Обычно крупные заметки по разным темам я стараюсь разделить на несколько, но эту решил опубликовать так, как есть.
С вниманием власти к ИБ у нас все хорошо, реализация задуманного хромает.
Нельзя сказать, что российская власть не занимается вопросами ИБ, или игнорирует ИТ, не понимая их важность. Хромает у нас лишь реализация задуманного, а с вниманием к теме у нас все хорошо. Принимаются поправки в Уголовный кодекс, разрабатываются новые постановление о лицензированию деятельности по разработке СЗИ по линии ФСТЭК, Минэкономразвития разрабатывает постановление о лицензировании в области шифрования, Путин распорядился определить ФСБ национальным координирующим органом в сфере обеспечения ИБ в рамках ОДКБ, Минсвязи назначено уполномоченным органом в сфере использования электронной подписи … Одним словом с вниманием власти к ИБ у нас все хорошо!
Но есть проблема. Силовые ведомства в России не меняются под изменяющуюся жизнь и практически любой нормативный акт по ИБ, прошедший силовиков не работает. Более того, силовики, по каким-то своим причинам, не желают привлекать сторонних экспертов. Судьба письма Президенту, которую описал Алексей Лукацкий, это явно показывает. «Лучше сделать плохой документ самим, чем хороший с привлечением кого-то» – это позиция наших силовиков. Печально, коллеги, но это факт.
К чему я веду? Регуляторы – наша системная проблема! Специалисты скажут – баян, сколько можно об этом говорить?… Сколько можно, столько и нужно! Руководство регуляторов должно понять, что не будет весь мир и здравый смысл подстраиваться под их представление об этом мире.
Интересно то, что первые лица государства очевидно понимают, что регуляторы создают проблемы, однако упорно продолжают проводить через них все нормативные документы. И поправки в закон о ПДн – самый лучший тому пример.
Ситуация с персональными данными
Пользуясь моментом, чтобы не выносить в отдельный пост, сообщаю, что из 2-х источников появилась информация о состоянии дел с подготовкой Постановлений Правительства по ПДн:
• «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
• «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных».
Никаких позитивных изменений там не будет. Ситуация с уровнями защиты только усложнит существующую модель с классами, а требования к защите будут включать ПЭМИН. Короче, как увидим результат будем смеяться и плакать одновременно.
Власть считает, что перемены в ИБ нужны. Но понимает ли какие?
Медведев за последние несколько недель дважды поднимал вопрос регулирования ИБ:
1) Совсем недавно по интернету прошла волна о начале разработки «национального фаервола». Суть новости в том, что Медведев предложил Касперской сформулировать предложения по защите детей от нежелательного контента в интернете. На встрече Медведев и Путин разошлись во мнениях, кто должен заниматься этой работой. Путин предложил поручить работу Совету безопасности (в нашем случае, читай ФСБ), а вот Медведев сказал: «Я не уверен, что эта задача для Совета безопасности, потому что там нет специалистов… это лучше сделать все-таки на другой площадке».
Также Медведев сказал, что правоохранительные органы, которые занимаются проблематикой нежелательного контента, делают это «не слишком удачно».
Ну и в заключение Медведев добавил: «Без вас (Касперская)… напишут такую ересь, что после этого вы сами придете ко мне и скажете: Вы хотите сделать у нас китайский интернет?»
2) И вот, не далее как в пятницу, Медведев подписал перечень поручений по итогам заседания Международного консультативного совета по созданию и развитию международного финансового центра в РФ. Среди поручений Правительству указано:
рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации и представить соответствующие предложения.
Срок – 1 марта 2012 г.
Ответственный: Путин В.В.
2. Правительству Российской Федерации совместно с Банком России:
а) представить предложения
по внесению изменений в законодательство Российской Федерации о ценных бумагах в целях установления для резидентов Российской Федерации возможности самостоятельно выпускать долговые ценные бумаги, обращающиеся на внешнем рынке.
Срок – 1 марта 2012 г.;
Жажда создания в Москве международного финансового центра подталкивает власти рассматривать возможности перемен в области ИБ. Если вопрос криптографии носит статус «священной коровы», то вопрос «о признании международных стандартов в области защиты информации» кажется очень перспективным.
Не смотря на то, что последние годы я занимался продвижением СТО БР ИББС и считаю его самым удачным стандартом по ИБ в России, тем не менее, РФ нужно принимать западные стандарты по ИБ «в полный рост» и без всяких «НО». И причина тут не технологическая, а экономическая. Для вхождения в мировое экономическое пространство мы не можем изобретать велосипеды , нам нужно принимать существующие правила игры и работать по ним. Центральные банки Казахстана и Украины не желают принимать наш СТО БР, для них он избыточен. Они склоняются к ISO 27-й серии, что вполне понятно. Другими словами, о какой Евразийской интеграции или о Таможенном союзе мы можем говорить, когда мы даже стандарты с нашими партнерами согласовать не можем?
В качестве эксперимента я показал знакомому безопаснику из казахского банка письмо АРБ по поводу новой редакции 152-ФЗ. Он сказал, что ничего не понял 
. К слову, хороший обзор письма уже сделал Игорь Бурцев, всем банковским безопасникам желательно с ним ознакомиться.
Кто теперь наша власть и куда мы идем?
Все знают имя следующего президента, его прошлое и настоящее, осталось спрогнозировать будущее. Помня позицию Путина по поводу площадки для разработки «национального фаервола», держа в голове прямое подчинение ФСБ Президенту РФ и вспоминая отсутствие положительных сдвигов в области ИБ при президентстве «либерального» Медведева, я делаю вывод…
А какой вывод делаете вы?
Другие записи
Автор: Царев Евгений
| Метки: ISO 27001, Банки, безопасность персональных данных, За рубежом, Заблуждения, Законодательство, защита персональных данных, Информационная безопасность, ИСПДн, Коллеги, Консультация, Криптография, Лицензирование, Новость, обработка персональных данных, поправки в закон, ПЭМИН, СЗИ, СТО БР ИББС, Требования, угрозы безопасности, ФСБ, ФСТЭК
Как показывает практика, прогнозы в предновогодних постах имеют свойство сбываться, впору задуматься, что в жизни есть две беды: не получить того, чего хочешь и получить то, что хочешь 
Последние комментарии