Министерство кибербезопасных дел: нужно ли создавать новое ведомство по информационной безопасности в России?

Вопрос создания отдельного федерального ведомства, которое возьмет на себя все задачи, связанные с информационной безопасностью, не так давно вновь попал в федеральную повестку.

В этой статье рассмотрим, возможно ли создание отдельного государственного ведомства по кибербезопасности в России, какие риски и возможности могут повлиять на решение о создании такого федерального института.

В чем проблема?

В России вопросами кибербезопасности занимаются больше десятка разных структур. Из наиболее крупных можно выделить:

1. Совет безопасности России координирует деятельность всех органов власти в области обеспечения национальной безопасности, включая кибербезопасность.
2. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) регулирует связь, информационные технологии и СМИ. Также регулирует защиту персональных данных и работу радиочастотной службы.
3. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) отвечает за реализацию государственной политики в области информационной безопасности, а также за контроль над экспортом и импортом технологий в этой сфере.
4. Федеральная служба безопасности Российской Федерации (ФСБ России) осуществляет борьбу с киберпреступлениями, защиту критической инфраструктуры и государственных информационных систем.
5. Федеральная служба охраны Российской Федерации (ФСО России) обеспечивает безопасность высших должностных лиц государства, а также защиту информации, передаваемой по специальным каналам связи.
6. Министерство обороны Российской Федерации (Минобороны России) обеспечивает безопасность военных информационных систем и объектов.
7. Министерство внутренних дел Российской Федерации (МВД России) расследует и предотвращает киберпреступления.

Важно отметить существование и отраслевых регуляторов, работа которых сосредоточена на конкретном направлении, например – банковской отрасли.

Эти ведомства работают совместно, чтобы обеспечить высокий уровень кибербезопасности в стране, защищая государственные и частные информационные системы от киберугроз. Однако, и требования у каждого ведомства свои. Они вполне могут повторяться, либо конфликтовать между собой, требовать новых правок по факту правоприменительной практики и т.д.

Алексей Морозков

Руководитель группы Центра управления кибербезопасностью ICL Services

У нас есть ФСБ, ФСТЭК, Роскомнадзор, Минкомсязи, ЦБ РФ и т.д. Безусловно, как регуляторы они хорошо выполняют свою работу в рамках сферы своих полномочий, но если говорить про конечного потребителя, который попадает под действие требований различных регуляторов, это превращается в серьезную проблему, когда куча требований в документах ссылаются на приказы, постановления, положения, ГОСТы, Указы. Все это отнимает огромное количество энергии и сил в попытках разобраться во всех этих наложенных друг на друга, различных требований. Более того, некоторые требования вообще могут интерпретироваться по-разному в разном контексте и специфике отрасли, а также можно нарваться на штрафы.

Поэтому, как правило, организации вынуждены дополнительно нанимать в штат соответствующих специалистов или же прибегать к услугам профессиональных организаций. Сейчас отсутствует возможность взять какой-то универсальный актуальный документ, например, «обеспечение кибербезопасности в сетях АСУ ТП», где было бы достаточно четко и понятно, как это сделать, с чек-листами, не вникая в особенности: а организация относится к КИИ / ГИС? А она обрабатывает персональные данные, а есть ли там трансграничная передача и т.д.

В России представители отрасли кибербезопасности несколько лет поднимают вопрос о создании новой госструктуры. Отдельные федеральные органы, отвечающие за кибербезопасность, уже существуют в других странах.

Например, в США — Национальное агентство по кибербезопасности занимается разработкой и реализацией политики в сфере кибербезопасности, координирует усилия различных госорганов в этой области.

В Великобритании — Центр национальной кибербезопасности обеспечивает защиту государственных и частных сетей. В Германии существует Федеральное ведомство по информационной безопасности, которое занимается разработкой и внедрением стандартов и рекомендаций по кибербезопасности.

При создании нового ведомства в России нужно учитывать западный опыт и специфику нашей страны — большая протяженность и высокоразвитая IT-отрасль.

Преимущества

Создание отдельного государственного ведомства по кибербезопасности поможет решить несколько ключевых задач:

• централизовать управление и координировать действия. Новая госструктура сможет объединить усилия различных ведомств в борьбе с киберугрозами. Также позволит разработать единую стратегию кибербезопасности, определить приоритетные направления работы и распределить ресурсы;

Лев Матвеев

Председатель совета директоров «СёрчИнформ»

Во всех крупных сферах есть свой федеральный орган, который управляет и регламентирует их. Как, например, строительную отрасль регулирует Минстрой. Кибербезопасность становится такой же полноценной сферой. И то, что сейчас функции ИБ распределены в разных учреждениях, создает путаницу.

Одни защищают ПДн граждан, другие – гостайну, третьи – занимаются расследованием киберпреступлений и так далее. Кроме того, на эти учреждения наложена масса других задач и обязанностей, и инфобез для них – всего лишь один элемент. Новый регулятор позволит сконцентрировать усилия, систематизировать защиту данных, в том числе в коммерческом секторе.

• эффективнее использовать ресурсы и специалистов. Отдельное ведомство позволит сконцентрировать усилия и ресурсы на решении конкретных задач в области кибербезопасности. Это может включать разработку и внедрение новых технологий и методов защиты информации, обучение и повышение квалификации специалистов, а также проведение исследований в области кибербезопасности;

Дмитрий Шкуропат

Руководитель направления защиты информации облачного провайдера «НУБЕС» (Nubes) Nubes

Создание сообществ, ассоциаций по информационной безопасности на уровне стран или даже международных институтов – распространенное явление. Такая практика в целом — хорошая история, потому что позволяет формировать компетентное и при этом разностороннее мнение на существующие проблемы и задачи как внутри стран, так и между странами. Эксперты таких образований, как правило, люди заинтересованные, неравнодушные. Те, кто болеют за отрасль и могут формулировать насущные потребности и в какой-то мере формировать тенденции в области ИБ.

• повысить уровень защиты критически важных объектов инфраструктуры. Отдельные ведомства могут сосредоточиться на защите критически важных объектов инфраструктуры, таких как энергетические системы, транспортные сети, финансовые учреждения и государственные органы. Это позволит снизить риски кибератак и повысить уровень безопасности в стране.

Создание отдельного ведомства по кибербезопасности является важным шагом в укреплении национальной безопасности и повышении уровня защиты критически важных объектов инфраструктуры. Оно позволит объединить усилия различных государственных структур, более эффективно использовать ресурсы и специалистов, а также повысить уровень защиты от киберугроз.

Недостатки

Создание отдельного государственного ведомства может сопровождаться рядом потенциальных проблем и рисков.

Риск увеличения бюрократии и неэффективности связан с необходимостью разработки новых процедур и правил, а также с обучением сотрудников. Это может привести к увеличению времени на выполнение задач и снижению эффективности работы ведомства.

Дмитрий Овчинников 

Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис»

Вообще, у каждого типа управления, как у централизованного, так и децентрализованного, есть свои плюсы и минусы. Централизованное управление позволяет сосредоточить и упорядочить управление процессом, однако со временем подобная бюрократическая структура, согласно законам бюрократии, начинает раздуваться и начинает существовать исключительно ради своего существования. Количество персонала увеличивается, а качество управления падает или доходит до определенного предела, когда административные издержки становятся очень высокими. Дальше структуру реорганизуют в несколько небольших с разделением обязанностей или тотально сокращают с падением производительности. В случае если у нас уже есть разделение зон ответственности между несколькими ведомствами, то тут получается выше устойчивость, выше скорость реакции, но всегда появляются серые зоны в ответственности, за которыми следят вроде бы все, а по факту указания регуляторов могут противоречить друг другу или вообще не иметь никакого управления.

Возможные конфликты интересов и дублирование функций с существующими ведомствами возникают из-за того, что новое ведомство может выполнять те же функции, что и уже существующие. Это может привести к ненужному дублированию работы и увеличению расходов на содержание государственных органов.

Александр Мормуш

Руководитель отдела развития бизнеса решений ИБ компании Axoft

Вызовы, с которыми мы столкнулись в текущей реальности, требуют иного подхода к обеспечению уровня кибербезопасности и ответственности – как за принятие решений, так и за их исполнение. Именно такое «министерство кибербезопасности» может выступить единым центром принятия решений, выстроив прозрачную и понятную коммуникацию между другими регуляторами, и взяв на себя проактивную роль при общении со всеми участниками.

Однако я считаю, что перекладывать на себя все функции и задачи других регуляторов (ФСБ, ФСТЭК, Минцифры, ЦБ) – излишне, поскольку сейчас их сочетание представляет собой сбалансированную конфигурацию, опирающуюся на практический опыт в секторе своей ответственности. Другое дело — выступить единым центром принятия решений в части повышения осведомленности, централизации функций киберразведки, разработки и контроля требований к решениям, исходя и применительно к практике их использования и отраслевой конкретики.

Дополнительные финансовые затраты на создание нового ведомства включают расходы на разработку новой структуры, найм и обучение персонала, аренду или строительство помещений, закупку оборудования и программного обеспечения. Эти затраты могут быть значительными и потребовать дополнительного финансирования из бюджета.

Лев Матвеев

Председатель совета директоров «СёрчИнформ»

Мы анализировали мировую практику, но не нашли чего-то подобного. В других странах нет государственных учреждений, которые замыкают на себе все задачи по информационной безопасности. И это еще одна причина, по которой России нужно такое ведомство создать у себя. Это будет пример для других государств.

Отечественный инфобез – сильная отрасль, продукты и сервисы ИБ легко конкурируют с зарубежными аналогами. То же самое в России нужно сделать на уровне государственного регулирования – сформировать эталонную систему. Большая вероятность, что как только это появится у нас, через 5-7 лет подобная практика появится в других странах.

Для минимизации этих рисков необходимо тщательно продумать структуру нового ведомства, его цели и задачи, а также механизмы взаимодействия с другими государственными органами. Также важно провести анализ существующих проблем и определить, какие функции действительно требуют создания нового ведомства.

Быть ли министерству кибербезопасности?

Если говорить стратегически – то ответ, скорее всего, будет положительным. Процесс цифровизации и интеграции новых технологий только набирает обороты, и чем больше «цифры», тем больше рисков ИБ для государства.

Дмитрий Овчинников

Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис»

В целом, необходимость перебалансировки зон ответственности и функционала регуляторов давно назрела, поэтому появление некоего министерства кибербезопасности, как верхнеуровней структуры вполне себе логичное решение. Результат мы сможем узнать только тогда, когда будет понятно, кто из регуляторов, за какие части будет отвечать. Во многом успех зависит именно от правильного разделения зон ответственности и хорошей координации между ведомствами. Если эти два ключевых фактора будут реализованы – то тогда это будет крупный успех.

Будет ли создание отдельного ведомства по кибербезопасности удачным решением? Сказать затруднительно. Эта мера имеет как преимущества, так и недостатки. Одна из сложных задач — избежать дублирования функций с уже существующими ведомствами.

Алексей Морозков

Руководитель группы Центра управления кибербезопасностью ICL Services

Было бы здорово, если такое министерство будет иметь собственные RnD-подразделения, занимающиеся исследованиями во всех областях и отраслях ИБ, которое на постоянной основе будет привлекать экспертов по ИБ из различных отраслей бизнеса и вендоров, результат работы которых как раз и ляжет в опубликованные документы, практики, методологии и т.д. на этом едином информационном ресурсе.

Также важно помнить, что само по себе формирование федерального органа власти – это непростая задача, которая требует большого количества времени, подготовки нормативной базы и выстраивания взаимодействия с уже существующими регуляторами.