. Таким образом, к 2022 году мы получили разнообразие по степени зрелости предприятий: кто-то был готов к переменам, кто-то даже не преступал к работе, считает Ренат Лашин. Также в 2021-2022 годах не было предусмотрено увеличения затрат на ИБ, что не задало должного темпа перехода на отечественные решения.
Что делать разработчикам?
Вторая часть дискуссии была посвящена вопросу «Что делать?» в сложившейся ситуации.
Николай Комлев, как и его коллеги, отметил частое наличие противоречий в документах и недостаточную координацию участников по согласованию нормативных актов. Только при участии всех заинтересованных сторон можно найти тот баланс, который удовлетворит всех участников процесса.
Он подчеркнул избыточные требования в НПА. При их внесении надо быть реалистами, чтобы выдвигать часть требований по аппаратным или программно-аппаратным средствам, поскольку в настоящее время реализация этих норм невозможна по объективным причинам. Также, по мнению докладчика, сегодня избыточны требования по сертификации компонентов ПАК, совместимости с несколькими операционными системами или повторные запросы одних и тех же наборов документов при сертификации продуктов, что создает дополнительные временные и стоимостные затраты, которые включаются в стоимость продукта.
Ренат Лашин отметил, что к апрелю 2024 года выйдет обновленная редакция Постановления правительства РФ от 23.03.2017 № 325 «Об утверждении дополнительных требований к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения, и внесении изменений в Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных». Каждое из обновленных требований по совместимости согласовано с Минпромторгом и будет иметь отложенную норму вступления в силу. После указанной даты регулятор может предъявлять требования по совместимости оборудования.
Другая актуальная задача — создание собственных ОС и развитие экосистем вокруг них. Здесь необходимо отсечь недобросовестных разработчиков, которые незначительно меняют ПО с открытым кодом и выдают его за собственный продукт, и не задавить стартапы и молодых разработчиков. Как выход из ситуации Ренат Лашин предлагает направить усилия на разработку необходимого ПО, а не идти туда, где продукты уже массово создаются.
Что делать регуляторам?
Что надо сделать со стороны регуляторов, чтобы не перекладывать все на заказчика или чтобы он был готов платить за ИБ, несмотря на то, что в НПА все уже существует? — спросил Артем Сычев представителей регуляторов.
Евгений Хасин продолжил ранее начатую тему компетентности руководителя компании в сфере ИБ и то, как вынудить его платить за инфобез. Он отметил, что при участии Минцифры был издан Указ №250 и вышло постановление правительства о заместителях гендира. В области ИБ ведомство создает возможности и помогает руководителям понять, что за вопросы ИТ и ИБ должны отвечать топ-менеджмент компании — заместитель, подчиненный первому лицу. Евгений Хасин отметил, что руководитель должен понимать все риски для ИТ‑инфраструктуры организации, не только в вопросах ИБ. Это и вопросы SSL/TSL-сертификатов, компетенций и киберграмотности. Необходимо заниматься реальной безопасностью: вопросами фишинга, сегментации сети, инвентаризации ИТ-активов, проводить регулярные пентесты, участвовать в программах багбаунти…
Отвечая на вопрос о работе Минцифры по созданию Реестра СЗИ доверенных ПАКов, Хасин отметил, что ведомство ведет работу в сотрудничестве с Минпромторгом. Также он подчеркнул, что деятельность по разработке доверенного ПО для решения задач широкого спектра намного сложнее разработки ОС. В качестве примера он привел разработку аналогов MS Office, работа над которыми намного сложнее разработки ОС. Здесь важно оказать поддержку тем, кто заходит на эти треки, отметил представитель Минцифры.
Нормативых актов много, контролировать их невозможно, считает Владимир Голованов. Акты изобилую огромным количеством технических деталей и, по опыту западных стран, необходимо выносить их в отраслевые и технические стандарты. Отправлять в техническое регулирование, которое у нас не развито, подчеркнул спикер. Он также отметил низкое качество документации отраслевых ТК, которая содержит многочисленные ошибки и не может быть реализована на практике.
Иван Минаев поддержал коллегу, НКЦКИ готово делать отсылочные нормы на стандарты в своих нормативных документах. По его мнению, ТК должно быть тем фильтром, который отсекает все лишнее.
Итоги
Артем Сычев подвел итог бурной дискуссии, из которой сделал выводы, что
- в существующих НПА все есть требования, однако необходимы дополнения по ряду механизмов;
- в органах власти работают компетентные люди, которые занимаются регулированием и понимают проблематику;
- нормативное регулирование несовершенно и требует корректировки;
- недостаточно контроля разного уровня;
- нормативные проблемы, которые может быть прямо не относятся к ИБ, напрямую влияют на практическое применение.
- Минцифры готов поддержать отдельный закон по анализу защищенности и багбаунти;
- выделение из НПА технических деталей и погружение их в стандарты — на радарах регуляторов.
Также Артем Сычев подчеркнул, что история с отозванными сертификатами — наглядный пример того, что ранее осознанные, но считавшиеся недопустимыми риски могут случиться.