28.01.2014

Почему в отрасли ИБ нет единой позиции по любому вопросу?

Недавно в ФБ в очередной раз возник спор о том, как трактовать тот или иной фрагмент ФЗ-152. Почему такие споры возникают?.. Почему каждый имеет свое мнение и мало кто может сойтись в единстве? Тут все просто, как мне кажется. Такого мнения просто нет в природе. Вы когда-нибудь задумывались, как в России появляются нормативные акты и каков их жизненный цикл? Я бы выделил 10 участников данного процесса.

Начинается все с инициатора идеи, который озвучивает ее и становится прародителем некоторого нормативного акта. У него свой взгляд на то, что должен регулировать нормативный акт и что должно быть в нем написано.

Затем идея попадает к конкретному исполнителю, который и становится автором нормативного акта. Иногда инициатор и автор являются одним и тем же лицом, но не всегда. Вот тут проявляется первая нестыковка, т.к. у автора и инициатора могут быть немного разные взгляды на то, что должно родиться в итоге. Когда авторов больше одного, ситуация становится еще хуже, а когда их больше семи, процесс становится и вовсе сложно управляемым. Вспомните ФЗ-152 или проект Стратегии кибербезопасности РФ. В работе первого НПА принимало участие несколько десятков человек (как минимум), в работе Стратегии тоже немало. При этом список участников все время менялся и каждый считал своим долгов внести что-то свое в каждый из документов. При этом отсутствие единой концепции и диктатора, направляющего процесс так как считает нужным только он, усугубляет ситуацию еще больше. Нормативный акт (а точнее его проект) становится коллекцией разных фрагментов, не всегда связанных между собой, а иногда и просто отстаивающих чью-то точку зрения, часто имеющую под собой финансовую подоплеку или иные интересы.

Выйдя из под пера автора (авторов) нормативный акт попадает в руки "согласительной комиссии", которая выхолащивает его и делает еще более далеким от первоначальной идеи инициатора. Четвертый участник - это те, кто принимают нормативный акт. Нечасто, но на этом этапе тоже вносятся определенные правки, либо уточняющие, а то и изменяющие текст или отдельные его положения до неузнаваемости. На этом этапе нормативный акт финализируется и мы (как потребители) начинаем его читать, прекрасно понимая, или непонимая, что в нем уже сосредоточено огромное количество противоречий и нестыковок.

Пятый участник процесса - это именно те, на кого распространяется нормативный акт. Они по своему усмотрению начинат трактовать нормы закона или ведомственного приказа или иного нормативного акта. Ведь им никто не сказал о том, что они неправы или существует другая точка зрения. Комментарии к законодательству у нас пишут не те, кто его создавал или принимал. Обычные юристы или эксперты по ИБ, которые также читают то, что выпущено на свет. Это шестой участник процесса, вносящий свою лепту в появление очередной точки зрения на тот или иной НПА.

Седьмым участником становятся внедренцы, реализующие требования нормативного акта на стороне потребителя. Ведь потребитель сам не хочет разбираться в хитросплетениях законодательства - он доверяется интегратору, у которого может быть свой взгляд на то, что написано в нормативном акте. Это может быть "просто" взгляд, а может и желание впарить что-нибудь ненужное или просто увеличивающее доходы интегратора. Такой, например, для меня выглядит тема с сертифицированными средствами защиты. В том же ФЗ-152 ни слова про сертификацию, но многие по-прежнему продолжают считать, что это именно так.

Восьмым участником, вносящим сумятицу в понимание нормативных актов, является надзор, приходящий с проверками к потребителям и спрашивающим с них за невыполнение тех или иных норм. А достаточно вспомнить как менялась позиция ФСТЭК по части лицензирования или позиция РКН по части биометрии, чтобы понять, что этот аспект нельзя сбрасывать со счетов. На последних двух местах у нас находятся суды и прокуратура, которые также могут иметь свою точку зрения, отличную от других и несовпадающую даже с позицией автора или инициатора нормативного акта.

В такой среде очень сложно работать и следовать нормативным актам. А если они выполнены, то нет никакой гарантии, что выполнены они правильно и надзорные органы или прокуратура не посчитает реализацию неправильной (таких примеров тоже масса). Выйти из этого тупика нельзя; по крайней мере в настоящий момент в России я не вижу выхода. Приходиться с этим мириться, хотим мы того или нет. Просто иногда лучше понимать, почему все так, а не иначе. Особенно это понимание будет полезно тем, кто только критикует, ни разу не поучаствовав в процессе подготовки какого-либо нормативного акта по информационной безопасности, или поучаствовать всего один раз и столкнувшись с непониманием своей "единственно верной" позиции, обидеться на весь мир :-)

3 коммент.:

Евгений комментирует...

Зато в этой ситуации хорошо работает стратегия "выполнять требования по минимуму, чтобы только заявить о выполнении". А придет проверяющий, там и посмотрим. Надо будет - сделаем еще что-нибудь.
Тем более навык "договориться по хорошему с проверкой" в России развит еще наверно со времен становления государственности...

Михаил Левин комментирует...

Алексей, а как же трактовать оценку соответствия, как не сертификацию? Под декларирование соответствия СЗИ не попадают. Под обязательную сертификацию, судя по всему, так же. Добровольная сертификация в системе сертификации ФСТЭК и ФСБ как раз подходит, даже несмотря на то, что эти системы больше не бьются в списке ростехрегулирования.
Какие могут быть варианты?

Алексей Лукацкий комментирует...

Михаил, выберите все заметки в блоге по тегу "оценка соответствия". Я уже не раз высказывал свою позицию, опираясь на ФЗ-184