20.05.2014

Какие документы влияют на разивтие ИТ и ИБ в России?

Андрей Прозоров в своем блоге расписал основные документы, которые не его взгляд определяют развитие ИТ и ИБ в России. Я обещал ему прокомментировать его заметку, что и делаю. Сразу отмечу, что я не согласен с Андреем с его описанной "картиной мира". Это как раз тот редкий случай, когда сначала надо терминологически определить объект оценки, а уже потом проводить разбор полетов. В данном случае Андрей пошел по пути классического безопасника, посчитав, что ИБ - это набор мероприятий, определяющих защиту информации от каких-либо несанкционированных действий. Поэтому в списке Андрея документы, безусловно важные, но явно не единственные, устанавливающие путь развития в области ИБ.

Для меня, и как раз с этого я начинаю в курсе по законодательству, который читаю по программе CIO/CSO MBA в РАНХиГС, важно сначала определить объект правоотношений, а потом уже определять систему законодательства, его регулирующую. Так вот объектом является не ИБ, как таковая. Нет такого объекта. Есть различные срезы информационной безопасности:

  • Государственная тайна
  • Информация ограниченного доступа
  • Работы и услуги в области защиты информации (шифрования)
  • Операционные риски
  • Оценка соответствия средств защиты информации
  • Бесперебойность функционирования…
  • Защита информации (сама по себе)
  • Право на тайну (личной жизни, переписки, связи, телефонных переговоров и т.д.)
  • Виды деятельности субъектов
  • Средства защиты информации
  • Информационные системы.
Если посмотреть на картину с этой стороны, то окажется, что немаловажным и местами определяющим развитие будет тот же самый закон "О лицензировании отдельных видов деятельности". Или закон "О техническом регулировании". Или ФЗ "О персональных данных". Или, даже, Конституция РФ. Не поняв, какую область ИБ мы имеем виду, определить основополагающие нормативные документы достаточно сложно.

Рассматривая правоотношения, касающиеся ИБ, нельзя забывать и про субъектов этих правоотношений, которые также могут иметь свой взгляд на развитие ИБ (за ИТ не возьмусь судить). А какие субъекты правоотношений в области ИБ у нас могут быть? Как минимум:
  • Обладатель информации
  • Потребитель информации
  • Оператор информационной системы
  • Владелец сайта в сети "Интернет"
  • Провайдер хостинга
  • Разработчик ИТ и средств защиты информации
  • Поставщик средств/услуг защиты информации.
Очевидно, что взгляд провайдера хостинга на ИБ и обладателя информации ограниченного доступа будут разными и руководствоваться они будут разными документами, определяющими их стратегию развития.

Ну а часть документов из списка Андрея и вовсе, на мой взгляд, там лишняя. Отчасти по причине отсутствия влияния (те же "приоритетные научные направления" Совбеза или "Стратегия инновационного развития") на ИБ; отчасти по причине своей низкоуровневости. Те же 17-й и 21-й приказы хоть и являются важной вехой в части установления новых требований по ИБ, не являются основополагающими, так как опираются на вполне конкретные и вышестоящие нормативные акты. Если уж упоминать 17/21-й приказы, то незаслуженно забыт приказ по АСУ ТП, СТО БР и 382-П, являющиеся для своих отраслей вполне себе путеводной звездой. Хотя на мой взгляд все эти приказы, стандарты и положения являются низкоуровневыми документами. И их слишком много, что врядли делают их основополагающими (основ не может быть много).

Отсюда и все проблемы, упомянутые Андреем. Авторы нормативных документов по ИБ в России не видят и не знают всей картины, что и приводит к хаосу в разработке НПА и отсутствию единой стратегии, которую КГБ в свое время забраковал. ВОт теперь мы и пожинаем плоды того решения.