Мои коллеги по "письму пяти экспертов" (
Александр Бондаренко,
Алексей Волков,
Александр Токаренко и
Евгений Царев) уже высказали свои мнения по поводу ситуации, сложившейся вокруг нашего открытого письма. Я в свою очередь хочу сказать спасибо всем, кто поддержал нашу инициативу. СПАСИБО!
Не буду сейчас говорить о негативных отзывах. Они тоже были. Капля в море по сравнению с числом позитивных отзывов. Еще на курсах по ораторскому искусству нам говорили, что в ЛЮБОЙ аудитории всегда найдется от 3-х до 5-ти процентов слушателей, воспринимающих ваше выступление негативно. Причем независимо от вашего посыла, мотивации и стиля выступления. Протестный электорат был, есть и будет всегда. И пусть никто не воспринимает мое сравнение буквально, но даже у Иисуса Христа, Магомета или Гаутамы были противники. И если бы в те времена было изобретено огнестрельное оружие, обязательно нашлись бы желащие их расстрелять, обвинить в самопиаре, непрофессионализме и т.д.
Вернусь к другой теме, которая меня занимает больше и которой вскользь коснулся
Олег Кузьмин. Речь идет о молчании, которым обошли тему открытого письма ассоциации и союзы, которые призваны бороться за права участников ИТ/ИБ-индустрии, но не с точки зрения производителей, а с точки зрения потребителей. Таких сообществ я могу насчитать с полтора десятка в области ИТ и штук 5 в области ИБ. И НИКТО из них не высказался по поводу сложившейся ситуации.
Начну с ИТ-индустрии. Ни СоДИТ, ни 16 клубов региональных ИТ-директоров, указанных на сайте СоДИТ, ни словом не обмолвились о новом законопроекте и вытекающих из него проблем для потребителей с точки зрения ИТ. Только Татьяна Плотникова в
личном блоге на сайте московского клуба ИТ-директоров коснулась этой темы и предрекла проблемы для ИТ-директоров, связанные с новыми поправками. GlobalCIO эту тему
пообсуждал в феврале-апреле и тоже благополучно забыл. Ну да ладно. ИТ-директора всегда витали в облаках ;-) и проблемы ИБ они воспринимали как-то однобоко. Но что с ИБ-сообществами?
Я их сходу насчитал 5 - АЗИ, RISSPA, ABISS, НПСИБ и АРСИБ. Почему молчит АЗИ, понятно. Новые поправки в интересах поставщиков продуктов и услуг и осуждать их за это сложно. Бизнес есть бизнес; ничего личного. А то, что большинство интеграторов или вендоров в области ИБ сами
не выполняют закон о персданных - это такие мелочи...
НПСИБ изначально был этаким междусобойчиком без четкой и понятной
позиции. RISSPA занимается вполне конкретной задачей - повышением осведомленности специалистов по ИБ и в политику не лезет. Да и четкого коллегиального органа управления там нет ;-(
ABISS всегда отражал позицию ЦБ. А так как последний молчит, то молчит и ABISS. ABISS вообще сейчас трудно - отраслевые стандарты теперь вообще вне закона и что делать с СТО в контексте ПДн не совсем понятно. Одна надежда на закон об НПС, в рамках которого, если ситуация не поменяется, и будет продвигаться СТО. Не хочется верить, но могу допустить, что между финансовым регулятором и ключевым регулятором в области ИБ (и это не ФСТЭК) идет закулисная и позиционная борьба - "мы не поднимаем вопрос о проблемах с законом о ПДн, а вы не мешаете нам с законом об НПС". Понять ЦБ можно - НПС ему ближе ПДн. Но это всего лишь мои предположения - буду рад, если они таковыми и останутся. Та же АРБ активно отстаивает интересы банков, но не кричит об этом. Также может действовать и ЦБ, не афицируя свою активность в данном вопросе. Но собственно дело не в ЦБ, а в ИБ-ассоциациях.
Кто у нас остался? АРСИБ! Здесь ситуация тоже непростая. С одной стороны, среди задач созданной более полугода назад ассоциации говорится о "
выражении консолидированного мнения и позиций профессионалов в области ИБ" и "
взаимодействии с регуляторами по вопросам ИБ и воздействие на вопросы законодательного обеспечения ИБ". И тема с новым законопроектом как никакая другая хорошо ложится в сферу решения названных двух задач. Более того, в Правление АРСИБ входит, как минимум, 4 человека, с которыми мы участвовали в активном обсуждении законопроекта и формировании поправок в него, которые были затем снесены цунами законопроекта, внесенного ФСБ и принятого всего за 3 минуты во втором и третьем чтении. Они против данных поправок? Безусловно.
Александр Токаренко и вовсе один из подписантов "письма пяти экспертов". Да и многие члены АРСИБ, которых я знаю, высказывались против принятых поправок. Но при этом сама АРСИБ, как консолидированный и публичный рупор, молчит ;-(
Можно было бы предположить, что всем плевать. Но исходя из вышесказанного, это маловероятно. Никто не верит в возможности в АРСИБ? Но тогда зачем туда вступать, платить членские взносы, участвовать в Конференции АРСИБ (это высший руководящий орган АРСИБ) в рамках межотраслевого форума директоров по ИБ? Не вступали же все ради членства и статуса? И врядли члены АРСИБ думали, что кто-то будет решать все вопросы за них. Т.е. это тоже не причина. Никто не хочет ссориться с регуляторами? В России вполне возможная причина, но зачем создавать тогда рупор, который не будет дисскутировать с регуляторами? Не для достижения же личных целей и потакания собственным амбициям. Т.е. и это тоже отпадает. Что остается?
Как мне кажется проблема кроется немного в другом. Если посмотреть на Устав АРСИБ, то он просто не подразумевает оперативного решения таких серьезных вопросов, как официальная поддержка опубликованного нами открытого письма. Согласно Уставу управление осуществляется либо Конференцией, либо Правлением. Последнее осуществляет текущее управление АРСИБ и обладает сугубо административными полномочиями. Конференция занимается более глобальными вещами. И хотя явно в Уставе это не прописано, но могу предположить, что такое важное дело, как выражение консолидированного мнения в отношении открытого письма Гаранту Конституции - это прерогатива именно Конференции... Но проводится она не реже одного раза в год. Т.е. ни о каком оперативном решении насущных проблем отрасли (появление нового регулятора, выход нового нормативного документа и т.д.) и речи быть не может.
Да и дело это непростое и затратное - первая, и пока последняя Конференция АРСИБ, проводилась не как самостоятельное мероприятие, а отъела полдня у межотраслевого форума директоров ИБ. Это и понятно. Членских взносов на тот момент не хватило бы даже на аренду 10 квадратных метров зала, не говоря уже о проведении полноценного мероприятия.
Мне кажется, что именно возникшая ситуация показала, что в современных условиях, когда требуется пересмотр традиционных подходов управления общественными организациями. Необходимо предусматривать возможность проведения электронного голосования, которое можно организовать достаточно быстро. При этом решение вопроса с легитимностью голосования решается применением ЭЦП (кому как не специалистам по ИБ реализовать этот проект в своих целях). Токен с ключевой информацией может быть идентификатором для доступа к закрытой части портала Интернет-ресурса, а также идентификатором членства в сообществе.
Вот такая идея! Мне кажется она стоит того, чтобы ее обдумывать. Да и вообще. Выстраивая такой Интернет-ресурс "для себя" можно порешать множество актуальных задач современного директора по ИБ - защита от DDoS, настройка Web-сервера, выстраивание процесса управления патчами для Интернет-ресурсам, ЭЦП/PKI, прикладной МСЭ, электронный документооборот, антивирусная защита, защита клиентских мест и т.д. Тут есть где поделиться собственным опытом, а также апробировать те или иные подходы на практике.
Но что же с поддержкой нашего открытого письма? Из всех сообществ откликнулось только некоммерческое партнерство "
ДАТУМ", борющееся за интересы операторов и субъектов ПДн. Видимо у него не было проблем с оперативным принятием решения о поддержке. За что больше спасибо его членам и Правлению.
ЗЫ. Сразу хочу отметить, что данная заметка не ставит перед собой задачи очернить кого-либо из упомянутых в ней сообществ. Скорее она поднимает некоторую проблему, решение которой давно назрело. Законопроект о внесении изменений в ФЗ-152 только первая ласточка в череде планируемых изменений, по которым потребуется поддержка отраслевых ассоциаций и сообществ. И чем раньше ее решить, тем лучше.