На встрече Владимира Путина с заместителем председателя правительства Максимом Акимовым обсуждалась «цифра». Владимира Путина убеждают в том, что именно цифровизация станет для России волшебной нитью клубка Ариадны, которая выведет страну из лабиринта экономического застоя в светлое будущее, в которое почему-то правительство не хочет брать ФСБ.
Перед камерами Владимир Владимирович расставил приоритеты цифрового процесса так, как он их теперь видит. Порядок таков: «оказание цифровых услуг населению, цифровизация, транспорт». На сайте Кремля опубликован краткий доклад Максима Акимова, сделанный президенту. Понятно, что конкретные вопросы они обсуждали tet-a-tet, но и из сказанного профильным вице-премьером хватает для достаточно интересных выводов.
Big Data / Александр Горбаруков © ИА REGNUM
Сначала Акимов обрисовал главную задачу цифровизации, которую ему поставили в правительстве раньше, и отчитался по ней.
Это «создание бесшовной онлайн-системы оказания услуг с главной целью сделать максимально безболезненным взаимодействие граждан, жителей, и государства и бизнеса, прежде всего, при предоставлении государственных услуг».
Заместитель Председателя Правительства Максим Акимов / kremlin.ru
Такой «суперсервис» должен подходить к накопившимся у народа вопросам объемно: решать не одну составляющую, а «комплексную жизненную задачу», требующую связки данных различных государственных структур и ведомств. Первым сервисом такого рода Акимов назвал внедрение европротокола при легких ДТП.
«1 ноября мы запустили в Москве и Московской области, в Санкт-Петербурге и Ленинградской области оформление европротокола онлайн, у нас 53 тысячи скачиваний приложения».
Правда, он не сказал о соотношении числа загрузок приложения с количеством личных автомобилей в Москве, а их по данным ЦОДД на апрель 2019 года было порядка 7 700 000. 53 тысячи скачиваний составляют менее 1% от этого числа, т. е. охват целевой аудитории почти «никакой», но суть не в этом.
Дело в том, что такая «комплексная жизненная задача», по мнению Максима Акимова, предусматривает выстраивание всей цифровой информации госорганов в единую систему с распределенным способом хранения данных и универсальными протоколами обмена. Со слов профильного вице-премьера сейчас «данные разрознены, они не очищены». А затем он говорит главное:
«Национальная система управления данными только создаётся. Это невидимая работа, как говорят программисты, это бэкенд — то, что остаётся сзади, но её нужно будет сделать, и для этого, конечно, предстоит очень серьёзно поработать с ведомствами».
Заседание Правительства. Первый вопрос повестки – о формировании национальной системы управления данными. 29 мая 2019 / government.ru
И тут возникает вопрос, что же такое эта «Национальная система управления данными» (НСУД), о которой в России практически никто ничего не знает. Она законодательно не дефинирована и не «светилась» ранее публично. В актах, принятых Госдумой, она фигурирует только в приложении 2 закона «О реализации бюджета 2018 года», принятого 9 октября этого года и подписанного президентом 16 числа. Пункт называется «Финансовое обеспечение выполнения функций федеральных государственных органов, оказания услуг и выполнения работ (Предоставление субсидий бюджетным, автономным учреждениям и иным некоммерческим организациям)», в нем основным мероприятием значится «Создание и развитие национальной системы управления данными». Освоенная на это сумма очень мала: всего 15 524 100 рублей. По нынешним ценам этих денег точно не хватит даже на «голую» концепцию. Говорят, что даже стоимость нового логотипа «Аэрофлота», «созданного» недавно студией Артемия Лебедева, на пару «лимонов» больше.
Но Концепция НСУД в 2018 году за эти деньги все-таки была разработана. Это сделала «приправительственная» НКО «Аналитический центр при правительстве РФ». Она была обсуждена на рабочем совещании кабинета 25 ноября того года и отправилась «под сукно». Через полгода к ней вернулись уже на совещании правительства 29 мая 2019 года, где «Концепция создания и функционирования НСУД» была утверждена распоряжением правительства № 1189-р от 3 июня. На том совещании Дмитрий Медведев подчеркнул, откуда появилась НСУД:
«Этой работой мы занимаемся в рамках программы «Цифровая экономика», точнее, проекта внутри этой программы, который называется «Цифровое государственное управление»».
Значит, не секрет, что инициативу с НСУД двигает именно премьер, пытаясь сосредоточить в руках правительства главную ценность XXI века — всю информацию «обо всех» в виде Big Data.
Дмитрий Медведев: «Речь идёт о создании «умной» платформы, которая систематизирует информацию из множества госсистем, реестров и баз данных. По данным Минкомсвязи, таких информационных ресурсов сейчас более 800. … Что это за система? Это Федеральный регистр населения, Единый государственный регистр юридических лиц, реестр недвижимости, реестр транспортных средств, сведения о паспортах граждан России, сведения системы обязательного пенсионного страхования и очень многое другое».
В Концепции определяются основные понятия «эпохи цифры», в том числе, что такое НСУД «строгим» языком НКО «Аналитический центр при правительстве РФ»:
- «Национальная система управления данными» — система, состоящая из взаимосвязанных элементов информационно-технологического, организационного, методологического, кадрового и нормативно-правового характера и обеспечивающая достижение целей и выполнение задач, обозначенных в концепции.
Таким образом, говоря уже в математических терминах, в этой дефиниции наблюдается обратная рекурсия, ссылка на саму себя: задачи НСУД определяются ее собственной концепцией.
Также в концепции определены:
- «государственные данные» как информация, содержащаяся в информационных ресурсах органов и организаций государственного сектора, а также в информационных ресурсах, созданных в целях реализации полномочий органов и организаций государственного сектора;
- «управление государственными данными» как совокупность процессов сбора, хранения, обработки, предоставления, распространения и уничтожения государственных данных, обеспечения качества государственных данных, включая их систематизацию и гармонизацию;
- «единые требования к управлению данными» как совокупность обязательных и (или) рекомендательных для исполнения органами и организациями государственного сектора правил к управлению государственными данными на каждом из этапов их жизненного цикла;
- и, наконец, «оператор данных», которым являются все органы и организации государственного сектора, иные организации, уполномоченные в соответствии с законодательством Российской Федерации, законами и иными нормативными правовыми актами субъектов Российской Федерации, муниципальными правовыми актами на формирование и ведение информационных ресурсов, содержащих государственные данные.
Если учесть то, что «положения концепции также распространяются на информацию, не являющуюся государственными данными, при ее предоставлении для включения в информационные ресурсы органов и организаций государственного сектора, а также при ее участии в информационном обмене между органами и организациями государственного сектора», потенциальный охват НСУД данных по стране является тотальным. «Большой брат» Оруэлла отдыхает…
Большой брат, 1984
Отдельно стоит рассмотреть принципы работы НСУД. Из них четко видно, какими намерениями устлана дорога и куда она ведет. Так, «благая» реализация «требований по обеспечению информационной безопасности на всех этапах жизненного цикла системы» и «требований к защите информации, в том числе к разграничению прав доступа к защищаемой информации, включая персональные данные», упирается в пожелание обеспечения «требований по доступности и целостности», и непонятно, как с этим будет сочетаться «конфиденциальность» обработки данных.
Конкретно обеспечение информационной безопасности НСУД прописано в разделе V концепции. На нем стоит остановиться подробнее, так как он является самым элементом в области соблюдения национальной безопасности. Ведь при несоблюдении давно разработанных ФСБ России требований, мы своими руками отдаем нашим западным коллегам и прежде всего АНБ США (NSA-как шутят там: «NoSuchAgency») «ключ от страны, где деньги лежат».
АНО при правительстве России пишет:
«При создании единой информационной платформы должно быть обеспечено выполнение требований по обеспечению информационной безопасности, в том числе сформированы требования для каждого вида информации (государственных данных), которая будет собираться, храниться и обрабатываться в системе».
При этом выделяются два тезиса, имеющие прямое отношение к компетенции ФСБ России:
- создание системы защиты информации на основании согласованных с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, моделей угроз безопасности обрабатываемой информации и действий нарушителя;
- актуализация действующих моделей угроз безопасности обрабатываемой информации и действий нарушителя при последующем изменении архитектуры системы и (или) технологии обработки информации с последующим согласованием с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
Кибервойска США / media.defense.gov
Вроде бы все правильно и хорошо, но «что-то пошло не так». Дело в том, что тем же распоряжением №1189-р утверждена и «дорожная карта» создания НСУД до 30 июня 2021 года с задачами, планируемыми результатами, сроками исполнения и ответственными за это ведомствами. Главное в этой «карте» то, что главным закоперщиком всего процесса и ответственным координатором является именно «приправительственное» АНО, а не конкретное ведомство, которым, по-хорошему, должна стать именно Федеральная служба безопасности. Только она может обеспечить сохранность совокупных данных, гриф которых после создания НСУД станет как минимум «Совершенно секретно» и контрразведывательное обеспечение «операторов данных». Однако в «Плане мероприятий по созданию НСУД на 2019−2021 годы» ФСБ упомянута только три раза: в пп. 9, 10 и 11, да и то только как соисполнитель. В списке она стоит на третьем месте после Минкомсвязи и пресловутого АНО — для тех, кто понимает бюрократический язык, поданные рекомендации Федеральной службы будут творчески перерабатываться «вышестоящими ответственными».
Например, разработка модели ПДИТР (противодействия иностранным техническим разведкам), объявленная в п. 9, должны закончиться к этому Новому году. Так же, как и указанная в п. 11: «Разработка исчерпывающего перечня сведений ограниченного доступа, доступ к которым предоставляется посредством единой информационной платформы». Слава Богу, что эта работа будет продолжаться регулярно, а то от слова «исчерпывающий» веет полной некомпетентностью. Зато обозначенная в п. 10 «разработка частных моделей угроз и технических заданий на создание (доработку) систем защиты информации, подключаемых к единой информационной платформе информационных систем» вообще предполагается по «особому графику правительства».
Отдельно стоит отметить, что по «дорожной карте» ФСБ России почему-то не пригласили к эксперименту «по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах», (п. 2) и к «введению в опытную эксплуатацию информационно-технологических компонентов НСУД, включая систему защиты информации», необходимых для проведения этого эксперимента (п. 3). О каком соблюдении безопасности тогда идет речь? Зато АНО при правительстве это знает лучше всех.
Защита данных / army.mil
Кстати, п. 4 плана реализации, в котором говорится о разработке проекта федерального закона «о национальной системе управления данными», должен быть выполнен до 30 сентября этого года. За подготовку законопроекта отвечали Минкомсвязи, Минэкономразвития и Минфин — снова без ФСБ. Но неужели за результат этой работы надо считать законопроект №759 897−7 «О едином федеральном информационном ресурсе, содержащем сведения о населении Российской Федерации«? Ведь, согласно пояснительной записке, он был разработан «в целях создания системы учета сведений о населении, обеспечивающей их достоверность и непротиворечивость», а отнюдь не для законодательной легализации НСУД. Кстати, на той неделе именно ФСБ выступила с резким отзывом на «закон об ЕФИРе».
Главных безопасников страны обошли вниманием и в п. 7, который определяет ответственных за «формирование проекта единых требований к управлению данными» (п. 7); и в плане «проведения экспертизы информационных систем органов власти в области управления данных и внедрения единых требований к управлению данными на очередной год» (п. 8); а также к совершенно непонятному стороннему наблюдателю п. 15 о «разработке подсистемы защиты информации второй очереди».
В целом документы по НСУД показывают, что в ее создании правительство решило обойтись без «силовиков», традиционно занимающихся информационной безопасностью. Проще говоря, в погоне за Big Data они решили объехать ФСБ России на «кривой козе» АНО «Аналитического центра при правительстве». При этом попутно в законе об ЕФИРе подставили Федеральную налоговую службу, на которую захотели возложить хранение эталонных личных данных граждан.
Как такая странная тактика правительства скажется на безопасности России, покажет ближайшее время.
Дмитрий Ефимов