Аннотация
На основе анализа настоящего состояния по материалам СМИ, определен полный состав работ по обеспечению ИБ объектов КИИ РФ, адекватный кибервызовам 2017 года, и способов их выполнения на принципах государственно-частного партнерства: от базовых государственных документов и способов порождения в РФ конкурентного государственно-частного рынка АПК ИБ, до мер по подбору кадров для ТОПовых позиций участников проекта и повышению конкурентоспособности производителей АПК ИБ в РФ.
ПЛАН
1. Приведение базовых документов по информационной безопасности РФ в соответствие с кибервызовами 2017-2021годов.
2. Общие принципы решения задачи обеспечения информационной безопасности объектов КИИ РФ, адекватной киберугрозам 2017 – 2021 годов.
3. Технические аспекты задачи обеспечения информационной безопасности объектов КИИ РФ, адекватной кибервызовам 2017-2021 годов.
4. Создание в РФ конкурентного государственно-частного рынка АПК ИБ с параметрами, адекватными кибервызовам 2017-2021 годов.
5. Роль профессионалов в решении задачи обеспечения ИБ объектов КИИ РФ, адекватной кибервызовам 2017-2021 годов.
6. Пути повышения конкурентоспособности российских производителей АПК ИБ для объектов КИИ РФ за счет использования механизмов государственно-частного рынка.
Приложение 1. Государственная система обеспечения информационной безопасности РФ.
Приложение 2. Анализ «Доктрины информационной безопасности» РФ от 5 декабря 2016 года.
Приложение 3. Меры по уменьшению рисков утраты интеллектуальной собственности производителями АПК ИБ в РФ.
Приложение 4. Меры по введению режима коммерческой тайны в производителях АПК ИБ в РФ.
1. Приведение базовых документов по ИБ РФ в соответствие с кибервызовами 2017-2021годов
Обращаясь к опыту СССР, можно припомнить, что главным итогом 18 летней работы Гостехкомиссии СССР стало формирование государственной культуры информационной безопасности (ИБ). Именно эта культура позволила:
• создать эффективный «государственный высокотехнологичный механизм», позволявший координировано, на системной основе, объединять производственную деятельность по информационной безопасности на государственном, многоотраслевом и уровне предприятий и объектов КИИ,
• своевременно и адекватно внешним вызовам, решать вопросы законодательного, регуляторного, технологического и метрологического обеспечения работ по ИБ,
• концентрировать силы и ресурсы на ключевых направлениях: где, какие объекты и технические средства, от каких видов атак и по каким каналам, каким образом следует защищать и как контролировать уровень защиты.
Из сообщений СМИ только в 2017 году (нарушения регламента работы с ПП на пяти АЭС РФ, субъективные механизмы ЦИБ ФСБ, определяющие политику отрасли кибербезопасности РФ, передача конфиденциальных документов по ИБ в ЦРУ), можно предположить наличие недоработок в системных вопросах ИБ РФ, не всегда государственные соображения, определяющие действия отдельных сотрудников. Возможно, такое состояние является следствием исторического пути, который проходит Россия и её «рыночная» экономика в 21 веке. Однако, как показывает опыт СССР, без решения системных вопросов, не следует ожидать обеспечения информационной безопасности объектов КИИ РФ, адекватной киберугрозам 2017-2021 годов, в выделенный исторический период.
Ниже приведены результаты анализа состояния системных вопросов ИБ РФ на январь 2017 года:
1. До 2012 года, легитимная власть, экономика и сырьевые отрасли России, обслуживая интересы стран Запада, были лояльны глобальному бизнесу (ТНК и ТНБ). В то время, единственными источниками кибератак на объекты КИИ РФ были хакеры, часто мотивируемые конкурентами.
2. В феврале 2012 года, после публикации в СМИ предвыборной программы Президента РФ В.В. Путина, и изменения внешнего и внутреннего курса страны на суверенное экономическое, военное и промышленное развитие в условиях многополярного мира, объекты КИИ РФ стали целями кибератак не только международных команд хакеров, но технических разведок и кибервойск ведущих стран Запада.
3. На 2013 год, базовыми государственными документами по обеспечению информационной безопасности в РФ были Стратегия национальной безопасности РФ от 5 мая 2009 года и Доктрина национальной безопасности РФ от 9 сентября 2000 года, разработанные в период лояльности страны глобальному бизнесу.
4. В 2014 году ФСТЭК России разработала Приказ ФСТЭК №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах страны» и, как можно предположить, не обратила должного внимание на изменение политического курса РФ и соответствующее изменение источников, моделей, сценариев, каналов доставки вредоносных программ (кибератак) на объекты КИИ РФ. Также не были даны строгие определения ТС и ПП на объектах КИИ РФ, которые требуют защиты, что не позволяло концентрировать силы/средства в нужных точках.
Одновременно, важно отметить, что в РФ и США-ЕС существует отличие в постановке задачи обеспечения ИБ объектов КИИ, которое можно обнаружить по отличиям в Приказе №31 ФСТЭК и в стандарте NIST SP 800-82. По мнению экспертов, главное отличие этих документов - это учет во втором документе «внешней ИТ-среды», окружающей ИТ-оборудование на объекте КИИ, например, АСУ ТП. Как правило, именно «внешняя ИТ-среда», делает возможными те или другие модели кибератак на АСУ ТП. Например, аппаратные и программные недекларируемые возможности (НДВ) в импортном оборудовании АСУ ТП, в сетевом и абонентском оборудовании цифровых сетей ССОП (например, сетей GSM и SDH и соответственно SS7 и TMN), в зоне покрытия которых находятся многие объекты КИИ РФ, делают возможными новые модели кибератак силами и средствами технических разведок и кибервойск США-ЕС.
5. Можно предположить, что описанная ситуация инициировала приведение базовых государственных документов по ИБ РФ в соответствие с вызовами в киберпротивостоянии на период 2016-2021 годы: в СБ РФ были разработаны «Стратегия национальной безопасности РФ» от 31.12.2015. и «Доктрина информационной безопасности РФ» от 01.12.2016.
6. Эти новые Документы СБ РФ от 2016 года позволяют Управлению информационной безопасности СБ РФ, в соответствии с Положением о СБ РФ, организовать, совместно с ФСТЭК, ГРУ и СВР, выполнение следующих видов работ:
• анализ информационной обстановки в России и за ее пределами, прогнозирование ситуации в области информационной безопасности РФ до 2021 года,
• выявление уязвимостей информационной сферы объектов КИИ РФ, источников (хакеры, технические разведки, кибервойска) и видов опасности (модели, сценарии, каналы кибератак), оценка и ранжирование внешних и внутренних угроз информационной безопасности, подготовка предложений по их предотвращению,
• создание федерального центра мониторинга, сбора и анализа данных об источниках, каналах доставки, моделях, сценариях, последствиях кибератак на объекты КИИ по всей территории РФ,
• подготовка предложений по развитию государственной системы обеспечения информационной безопасности, как составной части государственной ИТ-политики (по аналогии с СССР и странами-лидерами).
И уже на этом фундаменте, при необходимости, ФСТЭК сможет доработать Приказ №31 от 14.03.2014. и создать новые регуляторные документы/ акты.
Такие работы, позволят «привести в соответствие» отраслевые стандарты и российские производители получат достаточную нормативную и регуляторную базы для разработки ТЗ на выполнение НИОКР по АПК ИБ КВО и АСУ ТП, адекватным киберугрозам России в 2017-2021 годах, для метрологического обеспечения АПК ИБ и аппаратного контроля уровня защищенности объектов КИИ на этапах строительства и эксплуатации.
После определения перечня «востребованных» работ для базовых документов по ИБ РФ, уместно узнать допустимые временные границы решения полномасштабной задачи обеспечения ИБ объектов КИИ, адекватной кибервызовам РФ в 2017 – 2021 годах.
Из СМИ следует, что определяющий этап новой мировой гонки вооружений, позволяющей странам-лидерам получить стратегические военные преимущества, будет в 2017-2021 годах. Иными словами, если до 2021 года России не удастся достигнуть паритета в новейших космических видах вооружений, то её сегодняшний ракетно-ядерный потенциал уже не сможет быть инструментом стратегического сдерживания кабератак на объекты КИИ РФ, системы жизнеобеспечения городов, объекты энергосистемы страны (Blackout–одна из основных целей атак). По утверждению экспертов, такие атаки могут разрушить более 60% экономики РФ.
Это указывает на необходимость решения всего комплекса вопросов обеспечения безопасности информационной сферы РФ, не позднее 2019 года: в сегодняшних условиях качественного доминирования США в мировом и российском телеком и кибер пространстве, в условиях «прослушки» всех сотовых телефонов и ПК россиян, в условиях «открытости» к нарушениям информационной сферы объектов КИИ РФ (научные институты, предприятия ОПК, коммерческие производители АПК ИБ, объекты КИИ, полигоны), в условиях «не всегда достаточной личной мотивация» сотрудников и воинского состава, - маловероятно обеспечение паритета/приоритета России в сегодняшней мировой гонке вооружений.
Припомнив темпы разработки базовых документов по ИБ РФ в период 2012-2017 годы, можно увидеть целесообразность увеличения в 2017 году интенсивности работ по ИБ РФ на всей цепочке действий до внедрения АПК ИБ на объектах КИИ РФ.
Примечание: «Стратегия научно-технологического развития Российской Федерации до 2035 года" от 1 декабря 2016 года не рассматривает вопросы государственной ИТ-политики, воссоздания ИТ- индустрии, ЭКБ и безопасности информационной сферы России; и не отвечает на ключевой вопрос «Стратегии национальной безопасности РФ» от 31.12.2015.: «Каким образом возможно: обеспечить темпы научно-техническое развития, обеспечивающие региональное лидерство страны; создать цифровую экономику в РФ, не имея отечественной ИТ-индустрии, ЭКБ, не обеспечив информационную безопасность страны?».
2. Общие принципы решения задачи обеспечения информационной безопасности объектов КИИ РФ, адекватной киберугрозам 2017 – 2021 годов.
Для исполнения в 2019 году, этой приоритетной государственной задачи*, впервые поставленной и решаемой в мире, можно предложить апробированную процедуру:
• формулирование задачи, её декомпозиция до уровня, позволяющего организовать координированное выполнение специализированными ведомствами, организациями и предприятиями, коммерческими компаниями; создание организационной структуры для выполнения проекта на конкурсных принципах и контроля этапов его выполнения,
• разработка рабочих характеристик к полной линейке АПК ИБ для разных типов объектов КИИ и видов ТС на них, определение требуемого количества каждого типа АПК ИБ и соответственно, требуемых объемов АПК ИБ по каждому сегменту рынка в РФ (БРИКС) на 2018-2021-2025 годы,
• создание тендерной комиссии (например, на тандемном принципе принятия решений),
• определение необходимых ресурсов (законодательная и информационная поддержка, финансы, кадры, метрологическое и технологическое обеспечение, информационная безопасность работ и т.п.),
• определение принципов государственно-частного партнерства с четким определением механизмов, обеспечивающих взаимный интерес и границы ответственности сторон,
• определение принципов создания российского рынка АПК ИБ, стимулирующих разработку-производство-регламент эксплуатации АПК ИБ, имеющих технические параметры (совместно с другими организационно-техническими мероприятиями), адекватные киберугрозам РФ в 2017-2021 годах,
• определение принципов корпоративной культуры российских производителей АПК ИБ, обеспечивающих конкурентные преимущества их продукции на российском и мировом рынках, обеспечивающие высокую мотивацию ключевых специалистов и обеспечивающих режим коммерческой (и другой) тайны.
Одновременно, при участии государства, целесообразно создание стимулирующей, творческой, конкурентной и бизнес-среды, и блокирование негативных социальных явлений в коммерческих и гос. компаниях:
• гос. финансирование, беспроцентные кредиты, льготы по налогообложению в федеральный и региональный бюджеты, снижение таможенных пошлин и т.п.,
• создание виртуальных лабораторий (организационные, научные, технологические, метрологические, бизнес - решения) из сотрудников организаций и предприятий-участников проекта на всей территории РФ (сегодня, при разработке гиперзвуковых ракет, из специалистов РАН и МО РФ создано около десяти подобных виртуальных лабораторий),
• создание, на базе виртуальной лаборатории, научно-технического совета проекта с функциями принятия технических решений,
• инициирование ключевых специалистов - сотрудников виртуальных лабораторий к стартапам (льготная аренда помещений, льготное кредитование, прогнозируемые объемы рынка продукции на 5 лет и более).
*Примечание: формулу сильного государства вывел в 1977 году высокопоставленный чиновник ЦРУ Роберт Клайн:
Сила государства = (население + территория + экономика + военная мощь) x (стратегия + воля).
По этой формуле, согласно подсчетам Клайна, СССР оказался в конце 80-х годов прошлого века в два раза сильнее США (за счет стратегии и воли). Эти определяющие "множители" были утрачены при Горбачеве и Ельцине, но при В.В. Путине, их вновь приобретает Россия.
3. Технические аспекты задачи обеспечения ИБ объектов КИИ РФ, адекватной киберугрозам 2017-2021 годов.
Изначально, целесообразно найти ответ на вопрос: возможно ли достижение паритета в новой гонке вооружений 2017-2021 годы, без обеспечения информационной безопасности, как минимум, отдельных объектов КИИ РФ?
Второй вопрос: возможно ли, в принципе, обеспечение ИБ, адекватной киберугрозам 2017-2021 годов, на отдельных объектах КИИ РФ, даже при их отключении от Интернет, в условиях:
• отсутствия 26 лет государственной технологической ИТ-политики,
• отсутствия отечественной ИТ-индустрии, ЭКБ и метрологического обеспечения работ,
• создания на всей территории РФ телеком и компьютерных сетей на импортном сетевом и абонентском оборудовании (GSM, SDH, IP, DECT), в зоне покрытия которых находится около 6000 объектов КИИ (кроме, единичных ЗАТО и в/ч),
• потенциальной прослушки и идентификации центрами ТР стран-лидеров (голос, видео, местоположение, особенности голоса и выдыхаемого воздуха человека ) 100% сотрудников объектов КИИ: абонентов GSM, пользователей Интернет, социальных и банковских сетей; сбора-анализа метаданных абонентов и их сетевых контактов «до 7 колена» (проект ECHELON, PRISM) и, соответственно, потенциальной вербовки сотрудников объектов КИИ, через реализацию спец. сценариев в условиях, когда за 26 лет публично не сформулированы общественно значимые цели жизнедеятельности и развития страны,
• потенциального перехвата сигналов ПЭМИН от ОТС и ВТС на объектах КИИ (проект «Буря»), например, через импортные смартфоны-ПК-смарт телевизоры-фотокамеры-USB –кабели-флешки, устройства бытовой кухонной техники и автосредства, расположенные в пределах КЗ; и скрытной передачи этих сигналов ПЭМИН по глобальным телеком-сетям в центры ТР за тысячи километров,
• потенциального наличия, в большом количестве импортного ИТ-оборудования, материнских плат, микросхем и чипсетов, программных закладок на уровнях от BIOS и Windows до прикладных программ (по мнению экспертов, в РФ сегодня «очень мало» программистов, кто мог бы доказательно сказать, «что зашито/делает» каждый чипсет и микросхема на материнской плате; кто мог бы извлечь из чипсета данные, пропустить их через дизассемблер, восстановить ассемблерный и затем машинный код и сообщить: что и как данная прошивка чипсета делает?»; также в чипсете могут быть скрытые разделы и использоваться не классический ассемблер (MASM, FASM, TASM), а секретный язык, специально разработанный для таких закладок с использованием механизмов шифрования.),
• потенциального наличия на импортных комплектах офисной мебели, аксессуарах дверей и окон, на канцелярских принадлежностях - микрозакладок-чипсетов (размеры 0,01 – 0,1 мм), имеющих энергопитание от внешних СВЧ-полей и способных принимать различные типы сигналов (например, в состав чипсетов можно включить микролазеры, улавливающие акустические микровибрации отражающих поверхностей) и скрытно передавать их, например, на близко расположенную БС GSM и далее в центр ТР (возможно, такие чипсеты имеют «логику» для выстраивания линейных структур в сотни метров),
• потенциальной доступности ТР к личным данным, банковским операциям, переписке/переговорам сотрудников объектов КИИ и членов их семей/друзей, ко всем их контактам и перемещениям в GSM\GPS пространстве, вне КЗ объекта КИИ, и, соответственно, повышенных рисков определения «чувствительных зон сотрудников» (Сноуден) и их вербовки в общественных местах, внутри и вне пределов страны.
Примечание:
1. Выше были рассмотрены «киберугрозы» технических разведок; не рассмотрены 7 каналов утечки секретной информации, хорошо изученные со времен СССР, и атаки хакеров через Интернет - принято, что объекты КИИ (вся Россия) отключены от всемирной сети.
2. Из СМИ известно, что компьютерщики, совместно с учеными других областей знаний, уже много лет работают над технологиями использования смартфонов в качестве различного рода приемников и источников излучения (теплового, СВЧ, ИК, акустического), например:
• приемников побочных электромагнитных излучений и наводок (ПЭМИН) в диапазоне от акустических до СВЧ и оптических частот, например, снятие шумовых портретов конкретных АПЛ еще на этапе их строительства, или ретрансляция сигналов на/с чипсетов (закладок), в основных и вспомогательных ТС объектов КИИ, в глобальные телеком сети и далее в центры ТР,
• сканеров для снятия отпечатков пальцев с экранов смартфонов, например, для идентификации человека, держащего в руках гаджет,
• анализаторов биологического состава паров воды на экране смартфона, например, для идентификации человека, разговаривающего по смартфону (биологический состав воздуха, выдыхаемого конкретным человеком, также индивидуален, как и его дактилоскопический рисунок),
• анализаторов различные параметров окружающего воздуха, например, для анализа состава воздуха на химических, биологических и других предприятиях.
• достаточно мощных генераторов СВЧ полей для ввода «прямо в сознание человека» определенных приказов (английский патент от 1944 года, ПНЦ РАН),
• генераторов акустических (за пределами речевого диапазона) и ИК - сигналов для передачи – приема управляющих кодированных сигналов на/с закладок внутри ОТС и ВТС на объекте КИИ, в условиях зашумления ЭМИ,
• «нагревательных элементов» за счет скрытного дистанционного запуска в смартфонах спец. режимов максимального энергопотребления, вызывающего перегрев его литиевого аккумулятора и даже пожар (см. сайт).
Третий вопрос (в случае положительного ответа на второй вопрос): как с минимальными финансовыми ресурсами и временем, обеспечить защищенность приоритетных объектов КИИ, и далее определить очередность работ по всем 6000 объектам КИИ РФ?
Возможно, целесообразно сконцентрироваться на методах обнаружения аппаратных и программных закладок в ИТ-оборудовании и комплектующих; на методах блокирования каналов доставки «опасных» сигналов к объектам КИИ через российские сети GSM, SDH, ISDN, IP-MPLS, DECT; на методах линейного и пространственного зашумления объектов КИИ; на методах поиска потенциально опасных абонентов GSM, на критически важных территориях, на основе динамически адаптируемых алгоритмов (до настоящего времени, подобные работы не заинтересовали производителей АПК ИБ, включая компанию Kaspersky Lab….
4. Создание в РФ конкурентного государственно-частного рынка АПК ИБ с параметрами, адекватными киберугрозам 2017-2021 годов.
Можно допустить, что выше обозначенные «недоработки» базисных документов по ИБ РФ сдерживают:
• разработку типовых ИТ-моделей объектов КИИ РФ и их уязвимостей, соответствующих возможностям ТР до 2021 года,
• разработку моделей и сценариев кибератак ТР с учетом всех возможных каналов доставки вредоносных программ до информационной сферы объектов КИИ,
• определение полного состава киберугроз ТР для типовых ИТ-моделей объектов КИИ,
• разработку методологии комплексной защиты информационной сферы объекта КИИ от ТР, включая защиту: ИТ-оборудования, ПП, помещений и коммуникаций, КЗ объекта КИИ; включая блокирование передачи вредоносных программ по сетях ССОП, в зоне покрытия которых находятся объекты КИИ РФ, пространственное и линейное зашумление и организационные меры,
• разработку критериев защищенности информационной сферы разных типов объектов КИИ с учетом последствий реализованной кибератаки,
• составление сметы на полный комплекс работ по защите конкретного объекта КИИ: невозможно заложить стоимость работ по ИБ в себестоимость продукции промышленного предприятия,
• выполнение аудита информационной безопасности более 6000 объектов КИИ РФ и определение объемов и очередности выполнения работ по защите на 2019-2025 годы,
• определение полной номенклатуры АПК ИБ и их рабочих характеристик, адекватных угрозам 2017-2021 годов, для разных типов объектов КИИ РФ,
• метрологическое обеспечение работ по АПК ИБ на этапах разработки, производства и эксплуатации.
Выполнение 9 выше обозначенных видов работ позволит создать условия для порождения конкурентного государственно-частного рынка АПК ИБ с параметрами, адекватными киберугрозам ТР в 2017 - 2021 годах:
• сформулировать технические требования (ТЗ на НИОКР) к полной линейке АПК ИБ с параметрами, адекватными киберугрозам объектов КИИ РФ в 2017 -2021 годах,
• определить годовые потребности рынка АПК ИБ России (БРИКС) на период до 2025 года и сформировать рыночные цены на АПК ИБ, адекватные возможному ущербу от реализованной кибератаки,
• коммерчески заинтересовать частные российские компании-производители АПК ИБ (выдача ТЗ на НИОКР, гарантированные объемы сбыта продукции до 2025 года, низкопроцентные кредиты, льготы по налогообложению и т.д.),
• коммерчески заинтересовать собственников объектов КИИ выполнить полный комплекс работ по защите информационной сферы объекта КИИ посредством, например, подзаконного нормативного акта ГД РФ «О внесении в себестоимость продукции и услуг объектов КИИ РФ стоимости работ по обеспечению защиты информационной сферы объекта КИИ» с указанием штрафных санкций вплоть до конфискации собственности,
• выполнить понуждение директоров государственных объектов КИИ, например, через отраслевые (подзаконные) нормативные акты, к выполнению работ по обеспечению защиты информационной сферы объекта КИИ с указанием штрафных санкций вплоть уголовной ответственности (сегодня известны случаи сокрытия фактов кибератак).
5. Роль профессионалов в решении задачи обеспечения ИБ объектов КИИ РФ, адекватной кибервызовам 2017-2021 годов.
Сегодня, в условиях жестких временных границ и дефицита г/б средств для решения задачи ускорения темпов создания АПК ИБ, адекватных киберугрозам 2017 года, цена компетентных решений многократно возрастает (и в отдельных компаниях, и в целых отраслях), в отличие от 2013 года, когда управленческие и профессиональные ошибки можно было «компенсировать» сверхдоходами от продажи энергоносителей.
Известно, что для принятия компетентных управленческих и профессиональных решений важно наличие/накопление профессионалов, прежде всего, на ТОПовых позициях. Это становится особенно значимым в наукоемких отраслях, включая ИТ-отрасль и отрасль информационной безопасности, где интеллектуальный капитал компании часто составляет критически значимую часть капитализации компании, и его утрата может привести к банкротству компании в 80% случаев (данные США). Однако, на таком пути ускорения развития российских производителей АПК ИБ имеются барьеры, связанные с корпоративной культурой в этих компаниях и в ИТ-отрасли в целом*.
Второй вопрос - подбор кадров на эти ТОПовые позиции. Обращаясь к опыту СССР со времен ВОВ, можно припомнить, что офицеров радиотехнических специальностей и связистов, проявивших свои профессиональные знания, не увольняли в запас. Их направляли в военные институты и ЗАТО и создавали им комфортные условия творческой работы и жизни. Эти офицеры и инженеры «с нуля», темпами выше мировых, создали научные коллективы, мировые научные школы, создали новые высокотехнологичные отрасли, запустили первого человека в Космос. Подбор кадров в те времена не допускал семейные и неформальные связи, профессионализм – ответственность - преданность делу – были базой для кандидата. Сам принцип подбора был следующий: ты показал, что можешь, у тебя есть новые идеи – продолжай действовать на более высоком уровне (с этим принципом автор познакомился в научной школе А. Ф. Иоффе в ИПАН, этот принцип сохранился в научной школе Ж.И. Алферова в ФТИ им. А.Ф. Иоффе РАН).
Сегодня, используя указанный принцип подбора кадров, сформировав специализированные научные коллективы, объединяющие профессионалов по всей России на базе виртуальных лабораторий, уже через год можно получить качественно новую организацию работ по решению задачи защиты информационной сферы объектов КИИ РФ, адекватной кибервызовам 2017 – 2021 годов, и обеспечить решение поставленной задачи в 2019 году.
*Примечание:
По мнению экспертов, одним из факторов, дополняющих образовательный человеческий потенциал в развитии страны/отрасли/компании (дипломы статусных университетов, дипломы МВА и ученых степеней, навыки/опыт работы в международных командах и компаниях), является доступ образованных людей к административным и профессиональным полномочиям в государственных структурах и коммерческих компаниях.
Профессионалы, не имеющие возможности претендовать/занять административные посты (управленец, руководитель направления работ, чиновник) – бесполезны с позиций технологического/коммерческого развития отрасли/компании. Низкие возможности самореализации побуждают специалистов к профессиональной эмиграции в другие страны или понуждают смириться «с положением клерка» и, соответственно, ведут к профессиональной деградации.
На втором пути, как правило, «активные приспособленцы» получают конкурентные преимущества. Их стандартная логика такова: если профессиональные знания, навыки, опыт, трудолюбие, ответственность – не дают доступа к позициям, на которых публично проявляется профессионализм и принимаются решения, но все это могут дать «особые отношения» с «нужными людьми», то не нужно профессионально совершенствоваться. Нужно учиться находить людей, нужных для своей карьеры, находить «чувствительные зоны» этих людей и учиться манипулировать этими людьми. Сегодня, в РФ и странах бывшего СССР, имеется множество тренингов и бизнес-школ, в которых обучают искусству «стремительной карьеры в постсоветской среде»: как инициировать карьерный рост через искусство интриги и принцип «быть удобным и приятным для всех, везде и всегда», как минимизировать свои профессиональные риски через уменьшение, как личной инициативы, так и своих производственных функций, до диспетчерских функций?
И чем «беспросветнее» становиться положение профессионалов, тем больше специалистов идет по первому или второму пути. В результате, и в отрасли, и в отдельной компании, профессионалы перестают «воспроизводиться», разрушаются специализированные профессиональные коллективы, утрачивается интеллектуальный капитал компании/отрасли. А «непрофессионалы», то есть нужные, прежде всего, друг другу люди, образуют «неформальную замкнутую среду», мотивированную на самосохранение, а не на совершенствование бизнеса и технологий.
Важно отметить:
• формирование описанной «корпоративной культуры» в высокотехнологичных отраслях/компаниях страны, через управленческие/консалтинговые/рекрутские инофирмы на территории РФ, может являться «инструментом сдерживания» странами-лидерами развития ключевых отраслей, включая ИТ-индустрию РФ,
• блокирование/устранение подобной «корпоративной культуры» в компании может инициироваться: переориентацией работы компании, с низко прозрачных государственных сегментов, на цивилизованные конкурентные сегменты рынках (пример, Лаборатория Касперского); внедрением маркетинговых методов планирования/управления/продвижения продукции компании, «настройкой» целых отраслей промышленности РФ на рыночные принципы функционирования (см. сайт).
6. Пути повышения конкурентоспособности российских производителей АПК ИБ для объектов КИИ РФ за счет использования механизмов государственно-частного рынка.
Своеобразная корпоративная культура ИТ-производителей АПК ИБ РФ, часто работающих на «малопрозрачном» российском рынке B2B, основную часть покупателей которого составляют гос. предприятия, была рассмотрена в предыдущем разделе. Нередко, такая «культура» ограничивает маркетинг компании участием в выставках, написанием отдельных статей, пресс-релизов, презентациями продуктов. Это не позволяет получить коммерчески значимый «маркетинговый эффект», тормозит повышению конкурентоспособности компании, препятствует выходу на международные рынки. Нередко, акционеры компании видят «такое состояние», но недостаточно мотивированы / аргументированы / финансово независимы.
Для перелома выше описанной ситуации, предлагается использовать известные механизмы конкурентного рынка, и в частности, государственно-частного рынка АПК ИБ в РФ (см. раздел 4). Ниже будут рассмотрена одна из возможных процедур внедрения маркетингового планирования / управления / продвижения.
внедрение маркетингового планирования
Как было показано выше, государственное планирование рынка АПК ИБ в РФ позволяет:
• определить технические требования к полной линейке АПК ИБ для более 6000 объектов КИИ РФ, адекватные кибервызовам 2017-2021 годов,
• сформировать адекватные «среднерыночные» цены на разные типы АПК ИБ, определить годовые потребности российского (БРИКС) рынка на период 3-5 лет,
• организовать законодательную/нормативную/метрологическую поддержку работ по созданию АПК ИБ на этапах разработки, производства и эксплуатации.
Такой фундамент дает возможность частным компаниям-производителям АПК ИБ:
• разработать бизнес-планы проектов АПК ИБ;
• получить, через участие в тендере, государственные кредиты на выполнение НИОКР;
• повысить качество выполнения НИОКР (например, согласование ТЗ в ФСТЭК с условиями обеспечения метрологической поддержки);
• провести бизнес-планирование консолидированной коммерческой деятельности компании на горизонт 3-5 лет для привлечения долгосрочных государственных/коммерческих кредитов (под гарантированные объемы сбыта продукции на 3-5 лет);
• заложить в себестоимость продуктов АПК ИБ: расходы «на качество» - на новую технологическую и метрологическую оснастку, расходы на внедрение маркетинговых инструментов стратегического планирования (база для системного/координированного операционного маркетинга и настройки процесса «маркетинг-продажи»), расходы на систему управления ресурсами компании (ERP – системы или их российские аналоги).
Стратегическое маркетинговое планирование (выполняется в инофирмах с 80-х годов 20 века), как правило, включает разработку:
• стратегии компании на 3-5 лет и маркетинговой стратегии её обеспечения,
• консолидированных бизнес-планов компании на 1-3-5 лет (возможно самостоятельное привлечение кредитных средств на развитие бизнеса),
• ежегодных маркетинговых стратегий, включая делегирование средств на развитие операционного маркетинга,
• ежегодных продуктово-маркетинговых стратегий и стратегий продаж-ценообразования.
Важно отметить, что документы стратегического маркетинга позволяют, с единых позиций по реализации стратегических целей компании, разработать рыночные, конкурентные и продуктовые стратегии, стратегии по каналам продаж и, тем самым, создать фундамент для продуктового маркетинга и «настройки» процесса «маркетинг-продажи» на базе объективных показателей, например:
• затраты компании на продвижение продуктов компании на рынок по месяцам/годам,
• планируемое/фактическое увеличение объемов продажи по месяцам/годам.
Именно внедрение такого полного маркетингового состава работ, сегодня позволяет инофирмам иметь конкурентные преимущества на мировых рынках.
Рост интеллектуальной собственности и сохранение коммерческой тайны компании
Другими важными точками роста конкурентоспособности компаний-производителей АПК ИБ РФ могут быть рост интеллектуальной собственности компании и, жестко связанное с ним, сохранение коммерческой тайны компании.
По мнению экспертов, в динамичной ИТ-отрасли, чтобы быть успешной, у компании должна быть стратегия роста интеллектуальной собственности компании, которая включает кадровую политику, систему мотиваций по повышению творческой активности ключевых работников и комплекс мер по снижению рисков утраты интеллектуальной собственности компании (ориентация на «средние» кадры, даже в перспективе 1-2 года, не дает результата - один квалифицированный работник сделает то, что не сделают 20 средних; кроме того, ориентация на «средние кадры» инициирует риски застойных явлений: формирование «своих коллективов, мотивированных на самосохранение»).
Поэтому, собственники ИТ-компаний нередко вынуждены решать задачу повышения творческой активности ключевых работников (разработчики, программисты) при сохранении допустимых рисков утраты интеллектуальной собственности компании. Примерный комплекс мер по снижению рисков утраты интеллектуальной собственности компании приведен в Приложении 3.
Интеллектуальная собственность компании, которая может быть определена как коммерчески ценные продукты компании, тесно связана с понятием коммерческой тайны компании (закон не требует, чтобы это было что-то новое или запатентованное, главное - чтобы этот ценный продукт не относилась к числу общеизвестных).
Коммерческая тайна - предмет регулирования ГК РФ (ст. 139), ФЗ № 98 «О коммерческой тайне» от 29.07.2004 г., ФЗ №35 от 12.03.2014 г., с уточнением в первой части статьи 727. Эта поправка должна помочь обладателю конфиденциальных сведений, при необходимости, защитить свои права и возместить причиненный ущерб. Так с 1 октября 2014 года, нарушение режима коммерческой тайны влечет дисциплинарную, гражданско-правовую, административную или уголовную ответственность (ст. 14 Закона о коммерческой тайне).
Ориентировочный комплекс мер по введению режима коммерческой тайны в компании производителе АПК ИБ РФ приведен в Приложении 4.
Заключение
1. Определен полный комплекс работ для решения задачи «Создания АПК ИБ для защиты информационной сферы объектов КИИ в РФ с параметрами, адекватными кибервызовам 2017 -2021 годов», на принципах государственно-частного партнерства. Ориентировочная стоимость решения этой приоритетной государственной задачи около 0,5 трлн. рублей (на декабрь 2016 года, неиспользуемые остатки средств на счетах бюджета, составляли 7,6 трлн. рублей).
2. В случае положительных результатов выполнения настоящего проекта, целесообразно приступить к решению задачи воссоздания российской ИТ-индустрии (см. статью «От имитации ИТ-импортозамещения в РФ к реальному процессу» от 6 марта 2016 года
От имитации ИТ-импортозамещения в РФ к реальному процессу .
Примечание: отдельные положения настоящей публикации в 2010-2017 годах «вывешивались» на сайте и были представлены вниманию: А.В. Старовойтова (ФАПСИ), Э.Г. Островского (сеть КСС Мегафон), АФК Система, Минкомсвязи, Минпромторг, московских производителей АПК ИБ…
Материал является авторским, подготовлен группой профессионалов связи и маркетологами MBA (работа по ИБ в Symantec, IDC, Kaspersky Lab., Positive Technologies), ссылка обязательна.
С уважением,
Alex Rail,
2 февраля 2017 года
Приложение 1
Государственная система обеспечения информационной безопасности Российской Федерации
Основным государственным органом, определяющим государственную политику РФ в сфере безопасности страны, включая информационную безопасность, является СБ РФ, возглавляемый Президентом РФ.
Федеральным органом исполнительной власти, ответственным за реализацию государственной политики в сфере информационной безопасности на общенациональном уровне, является Федеральная служба по техническому и экспортному контролю России (ФСТЭК РФ - 2004 год, Гостехкомиссия РФ - 1992 год, Гостехкомиссия СССР – 1973 год), которая подчиняется Министру Обороны РФ (ранее - Президенту РФ).
Ключевым органом государственной власти, обеспечивающим функционирование президентской связи, развитие и эксплуатацию оборудования специальной связи для гос. органов, является Служба специальной связи и информации ("Спецсвязь России" с 2003 года), входящая в состав ФСО РФ (ранее ФАПСИ РФ, Управление правительственной связи КГБ СССР в\ч 32152).
Вопросы повышения информационной безопасности решают также другие федеральные органы (в пределах своей компетенции): Министерство связи и массовых коммуникаций РФ и Министерство внутренних дел РФ.
Отдельные государственные ведомства, в которых предъявляются особые требования к уровню защищенности информации, реализуют собственные мероприятия по защите информации, в соответствие со своими внутриведомственными документами:
• ФСБ (Управление компьютерной и информационной безопасности, Центр по лицензированию, сертификации и защите государственной тайны, Управление специальной связи, НИИ информационных технологий),
• Минатом РФ и его предприятия (Центр "Атомзащитаинформ"),
• Центральный банк РФ (Главное управление безопасности и защиты информации).
В системе законодательной власти РФ, основным структурным подразделением, призванным решать вопросы формирования и реализации государственной политики в сфере информационной безопасности, является Комитет по безопасности ГД РФ. В составе этого Комитета функционирует подкомитет по информационной безопасности.
Совет Безопасности РФ состоит из ключевых министров и рассматривает вопросы внутренней и внешней политики Российской Федерации в области обеспечения всех видов безопасности страны (экономической, общественной, оборонной, технологической, информационной, экологической и иных видов).
Для решения задач, связанных с обеспечением информационной безопасности, в составе СБ функционирует созданное в 1997 году Управление информационной безопасности (одно из восьми профильных управлений), а также Межведомственная комиссия по информационной безопасности.
Основной задачей Управления информационной безопасности является обеспечение информационной безопасности РФ в горизонте на 3-5 лет. Для решения этой задачи, на него возложены следующие функции:
• подготовка предложений Совету Безопасности по выработке и реализации основных направлений политики государства в области обеспечения информационной безопасности РФ;
• анализ информационной обстановки в России и за ее пределами, отслеживание активности информационных угроз, прогнозирование ситуации в области информационной безопасности РФ;
• выявление уязвимостей информационной сферы РФ, источников (хакеры, технические разведки, кибервойска) и видов опасности (модели и сценарии кибератак), оценка и ранжирование внешних и внутренних угроз информационной безопасности, подготовка предложений Совету Безопасности по их предотвращению, оценка эффективности проведенных мероприятий;
• рассмотрение в установленном порядке проектов федеральных целевых программ, направленных на обеспечение информационной безопасности РФ, подготовка соответствующих предложений;
• участие в подготовке материалов по вопросам обеспечения информационной безопасности РФ для ежегодного послания Президента РФ Федеральному Собранию и для докладов Президента РФ;
• подготовка предложений по проектам решений Совета Безопасности и информационно-аналитических материалов к его заседаниям по вопросам обеспечения информационной безопасности РФ;
• подготовка предложений Совету Безопасности по разработке проектов нормативных правовых актов, направленных на обеспечение информационной безопасности РФ.
ФСТЭК России осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
• обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
• противодействия иностранным техническим разведкам на территории Российской Федерации;
• обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
• защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
• осуществления экспортного контроля.
ФСТЭК является коллегиальным органом, в состав коллегии входят более двадцати представителей различных министерств и ведомств (в ранге заместителей министров и директоров департаментов), таких как МВД, МИД, ФСБ, Минатом, ФСО, СВР, ГРУ.
Основными функциями ФСТЭК являются:
• проведение единой технической политики и координация работ по защите информации;
• организация и контроль за проведением работ по защите информации в органах государственного управления, объединениях, концернах, на предприятиях, в организациях и учреждениях (независимо от форм собственности) от утечки по техническим каналам, от несанкционированного доступа к информации, обрабатываемой техническими средствами, и от специальных воздействий на информацию с целью ее уничтожения и искажения;
• поддержание системы лицензирования деятельности предприятий, организаций и учреждений по осуществлению мероприятий и (или) оказанию услуг в области защиты информации и сертификации средств защиты информации.
Для реализации функций по лицензированию в составе ФСТЭК функционируют 7 региональных управлений (по федеральным округам), а также 20 отраслевых аттестационных (лицензионных) центров.
Спецсвязь России призвана обеспечивать функционирование президентской связи, организацию, эксплуатацию и развитие специальной связи для государственных органов и решать другие аналогичные задачи.
При этом, задачами Спецсвязи также являются:
• проведение работ по защите технических средств специальной связи, устанавливаемых в категорированных помещениях государственных органов, включая особо важные;
• организация в системе специальной связи шифровальной деятельности, отнесенной к компетенции Спецсвязи России;
• участие в разработке нормативной технической документации по вопросам защиты информации в системах специальной связи;
• участие в разработке и реализации мер по обеспечению информационной безопасности Российской Федерации, защите сведений, составляющих государственную тайну;
• участие в создании, обеспечении и развитии системы электронного документооборота государственных органов с использованием удостоверяющих центров;
• организация и проведение мероприятий по предотвращению утечки по техническим каналам информации в системах специальной связи, информационно-технологических, информационно-аналитических и информационно-телекоммуникационных системах, находящихся в ведении Спецсвязи России;
• выполнение требований обеспечения информационной безопасности объектов государственной охраны.
Министерство связи и массовых коммуникаций РФ (Росинформтехнологии) осуществляет и организует следующие виды работ в сфере информационной безопасности:
• подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей;
• ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, а также обеспечение доступа к ним граждан, организаций, органов государственной власти и органов местного самоуправления;
• выполнение функции государственного заказчика научно-технических и инвестиционных программ и проектов в сфере информационных технологий.
Уполномоченным органом по ведению реестра доверенных удостоверяющих центров является ФГУП НИИ "Восход".
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. В полномочия данного органа входит пресечение нарушений, которые могут возникать при обработке персональных данных граждан РФ.
В системе законодательной власти основным структурным подразделением, призванным решать вопросы формирования и реализации государственной политики в сфере информационной безопасности, является Подкомитет по информационной безопасности Комитета по безопасности ГД РФ.
В законодательной работе в рамках этого Комитета принимают участие: руководители Совета безопасности РФ и других правительственных органов; специалисты и руководители профильных подразделений ФСБ, СВР, ФСТЭК, МВД; представители общественных организаций, фондов и профессиональных объединений; представители крупных коммерческих компаний – лидеров в развитии организации и технологиях информационной безопасности (в том числе банков, технологических компаний и др.); представители ведущих научно-исследовательских учреждений и учебных заведений.
Приложение 2
Анализ доктрины информационной безопасности от 5 декабря 2016 года (разработчик: СБ РФ)
По своему статусу, ДИБ является базисным государственным документом стратегического планирования и служит фундаментом для разработки федеральных законов, государственных программ и документов с конкретными задачами и временными границами:
• разработки Подкомитетом по информационной безопасности Комитета по безопасности ГД РФ федеральных законов и законодательных актов, регулирующих и стимулирующих деятельность всех участников процесса обеспечения информационной безопасности России (проекты первых ФЗ будут весной с.г.),
• разработки и организации исполнения государственных программ в сфере информационной безопасности РФ,
• выработки полного комплекса нормативно-методических документов (стандартов) и организационно-технических мероприятий по развитию системы информационной безопасности РФ, адекватных киберугрозам (в период 2017 – 2021 года),
• объединения усилий с другими государствами и координированного выполнения работ по обеспечению информационной безопасности, например, в странах БРИКС.
ДИБ фиксирует национальные интересы России в информационной сфере (на период до 2021 года):
• соблюдение конституционных прав и свобод человека и гражданина в области получения и использования информации,
• неприкосновенность* частной жизни, личной и семейной тайны (ст. 23 и 24 п.1 Конституции РФ)
• проведение самостоятельной и независимой ИТ-политики и информационной политики,
• инновационное развитие отрасли информационных технологий в РФ, достижение конкурентоспособности ИТ-продукции,
• обеспечение устойчивого развития и бесперебойного функционирования объектов критической информационной инфраструктуры (КИИ) РФ.
В качестве объектов, информационную сферу которых предлагается защищать (в период 2017-2021 годы), ДИБ указывает на российские госорганы, научные организации, предприятия ОПК, объекты КИИ включая федеральные телеком сети и сеть Интернет, а также другие предприятия, производственная деятельность которых находится в сфере национальных интересов РФ. В настоящее время в ГД и Правительство РФ внесен пакет проектов законов «О критической информационной инфраструктуре».
*Примечание: неприкосновенность частной жизни, личной и семейной тайны (ст. 23 и 24 п.1 Конституции РФ) может быть обеспечена только после воссоздания отечественной ИТ-индустрии.
Приложение 3
Меры уменьшения рисков утраты интеллектуальной собственности производителя АПК ИБ.
Интеллектуальной собственностью компании производителя АПК ИБ могут быть стратегия и бизнес-процессы компании, продуктово-маркетинговая стратегия, маркетинговые акции по продвижению, организационная структура и схема взаимодействия подразделений, бизнес-задачи, ТТ-ТЗ на НИОКР, функциональные схемы АПК ИБ, алгоритмы программных продуктов/софт, программные коды, продукты веб-дизайна, промышленный образец АПК ИБ, интернет-контент, дизайн АПК ИБ т.п.). Как правило, эти уникальные продукты, созданные работниками компании в ходе выполнения производственных заданий, являются служебными произведениями (СП) и принадлежат компании*.
Как показывает российская юридическая практика и международный опыт, чтобы:
• минимизировать риски утраты интеллектуальной собственности компании, целесообразно провести юридический аудит текущей ситуации и потенциальных рисков, определить приоритеты и план работ по уменьшению этих рисков,
• инициировать и мотивировать творческую активность работников (менеджеров проектов, разработчиков, программистов); по примеру западных фирм, целесообразно, в дополнении к трудовому договору и должностной инструкции, прописать порядок разработки служебного произведения и размер единовременного денежного вознаграждения (если предусмотрено), а также размер денежного вознаграждения от продажи каждой серийной единицы продукции компании, в которой это служебное произведение используется.
*Примечание: служебные произведения (СП) - это объекты авторских прав, созданные в пределах установленных для работника трудовых обязанностей (ст. 1259 ГК РФ), например, функциональные схемы АПК ИБ, алгоритмы работы программных продуктов/софт, программные коды, продукты веб-дизайна, промышленный образец АПК ИБ, интернет-контент, дизайн АПК ИБ. Исключительное право на служебное произведение принадлежит работодателю (ст. 1295 ГК РФ), если трудовым договором между работодателем и работником не предусмотрено иное. Как правило, СП идентифицируется в суде по: трудовому договору и должностным инструкциях работника, служебному заданию на создание СП и Акту о создании СП с подписями работника и предпринимателя.
Приложение 4
Меры по введению в производителях АПК ИБ РФ режима коммерческой тайны.
Для введения на предприятии режима коммерческой тайны, как правило, необходимо выполнить следующие последовательные действия:
• разработать перечень сведений, составляющих коммерческую тайну: по производству (функциональные схемы АПК ИБ, алгоритмы программных продуктов/софт, программные коды, продукты веб-дизайна, промышленный образец АПК ИБ, интернет-контент, дизайн АПК ИБ т.п.); по управлению (орг. структура, бизнес-процессы производства, схема организационного взаимодействия подразделений); по планам компании (стратегия и планы развития компании, продуктово-маркетинговая стратегия, маркетинговые акции по продвижению); по рынку продуктов компании и ключевым контрагентам, по партнерам, по безопасности компании, по репутации персонала.
• разработать и утвердить «Положение о коммерческой тайне компании» (включает перечень закрытых сведений, вводит режим коммерческой тайны в компании, содержит список сотрудников, имеющих доступ к документам с грифом «коммерческая тайна»).
• ознакомить всех работников компании с Положением и Приказом ген. директора. Затем заключить индивидуальные договоры о неразглашении секретных сведений (в соглашениях, как правило, указывают конкретные обязанности сотрудника по сохранению коммерческой тайны и санкции за их нарушение).
• нанести гриф «Коммерческая тайна», с реквизитами правообладателя, на секретные материалы/документы.
• утвердить «Положение о защите коммерческой тайны»: перечень сведений, составляющих коммерческую тайну; правила доступа; способы работы с информацией, составляющей тайну; правила хранения данных, являющихся секретными; ответственность за разглашение тайны. С этим документом нужно «под роспись» ознакомить весь персонал компании.