Мои коллеги по "письму пяти экспертов" (Александр Бондаренко, Алексей Волков, Александр Токаренко и Евгений Царев) уже высказали свои мнения по поводу ситуации, сложившейся вокруг нашего открытого письма. Я в свою очередь хочу сказать спасибо всем, кто поддержал нашу инициативу. СПАСИБО!
Не буду сейчас говорить о негативных отзывах. Они тоже были. Капля в море по сравнению с числом позитивных отзывов. Еще на курсах по ораторскому искусству нам говорили, что в ЛЮБОЙ аудитории всегда найдется от 3-х до 5-ти процентов слушателей, воспринимающих ваше выступление негативно. Причем независимо от вашего посыла, мотивации и стиля выступления. Протестный электорат был, есть и будет всегда. И пусть никто не воспринимает мое сравнение буквально, но даже у Иисуса Христа, Магомета или Гаутамы были противники. И если бы в те времена было изобретено огнестрельное оружие, обязательно нашлись бы желащие их расстрелять, обвинить в самопиаре, непрофессионализме и т.д.
Вернусь к другой теме, которая меня занимает больше и которой вскользь коснулся Олег Кузьмин. Речь идет о молчании, которым обошли тему открытого письма ассоциации и союзы, которые призваны бороться за права участников ИТ/ИБ-индустрии, но не с точки зрения производителей, а с точки зрения потребителей. Таких сообществ я могу насчитать с полтора десятка в области ИТ и штук 5 в области ИБ. И НИКТО из них не высказался по поводу сложившейся ситуации.
Начну с ИТ-индустрии. Ни СоДИТ, ни 16 клубов региональных ИТ-директоров, указанных на сайте СоДИТ, ни словом не обмолвились о новом законопроекте и вытекающих из него проблем для потребителей с точки зрения ИТ. Только Татьяна Плотникова в личном блоге на сайте московского клуба ИТ-директоров коснулась этой темы и предрекла проблемы для ИТ-директоров, связанные с новыми поправками. GlobalCIO эту тему пообсуждал в феврале-апреле и тоже благополучно забыл. Ну да ладно. ИТ-директора всегда витали в облаках ;-) и проблемы ИБ они воспринимали как-то однобоко. Но что с ИБ-сообществами?
Я их сходу насчитал 5 - АЗИ, RISSPA, ABISS, НПСИБ и АРСИБ. Почему молчит АЗИ, понятно. Новые поправки в интересах поставщиков продуктов и услуг и осуждать их за это сложно. Бизнес есть бизнес; ничего личного. А то, что большинство интеграторов или вендоров в области ИБ сами не выполняют закон о персданных - это такие мелочи... НПСИБ изначально был этаким междусобойчиком без четкой и понятной позиции. RISSPA занимается вполне конкретной задачей - повышением осведомленности специалистов по ИБ и в политику не лезет. Да и четкого коллегиального органа управления там нет ;-(
ABISS всегда отражал позицию ЦБ. А так как последний молчит, то молчит и ABISS. ABISS вообще сейчас трудно - отраслевые стандарты теперь вообще вне закона и что делать с СТО в контексте ПДн не совсем понятно. Одна надежда на закон об НПС, в рамках которого, если ситуация не поменяется, и будет продвигаться СТО. Не хочется верить, но могу допустить, что между финансовым регулятором и ключевым регулятором в области ИБ (и это не ФСТЭК) идет закулисная и позиционная борьба - "мы не поднимаем вопрос о проблемах с законом о ПДн, а вы не мешаете нам с законом об НПС". Понять ЦБ можно - НПС ему ближе ПДн. Но это всего лишь мои предположения - буду рад, если они таковыми и останутся. Та же АРБ активно отстаивает интересы банков, но не кричит об этом. Также может действовать и ЦБ, не афицируя свою активность в данном вопросе. Но собственно дело не в ЦБ, а в ИБ-ассоциациях.
Кто у нас остался? АРСИБ! Здесь ситуация тоже непростая. С одной стороны, среди задач созданной более полугода назад ассоциации говорится о "выражении консолидированного мнения и позиций профессионалов в области ИБ" и "взаимодействии с регуляторами по вопросам ИБ и воздействие на вопросы законодательного обеспечения ИБ". И тема с новым законопроектом как никакая другая хорошо ложится в сферу решения названных двух задач. Более того, в Правление АРСИБ входит, как минимум, 4 человека, с которыми мы участвовали в активном обсуждении законопроекта и формировании поправок в него, которые были затем снесены цунами законопроекта, внесенного ФСБ и принятого всего за 3 минуты во втором и третьем чтении. Они против данных поправок? Безусловно. Александр Токаренко и вовсе один из подписантов "письма пяти экспертов". Да и многие члены АРСИБ, которых я знаю, высказывались против принятых поправок. Но при этом сама АРСИБ, как консолидированный и публичный рупор, молчит ;-(
Можно было бы предположить, что всем плевать. Но исходя из вышесказанного, это маловероятно. Никто не верит в возможности в АРСИБ? Но тогда зачем туда вступать, платить членские взносы, участвовать в Конференции АРСИБ (это высший руководящий орган АРСИБ) в рамках межотраслевого форума директоров по ИБ? Не вступали же все ради членства и статуса? И врядли члены АРСИБ думали, что кто-то будет решать все вопросы за них. Т.е. это тоже не причина. Никто не хочет ссориться с регуляторами? В России вполне возможная причина, но зачем создавать тогда рупор, который не будет дисскутировать с регуляторами? Не для достижения же личных целей и потакания собственным амбициям. Т.е. и это тоже отпадает. Что остается?
Как мне кажется проблема кроется немного в другом. Если посмотреть на Устав АРСИБ, то он просто не подразумевает оперативного решения таких серьезных вопросов, как официальная поддержка опубликованного нами открытого письма. Согласно Уставу управление осуществляется либо Конференцией, либо Правлением. Последнее осуществляет текущее управление АРСИБ и обладает сугубо административными полномочиями. Конференция занимается более глобальными вещами. И хотя явно в Уставе это не прописано, но могу предположить, что такое важное дело, как выражение консолидированного мнения в отношении открытого письма Гаранту Конституции - это прерогатива именно Конференции... Но проводится она не реже одного раза в год. Т.е. ни о каком оперативном решении насущных проблем отрасли (появление нового регулятора, выход нового нормативного документа и т.д.) и речи быть не может.
Да и дело это непростое и затратное - первая, и пока последняя Конференция АРСИБ, проводилась не как самостоятельное мероприятие, а отъела полдня у межотраслевого форума директоров ИБ. Это и понятно. Членских взносов на тот момент не хватило бы даже на аренду 10 квадратных метров зала, не говоря уже о проведении полноценного мероприятия.
Мне кажется, что именно возникшая ситуация показала, что в современных условиях, когда требуется пересмотр традиционных подходов управления общественными организациями. Необходимо предусматривать возможность проведения электронного голосования, которое можно организовать достаточно быстро. При этом решение вопроса с легитимностью голосования решается применением ЭЦП (кому как не специалистам по ИБ реализовать этот проект в своих целях). Токен с ключевой информацией может быть идентификатором для доступа к закрытой части портала Интернет-ресурса, а также идентификатором членства в сообществе.
Вот такая идея! Мне кажется она стоит того, чтобы ее обдумывать. Да и вообще. Выстраивая такой Интернет-ресурс "для себя" можно порешать множество актуальных задач современного директора по ИБ - защита от DDoS, настройка Web-сервера, выстраивание процесса управления патчами для Интернет-ресурсам, ЭЦП/PKI, прикладной МСЭ, электронный документооборот, антивирусная защита, защита клиентских мест и т.д. Тут есть где поделиться собственным опытом, а также апробировать те или иные подходы на практике.
Но что же с поддержкой нашего открытого письма? Из всех сообществ откликнулось только некоммерческое партнерство "ДАТУМ", борющееся за интересы операторов и субъектов ПДн. Видимо у него не было проблем с оперативным принятием решения о поддержке. За что больше спасибо его членам и Правлению.
ЗЫ. Сразу хочу отметить, что данная заметка не ставит перед собой задачи очернить кого-либо из упомянутых в ней сообществ. Скорее она поднимает некоторую проблему, решение которой давно назрело. Законопроект о внесении изменений в ФЗ-152 только первая ласточка в череде планируемых изменений, по которым потребуется поддержка отраслевых ассоциаций и сообществ. И чем раньше ее решить, тем лучше.
Подписаться на:
Комментарии к сообщению (Atom)
35 коммент.:
Не уверен, что пламенная петиция - хорошее мерило, ибо далеко не все проигнорировавшие хотели не быть как все, и далеко не все подписавшие ее хотя бы читали, не говоря о поправках.
АРБ подготовило обращение в адрес Правительства с просьбой рассмотреть вопрос о внесении официальным представителем Правительства РФ в Совете Федерации предложения об отклонении проекта закона N282499-5.
Боюсь, что поздно - слушания в СФ назначены на 13 июля!
Виктор Соловьев
Спасибо, Алексей! Я думаю у вас получилось выразить консолидированную позицию многих специалистов по ИБ в отношении сообществ по ИБ в целом и в отношении АРСИБ в частности. Для АРСИБ явно необходимо принимать более оперативные решения, только так можно успевать за проходящими вокруг событиями. И идея организации онлайн голосований членов АРСИБ - очень интересна, тем более, что если организация будет развиваться и дальше, то в ней будет увеличиваться количество региональных представителей, которые хотели бы участвовать в жизни сообщества, но для которых физически сложно присутствовать на всех заседаниях АРСИБ.
Алексей!
Забыл про Комиссию по информационной безопасности и киберпреступности РАЭК - http://raec.ru/times/detail/554/
Они практически самыми первыми поддержали - т.ч. если говорить об оперативности принятия решения, то "пальму первенства" следует отдать им
Ригелю: смотря чего мерило.
Я никак не пойму другого: а что, ДО принятия поправок Резника закон всех удовлетворял? Что, разве замечательное четырехкнижие, прочитать которое было нельзя пока не рассекретили было лучше? Разве расчеты г-на Лукацкого о том во что обойдется Закон появились не задолго ДО появления поправок?
Закон совершенствуется, появились поправки - это нормально.
Что именно В ПОПРАВКАХ как не устроило уважаемых экспертов, что они обратились к Президенту, что?
И еще. В нормальном обществе нормально если у людей есть разные точки зрения. Почему то, что люди (и общественные организации) не согласны с г-ном Лукацким вызывает у того такое возмущение - непонятно. Толерантнее, господа, толерантнее...
> Что именно В ПОПРАВКАХ как не устроило уважаемых экспертов, что они обратились к Президенту, что?
То, что поправки не улучшают, а ухудшают действующий закон. Опять же, по нашему мнению и мнению поддержавших письмо.
Алексей, ну от вас смешно читать подобные девичьи обиды. Взять тот же АРСИБ: заходишь на сайт - Ваш облик на первой же странице; кроме того, один из подписантов - член правления, не говоря уже о просто членах. Неужели нельзя подобное письмо было направить не от имени "пяти экспертов" (не в обиду подписантам - все безусловно достойные - а кто им давал экспертную оценку?), а от имени того-же АРСИБа? Вы же пишете не на деревню дедушке, а президенту, почему же не привлечь профессиональную зарегистрированную организацию, в которую некоторые из вас входят? Не кажется ли Вам, что тогда бы это письмо имело бы совершенно другой вес, да и поддержка со стороны иных общественных ИТ- и ИБ-организаций тогда была бы обеспечена? Для чего тогда создаются подобные организации? Г-н Токаренко как член правления АРСИБ и г-н Волков как новое лицо АРСИБ что-нибудь предлагали по этому поводу?
Алексей, не в защиту, а дабы прояснить ситуацию. Поскольку имею прямое отношение и к СоДИТ и к АРСИБ могу сказать, что не только по уставу, но и по принципу работы эти общественные организации быстро реагировать не могут. Например, для СоДИТ, что бы выразить свою позицию, придется собрать правление (пусть даже виртуально). Более того, удачно сложившийся момент, когда 80% населения находится либо в отпуске, либо в дембельском аккорде перед ним не способствует активной позиции. Тем не менее, мы видим, читаем, участвуем и поддерживаем персонально )). Для ускорения реакции (в будущем) предлагаю обсудить правила таких коммуникаций с моими коллегами в Москве, например, Виктор Минин сможет выступить от лица обоих сообществ.
Юрий Шойдин
Главный критерий - время, которое работает против нас. Спасибо Юрию Шойдину - он ответил Вадиму :)
> Более того, удачно сложившийся момент, когда 80% населения находится либо в отпуске, либо в дембельском аккорде перед ним не способствует активной позиции
Юрий, а должен способствовать. Иначе в июле-августе (а многие "отдыхают" вообще на протяжении всего года) оказываемся в "пассивной" позиции, а потом обижаемся. Дело-то, можно смело сказать, государственной важности. В противном случае просматривается неприятное сходство с нашими лечебными учреждениями, куда в пятницу не имеет попадать никакого смысла - всё равно до понедельника никто лечить не будет.
berrimir47: Все просто. До появления последнего варианта поправок 5 подписантов сделали все, чтобы законопроект был другим. Делали просто - входили в рабочие группы по внесению поправок. Но согласованный почти всеми вариант без согласования с участниками процесса за 2 дня до рассмотрения его в ГД поменяли. Пришлось действовать таким методом.
И никакого возмущения у меня нет - я высказал свое мнение, с которым кто-то согласен, кто-то нет. Из ситуации можно извлечь урок и попытаться впрель не допускать повторов. А можно забить на это мнение и продолжать делать то, что делали, считая себя правым. Любой из вариантов имеет право на жизнь.
Да, про РАЭК забыл ;-(. А АРБ действительно делает много
>Почему то, что люди (и общественные организации) не согласны с г-ном Лукацким вызывает у того такое возмущение
Алексей, насколько я понял, не претендует на обязательную поддержку от всех людей и сообществ. Но своё мнение эти сообщества могли бы высказать (в том числе и противоположное), а не стоять в стороне.
Вадиму: я не член АРСИБ. Мое участие на фото - это вообще отдельная история ;-) Что касается отправить "отправить не от имени"... Я же написал, что нужно оперативно решать такие вопросы. Это раз. И нужно не бояться высказывать свою позицию по отношению к тому, что делают регуляторы. Присоединиться к письму проще, чем быть его инициатором. Хотя и тут видно - многие не готовы публично присоединяться, в кулуарах горячо поддерживая.
Так уж сложилось, что у меня был опыт участия в написании письма о ПДн Шувалову от имени одной ассоциации. Только благодаря усилиям координатора комитета этой ассоциации письмо сваяли и утвердили за неделю-две. В другом случае, его так и не смогли подписать - нашлись противники. В третьем случае группа эксперов написала закрытое письмо в Правительство о ситуации в отрасли. Письмо спустили в СовБез, а те сказали - у нас все нормально.
Формат открытого письма оказался удачнее. Хотя, не спорю, если бы в его авторах стояла какая-то ассоциация, было бы легче.
Юрию Шойдину: Ну я так и написал, что текущая структура не совсем работает и нужно пересматривать механизм; особенно для региональщиков.
ЗЫ. Хотя и РАЭК и ДАТУМ высказались оперативно. Т.е. варианты есть.
to Алексей Лукацкий: "До появления последнего варианта поправок 5 подписантов сделали все, чтобы законопроект был другим." - Господа, а вы не думаете, что "5 подписантов" это еще не все заинтересованные лица? :-) Что у других может быть иное мнение?
Кроме того, я нигде не увидел что именно вас пятерых не устраивает в законопроекте Резника. Нигде нет такого сравнения: "вот, что было ДО принятия поправок, вот что стало после их принятия и вот чем это грозит".
Кроме того, я не видел возражения против Закона в его нынешнем, принятом виде, тех, кого он собственно и касается - банков, медучерждений, страховых компаний etc. Получается, что вы пятеро болеете за всю Россию?
Так что извините, но ваши возмущения, письма Президенту, обсуждения сильно смахивают на обыкновенную пиар-компанию. Вашу.
Алексей, я и не утверждал, что Вы член АРСИБ. Меня удивило, что среди подписантов их почти половина. А в теме вопрос - "почему молчит АРСИБ"? Теперь стало понятно - потому что в отпуске! А за фото на сайте - в суд на них!;)
Интересно, а в народный фронт АРСИБ не вступает? А то стоит наверное поторопиться и собрать правление. :-)
Слушайте, АРСИБ молчит потому же, почему и все остальные - потому что письмо исключительно популистское и не несущее никакой мысли, кроме "Тревога, тревога, Вас обманули". Есть разные точки зрения, письмо Вихорева подписантам не читали?
Письмо получилось действительно немного популистским - но для первого блина, готовившегося в такой спешке, это очень даже простительно.
Подписанты сотворили историческое событие в такой малозаметной отрасли как ИБ - оперативно инициировали открытое письмо против позиции регуляторов.
Даже если Гарант проигнорит - всё равно толк от этого письма есть и очевидный - это маленькая ступенька вверх в развитии общества прямой демократии (коей пока нигде нет).
И в отрасли ИБ это только первая ласточка - ну невозможно вечно терпеть позицию регуляторов (и некоторых интеграторов), застрявших в парадигмах ИБ прошлого века.
Правильно, Алексей подметил, что процедуры организации АРСИБ таковы, что оперативного решения принять нельзя. Есть над чем работать.Я это говорю как представитель исполнительного органа АРСИБ. И мы готовы рассмотреть конкретные предложения по вопросу оперативного решения вопросов. Думаю, данный вопрос будет вынесен на ближайшем заседании Правления. Это будет задел на будущее. Мы молоды, мы в коротких штанишках и рост штанов зависит от нас всех вместе взятых.Адрес для роста))) и предложений info@aciso.ru
Что касается решения АРСИБ, сейчас идет процесс согласования данной инициативы.
> ну невозможно вечно терпеть позицию регуляторов (и некоторых интеграторов), застрявших в парадигмах ИБ прошлого века
Да никто нигде не застревал. Люди пытаются таким грубо-неуклюжим способом обеспечить себе фронт работ и зарплату на ближайший десяток лет.
Вадим пишет...
>Меня удивило, что среди подписантов их почти половина
1/5 или ровно 1 человек ;)
Алексея Волкова на момент написания письма еще только принимали в АРСИБ
Вадим пишет...
>Люди пытаются таким грубо-неуклюжим способом обеспечить себе фронт работ и зарплату на ближайший десяток лет.
Вадим.
Мне вполне хватает и работы и зарплаты на профтайне, режиме КТ и минимизации инсайдерских рисков. И этой темы хватит еще не одному поколению...
Тема ПДн - это головная боль. Да и из-за этой темы вынужден был выйти на определенный уровень публичности, хотя мне и без нее было неплохо ;-D
Ух какая дискуссия развернулась по поводу сообществ.
А я хотел бы прокомментировать вот это высказывание: "Новые поправки в интересах поставщиков продуктов и услуг и осуждать их за это сложно. Бизнес есть бизнес; ничего личного.
Я просто не согласен. На первый взгляд все это правда, и для воротил "большого бизнеса", которые работают с госсектором, все это действительно так. Но вот к нам с коллегами часто обращаются юр.лица, представляющие мелкий бизнес, или малые гос.учреждения. У них бюджет на защиту ПДн исчисляется в десятках тысяч рублей. Мы и сейчас то не всем можем помочь, а если законодательно закрепить список процедур по защите, то все станет очень печально.
Каждая прописанная в законопроекте процедура стоит денег. В каком бы объеме она не выполнялась, хоть чего-то она стоит. Вот и получается, что по этому законопроекту минимальный ценник за защиту ПДн силами сторонней организации превысит все разумные для малого бизнеса пределы. Плохо-то от этого как раз не малому бизнесу (они тупо забьют), а нам и субъектам ПДн. Субъектам понятно почему, а нам - потому, что заказов с той стороны можно больше не ждать.
> toparenko: Мне вполне хватает и работы и зарплаты на профтайне, режиме КТ и минимизации инсайдерских рисков. И этой темы хватит еще не одному поколению...
Тема ПДн - это головная боль. Да и из-за этой темы вынужден был выйти на определенный уровень публичности, хотя мне и без нее было неплохо ;-D
Рад за Вас, но для большинства дискутирующих на эту тему уже давно не является секретом истинные причины известного РЕГУЛЯТОРА и НЕКОТОРЫХ интеграторов добиться на уровне федерального законодательства принятия неадекватных требований для защиты ПДн. Причины я озвучил выше.
Вадим пишет...
> для большинства дискутирующих на эту тему уже давно не является секретом истинные причины известного РЕГУЛЯТОРА и НЕКОТОРЫХ интеграторов добиться на уровне федерального законодательства принятия неадекватных требований для защиты ПДн. Причины я озвучил выше.
Вообще-то они почти добились принятия неадеквата.
Но "почему-то" Вы пытаетесь "наехать" как раз на тех, кто открыто высказал свое личное мнение о недопустимости этого неадеквата
>toparenko: Вообще-то они почти добились принятия неадеквата.
Но "почему-то" Вы пытаетесь "наехать" как раз на тех, кто открыто высказал свое личное мнение о недопустимости этого неадеквата
Коллега, вы "вообще-то" о чём? Повнимательнее читайте, и всё будет "в адеквате"!
При соответствующем желании любая организация, созданная для решения задач ИБ может своевременно отреагировать на серьезное событие по принципиальному вопросу ИБ, было бы только желание. Отпуска и прочие причины неповоротливости не могут служить оправданием полного полчания. Представляется, что причина молчания АРСИБ все же в другом, например, в нежелании высказать свою позицию по данной проблеме. В этой связи, на мой взгляд давно уже назрела проблема создания в противовес различным организациям и ассоциациям (преследующим, как ни крути по большому счету все же вполне конкретные коммерческие цели), новой некоммерческой организации вроде независимого союза спецалистов ИБ, в которой не было бы такого огромного числа различных членов правления и прочих руководителей различных подкомитетов. Эта новая организация могла бы объединить специалистов ИБ на равных условиях с возможностью представления независимой позиции по принципиальным вопросам ИБ и немедленного реагирования в необходимых случаях. Кстати, для управления ею, вполне хватило бы ежегодно выбираемого председателя, его заместителя и секретаря - все на общественных началах.
Олег, твоим вариантом сложно управлять, как мне кажется ;-( В АРСИБ тоже все имеют равные права, а Правление создано только для оперативного управления. Под твое независимое сообщество подходит НПСИБ или RISSPA, но и они не готовы решать такие задачи.
Скорее надо смотреть в сторону изменения регламентов работы АРСИБ и, мне кажется, идея с электронным голосованием имеет право на жизнь. Она позволяет решать вопросы оперативно. Ну и помимо Конференции предложить и другие варианты принятия решений.
Скоро у нас количество союзов, ассоциаций, объединений будет равно
кол-ву специалистов по ИБ. И каждый будет председателем, а лучше Президентом.
Ну, кроме Алексея, который сегодня скромно сравнил себя с Иисусом. Тоже неплохая должность.
Интересно, а Наполеоны тут в каком кабинете? :)
Вот так и знал, что найдутся и те, кто прицепится к упоминанию Иисуса ;-)
Я полностью поддерживаю предложение Олега Кузьмина.
Случай с "письмом президенту" как раз и показал низкую способность всех этих коммерческо-бюрократических ассоциаций оказывать оперативную помощь в решении вопросов, требующих незамедлительных действий. И именно некоммерческая основа даст возможность "представления независимой позиции по принципиальным вопросам ИБ и немедленного реагирования в необходимых случаях".
Что же касается количества новых ассоциаций, то конечно АРСИБ не последняя. Выйдет закон о служебной тайне (если, конечно, выйдет) - появится сообщество для обсуждения этого закона. Давно пора создать "Клуб любителей (или нелюбителей) регуляторов" и т.д. Правда, члены правления в таких сообществах уже начинают повторяться, может нехватить ;) Но на сайтах этих организаций непременно будут висеть фото совсем не их членов (А. Лукацкий, А. Конусов и т.д.), что будет ещё больше вводить будущих кандидатов в заблуждение
Реакция началась после принятия
http://www.comnews.ru/index.cfm?id=62444
Не, это было еще до принятия. РСПП и АРОС еще вчера высказлись по этому поводу
Отправить комментарий