Один из разделов программы называется "Информационная безопасность", его задачей является создание условия для безопасного информационного взаимодействия субъектов в условиях цифровой экономики и превращение России в мирового лидера в сфере информационной безопасности.
В первую очередь, программа предполагает принятие нормативно-правовых актов, "обеспечивающих полную защиту прав, свобод и законных интересов личности при использовании информационных и коммуникационных технологий, включая неприкосновенность частной жизни, личной и семейной тайны, персональных данных, больших пользовательских данных, в том числе в социальных сетях и прочих средствах социальной коммуникации".
Акты должны быть приняты в 2018 г. Тогда же должны быть приняты методические рекомендации по обеспечению равной конкуренции между российскими и международными ИТ-компаниями и разработаны нормативные акты в сфере технического регулирования, обеспечивающие безопасное обращение к облачным операторам при обработке персональных данных.
В 2019 г. будут запущены несколько ресурсов в сфере информационной безопасности. Один из этих ресурсов будет обеспечиваться гражданам доступ к информации о случаях использования их персональных данных, метаданных, больших пользовательских данных третьими лицами, а также возможность отказа от такого использования. Другой ресурс будет выполнять функцию мультисканера и обеспечивать проверку на наличие признаков вредоносной активности.
Еще один ресурс будет запущен в 2020 г.: он обеспечит взаимодействие с уполномоченными органами в части оперативной передачи данных о противоправных действиях в области информационных технологий (компьютерного мошенничества, навязанных услуг операторов связи, фишинговых схем). Тогда же будет внедрена национальная база знаний индикаторов вредоносной активности.
Одновременно планируется проводить работу по повышению осведомленности граждан и организаций в области информационной безопасности. В 2019 г. будут введена в эксплуатацию национальная база знаний документов и стандартов в области безопасности информации на базе национальной электронной библиотеки и запущены открытые программы информирования граждан о рисках информационной безопасности.
К 2020 г. узнаваемость отечественных брендов ПО по результатам социологических опросов повысится до 50%, а к 2025 г. более 50% организаций (с учетом банковского сектора) будут осуществлять управление рисками информационной безопасности путем страхования рисков. В 2025 г. уполномоченные органы будут расследовать 95% обращений об инцидентах в сфере информационной безопасности. Доля населения, столкнувшегося с проблемами в данной сфере, сократится с 29,5% до 20%, а доля населения, использующего средства защиты информации, вырастит с 85,3% до 97%.
Защитить интернет вещей от трансграничного вмешательства
Другое направление программы - создание условий для безопасного информационного взаимодействия государственных, общественных организация, хозяйствующих субъектов и граждан на территории РФ. С этой целью в 2020 г. в Кодекс об административных наказаниях будут введены положения об ответственности должностных лиц за неиспользование сертифицированных средств шифрования при организации соединений по защищенным протоколам. Также будут разработаны стандарты безопасного информационного взаимодействия, которые к 2025 г будут внедрены на практике для более чем 75% субъектов.
Планируется обеспечение безопасного внутристранового взаимодействия машинных и когнитивных интерфейсов, включая протоколы взаимодействия автоматизированных систем управления технологическими процессами (АСУ ТП) и интернета вещей (IoT), исключающее несанкционированное внутристрановое и трансграничное управление. С этой целью в 2019 г. будут утверждены стандарта и требования безопасного информационного обмена для АСУ ТП и IoT. Тогда же будет разработана "Декларация информационной безопасности" - добровольное декларирование уровня безопасности продуктов и услуг ИКТ.
В 2021 г. будут утверждены правила реагирования и применения ответственности в случае несанкционированного трансграничного управления товарами, работами и услугами, в том числе инфраструктурой и роботами, а также в случае причинения вреда имуществу, гражданам, организациям, государству по причине некачественного кода, алгоритмов, аппаратного обеспечения в товарах, работах, услугах, включая инфраструктуру и роботов.
Первые комплексы обеспечения безопасности автоматического оборудования IoT появятся на рынке к 2023 г. А к 2025 г. в соответствии с утвержденными стандартами будет осуществляться 75% информационного обмена между системами, использующими данное взаимодействие и принадлежащим госструктурам, госкомпаниям и организациям, относящимся к критической инфраструктуре.
"Национализация" интернет-трафика
Авторы документа считают необходимым обеспечить эффективный контроль безопасности функционирования критической информационно-коммуникационной инфраструктуры (КИИ), включая российский сегмент сети интернет. В 2018 г. будет проведена оценка внутристрановой доступности участков российского сегмента интернета и утверждены стандарты информационной безопасности объектов критической инфраструктуры.
К 2020 г. доля внутреннего сетевого трафика российского сегмента сети интернет, маршрутизируемая через иностранные серверы, с нынешних 60% сократится до 5%. А доля отечественного ПО на объектах КИИ составит более 20%.
Будет внедрен ресурс информирования и проверки угроз уровня веб-приложений и внедрена система обеспечения безопасности информации в беспроводных сетях. Ранее Минкомсвязи уже разработало законопроект о критической инфраструктуре сети интернет.
Авторы документа не забыли и об обеспечении безопасного внедрения и использования в цифровой экономике новых, преимущественно отечественных, технологий. В 2019 г. будет внедрена система депонирования исходного кода в случае передачи исключительных прав на разработанное по заказу государственных и муниципальных заказчиков программного обеспечения.
В 2020 г. будут утверждены и внедрены стандарты безопасной разработки приложений, в том числе для государственных информационных систем, и стандарты информационной безопасности в системах, реализующих облачные, туманные, квантовые вычисления и функционал искусственного интеллекта. К 2025 г. более 75% соответствующих систем будут соответствовать реализованным стандартам.
В 2020 г. на рынке появятся первые сертифицированные аппаратно-программные средства обработки неструктурированных массивов больших данных, включая статистические. Более 75% операторов больших данных будут следовать типовому Плану минимизации последствий инцидентов информационной безопасности. Будет регламентирован и организован обмен информацией об инцидентах в сфере ИБ между операторами больших данных и Национальным клиринговым центром.
"Цифровой суверенитет" - избавление зависимости от иностранных технологий
В проекте программы говорится о необходимости обеспечить "цифровой суверенитет, позволяющий без привлечения иностранных ресурсов эффективно решать любые задачи использования информационных и коммуникационных технологий во всех секторах экономики и общественной жизни".
В 2018 г. будет утвержден перечень перспективных информационных технологий для их инвестиционной поддержки институтами развития и подготовлен доклад для правительства по методам противостояния информационным угрозам.
Также будет принято постановление правительства, определяющее особенности осуществления закупок типовых программных продуктов и оборудования, которые могут поставляться субподрядчиками (соисполнителями) в рамках исполнения государственных контрактов, в том числе при необходимости с указанием ориентировочного значения цены договора либо формулы цены и максимального значения цены договора.
В 2019 г. должен быть создан Совет по вопросам безопасности новых технологий. К 2020 г. стоимостная доля закупаемого органами государственной власти и госкорпорациями иностранного программного обеспечения ПО снизится с нынешних 80% до 40%, а к 2025 г. до 30%.
В 2020 г. на рынке появятся первым продукты в области информационной безопасности, созданные с использованием механизмов коллективной разработки. К 2025 г доля таковых продуктов на рынке составит не менее 10%, а количество уязвимостей, использующихся для атак и не отображаемых в соответствующей базе, будет менее 10%.
В 2020 г. появятся механизмы, обеспечивающие участие российских экспертов в работе международных организаций, разрабатывающих стандарта в области информационной безопасности. К 2025 г. более половины национальных стандартов в данной сфере будут гармонизированы с международными.
Стандарты будут гармонизироваться и на уровне Евразийского экономического содружества (ЕАЭС), а с 2023 г. ЕАЭС будет проводить ежегодные учения по информационной безопасности. Все принимаемые меры позволят России переместиться к 2025 г. с 12 на 8 место в рейтинге кибербезопасности Международного союза электросвязи.