27.12.2012

Чем мне запомнился 2012 год: часть третья, финальная

В финальной части анализа итогов 2012-го года с точки зрения информационной безопасности я хочу остановиться на двух моментах. Первый - это провал выстаовк по информационной безопасности и изменение формата проведения мероприятий по ИБ. Про провал (несмотря на победные реляции организаторов) Инфобеза и Infosecurity не писал только ленивый - повторяться не буду. Причин тут, на мой взгляд, несколько. И непонимание организаторами отечественного рынка ИБ (а может быть и нежелание инвестировать в такое мероприятие), и отсутствие продуктового рынка как такогого, и незрелость эскпонентов. Михаил Емельяников про это хорошо написал.Зато изменилась конференционная часть. Я про это тоже писал неоднократно. Например, тут или тут. PHD, ZeroNights, ИнфоБЕРЕГ, IT & Security Forum, Уральский Форум - яркие примеры того, как можно делать неплохие мероприятия.

Последний и, пожалуй, самый запоминающийся итог для меня - это открытось регуляторов для диалога. Про это я уже писал не раз. Наверное, вот этот мой пост полностью отражает мой взгляд на ситуацию и переписывать его еще и тут смысла не вижу. Хочу только привести факты:
  1. Первый позитивный опыт общения с регуляторами был еще в 2009-м году, когда ЦБ под эгидой АРБ собрал экспертную группу для работы над 4-й (текущей) версией СТО БР ИББС в части регулирования вопросов защиты прав субъектов ПДн и защиты самих ПДн. Потом был опыт работы с ЦБ в части разработки 382-П. И сейчас ЦБ не прекращает эту деятельность, привлекая внешних экспертов для разработки и экспертизы тех или иных нормативных актов, включая СТО БР ИББС и т.д.
  2. Другой позитивный опыт общения с регуляторами зафиксирован с Роскомнадзором. Именно в результате такого общения Роскомнадзор выпустил разъяснение по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. И это только первый шаг, за которым, я надеюсь, последуют и другие.
  3. Про взаимодействие с ФСТЭК я писал неоднократно и с точки зрения открытости они сейчас, наверное, находятся на первом месте, обойдя даже Банк России по этому показателю. Выложенные на сайте документы, приглашение присылать свои замечания и предложения (особенно предложения, а не огульную критику "все плохо - переделать"), учет полученных предложений, выкладывание результатов рассмотрения каждого полученного предложения... Просто отлично на мой взгляд. Разумеется, сделать процесс более автоматизированным было бы неплохо - какую-нибудь платформу краудсорсинга замутить или формализовать процедуру общения с экспертным сообществом. Но с чего-то надо начинать.
Отдельно хочется отметить инициативу Совета Федерации по разработке Стратегии кибербезопасности (рабочее название), к работе над которой привлекли экспертов и даже открыто пригласили всех желающих высказать свою позицию на прошедшем недавно заседании в Совете Федерации. Не знаю, что выйдет из этой инициативы - пока сложно предсказывать. К законодательным органам у меня отношение настороженное и пока все инициативы привлечения общественности (по нашим вопросам) ни к чему не привели.

Ну и совсем отдельно хочется сказать про ФСБ. Контакт с ним тоже некоторый есть. Да, они готовы выслушать замечания. Да, они готовы ответить, что из замечаний принято, а что нет и почему (обычно по причине нецелесообразности по их мнению). Но иногда мне кажется, что это все некоторая игра по общепринятым правилам и не более. Ну вот принято создавать Общественные и Консультативные советы и спрашивать у общества мнения. Вот ФСБ и спрашивает. Но спрашивает так, как умеет. А потом все делает по своему. Учитывая роль и влияние данного регулятора они могут пока плевать на мнение экспертного сообщества, на мнение бизнеса, на мировую практику - они считают себя умнее всех. И в этом проблема, для которой я пока не вижу решения.
Отдельно хочется отметить реакцию сообщества на открытость регуляторов. Ох, непривыкли у нас эксперты к такой открытости. В заметке для DLP-Эксперта я написал, что проект приказа ФСТЭК по персданным - это первый опыт привлечения экспертов к работе над документом. Нет, это не так, я ошибся. Первый опыт был еще в сентябре, когда ФСТЭК через RISSPA пригласила всех поучаствовать в работе над глоссарием терминов по облакам и облачной безопасности. Потом был проект "нового СТР-К" и вслед за ним проект приказа по защите ПДн. Это уже не совпадение, это скорее тенденция. И если сообщество хочет жить в красивом ИБ-мире, который каждый себе рисует сам, то пора слезть с дивана и поучаствовать не просто в критике, а в конструктивной работе над тем, что предлагают регуляторы. Надо быть более активными или даже проактивными.

И если работа пойдет и число экспертов, которые начнут писать в ФСТЭК свои предложения, перевалит хотя бы за 2-3 десятка, то я склонен согласиться с Евгением Родыгиным, что надо каким-то образом привлекать профессиональные сообщества для взаимодействия с регуляторами. Экспертные, общественные, консультативные советы при ФСТЭК или ФСБ - это хорошо, но этого недостаточно. Профессиональные объединения (RISSPA, DLP-Эксперт, АБИСС, не к ночи упомянутая АРСИБ, АДЭ, РАЭК, НП НПС) должны стать связующим звеном или площадками, к которым обращаются регуляторы, и на которых затем обкатываются ответы регуляторам, чтобы последние не сталкивались с десятками или сотнями частных предложений. Это позволить формализовать и пустить в нужное русло процедуру экспертного обсуждения всех новых нормативных актов в области информационной безопасности.