В начале этой недели я читал двухдневный курс по всему спектру законодательства ИБ — основы права, персданные, финансовые организации, КИИ, лицензирование, сертификация, ответственность, госорганы, надзор и т.п. Вообще я не очень люблю этот курс, так как два дня непрерывного погружения в законодательство, это скучно и нудно. Да и не очень очевидна целевая аудитория для этого курса, который затрагивает интересы разных отраслей. Разве, что для интеграторов и разработчиков это может быть полезно. Ну да не про это разговор. Не очень я люблю это свое детище, которое описывает всю нашу нормативку, от Доктрины ИБ до ведомственных приказов.
Последний раз я читал его в 2017-м году и сейчас, когда я его обновлял (то еще приключение) по прошествии двух лет, я сделал несколько интересных наблюдений, касающихся нормативного регулирования ИБ в России:
- Несмотря на то, что ФСТЭК провозгласила своим основным приоритетом защиту информации в госорганах, новых НПА для них почти и не появилось. Есть 17-й приказ и… и все. Куча остальных НПА (приказы 390, 149, 120, 104, 470, 221 и 190 Минкомсвязи, совместный приказ ФСТЭК и ФСБ, приказы Минэкономразвития и ФСО и т.п.) как были, так и остались и никто их не трогал, чтобы привести в соответствие (разве, что есть частные разъяснения Минкомсвязи по поводу своих приказов и их соотнесению с 17-м приказом ФСТЭК). Отчасти это хорошо — госам не надо отслеживать кучу новых и постоянно меняющихся нормативных актов, как тем же финансовым организациям.
- За два года сильно разрослась ветка регулирования безопасности критической информационной инфраструктуры. Но это и понятно — совершенно новое регулирование, требующее своей нормативной базы.
- Финансовая сфера оказалась самой зарегулированной. Чуть ли не половина курса (как минимум, его треть) посвящена нормативке Банка России — куча положений и указаний, ГОСТы, СТО и РС. Жалко «банкиров». Когда они успевают с реальными угрозами бороться непонятно 🙁
- По защите ПДн за два года тоже ничего не произошло, кроме косметических правок в 21-й приказ. Зато усиливается карающая сторона законодательства — законопроектов по штрафам появилось не меньше пяти и часть из них уже принята. А вот законопроекты по внесению изменений в ФЗ-152 как-то буксуют. Я уже молчу про «наш» законопроект «Гаттарова-Матвиенко», который мы писали лет пять назад и который должен был помочь разъяснить некоторые неочевидные конструкции законодательства о персональных данных.
- «Операторский» блок охарактеризовался уходом от направления ИБ в сторону суверенного Интернета — число нормативных актов по этой части в разы превышает число приказов Минкомсвязи именно по защите информации у операторов связи. Но это и понятно в современной геополитической ситуации.
- Интересно, что наши регуляторы активно нарушают правила принятия обязательных НПА. Я про это еще отдельно напишу в следующем году. Там есть интересные следствия, например, в части требований по сертификации средств защиты информации.
- Интересно смотреть было на презентации ФСТЭК, где из года в год указываются планы по выпуску различных требований к средствам защиты или методических документов (по защите информации в Wi-Fi, по защите информации на беспроводных устройствах, по ЦОДам и т.п.), но потом эти планы так и не воплощались в жизнь.
- Кстати, еще одна тенденция — «засекречивание» нормативных актов ФСТЭК и ФСБ. Но если от второго регулятора это видеть привычно (хотя закрытие многих документов НКЦКИ и выглядит странно), то ФСТЭК раньше была более открытой. При этом своей цели такое «засекречивание» не достигает, а вот удобства становится явно меньше.
- Наконец, интересная ситуация сложилась с ГОСТами по ИБ, которые продвигает Банк России, называя их обязательными к исполнению. Так вот это не так очевидно, как об этом говорит регулятор. Но об этом я тоже напишу отдельно в следующем году.
- Ужесточилась позиция регуляторов в отношении сертификации средств защиты информации, несмотря на отсутствие нормативных актов, которые бы к этому вели. Ни одного нового Указа, Федерального закона или Постановления Правительства в этой части принято не было, но почему-то отдельные регуляторы стали считать, что они могут требовать обязательной сертификации.
Вот таких десять наблюдений, которые характеризуют изменения нормативного поля ИБ за 2 с лишним последних года. Не буду давать им оценку, — это просто наблюдения. Но объем курса вырос на 250 слайдов и с трудом укладывается теперь в два дня по 8 часов 🙂
Спасибо за огромный труд !
Спасибо