Достаточно вспомнить закон об отмене зимнего времени, который спустя не очень продолжительное время вернули обратно. Те же депутаты, противореча самим себе, принимаю прямо противоположное решение и их это не смущает. Те же самые депутаты сначала запрещают рекламу пива, а потом разрешают ее. Те же депутаты сначала запрещают курение в общественных местах, а потом разрешают его на летних верандах. Те же депутаты сначала отменяют уголовку по клевете, а потом вновь ее вводят. Но вернемся к нашей теме.
Вспомним недавний законопроект Минкомсвязи «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений». Если по-крупному, то он говорил примерно следующее — облака для госорганов могут быть только российскими, а для коммерческих компаний облака могут быть какие угодно; даже иностранные. И вот спустя полтора месяца, подведомственная Минкомсвязи служба в лице Роскомнадзора инициирует прямо противоположный законопроект о запрете хранения ПДн россиян за границей. Иными словами данный законопроект закрывает абсолютное большинство облачных проектов, использующих западные площадки… за исключением… исключением госорганов, которые попали почему-то в исключение. Т.е. по одному законопроекту госы не могут передавать любые, включая и ПДн, данные за пределы РФ, а по другому — можно. При этом законопроекты разрабатываются с разницей в месяц с небольшим двумя связанными структурами — Министерством и подчиненной ему службой. Но если министерство идет по традиционному пути и размещает свой законопроект на портале regulations.gov.ru с целью проведения общественной экспертизы, то Роскомнадзор, заручившись поддержкой Администрации Президента, вносит свой законопроект через депутатов сразу в Госдуму, минуя все общественные экспертизы. И если законопроект третьего человека в стране (председателя верхней палаты парламента — госпожи Матвиенко), внесенный в декабре 2013 года, до сих пор даже на первое чтение не был вынесен, то законопроект Роскомнадзора за неделю с момента внесения очень уж быстро пролетел этот этап. Скажу больше. Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно? Я уже не буду вспоминать про законопроект «О безопасности критической информационной инфраструктуры», в котором даже термин КИИ менялся неоднократно за непродолжительное время…
Про отсутствие здравого смысла у инициаторов некоторых законопроектов я и вовсе не говорю. Про то, что законопроект по запрету хранения ПДн россиян за пределами РФ направлен против иностранных социальных сетей, понимают все. Но почему из-за должны страдать все граждане России, которые теперь не смогут заказать авиабилеты, гостиницы, пройти обучение или лечение, купить что-нибудь в Интернет-магазине?.. Почему ради сиюминутной выгоды по вставлению пистона Twitter’у должны страдать все остальные, включая и самих чиновников?.. Почему из-за неспособности бороться с детской порнографией (а уж законов по этой теме напринимали) депутат Мизулина решает наплевать на право на свободу доступа к информации и ввести порнофильтр в обязательном порядке для всех нескольких десятков миллионов граждан России? Почему она не может понять, что даже в случае принятия такого закона через месяц 40 миллионов россиян принесут операторам связи заявление на отключение порно-фильтров и благая идея защитить детей опять обернется пшиком?
Почему вместо того, чтобы Роскомнадзору заниматься своим прямым делом по защите прав субъектов ПДн, он переориентировался на гнобление операторов? Почему в большинстве европейских стран уполномоченный орган помогает операторам ПДн, а у нас карает? Почему во всем мире идут в сторону снижения жесткости обязательных защитных мер в сторону введения требований по уведомлению об утечках ПДн, защите от нанесения реального ущерба субъекту и введения ответственности за неуведомление и нанесение реального ущерба, а у нас РКН всеми правдами и неправдами выступает категорически против обязательного уведомления об утечках, ссылаясь на нехватку кадров? А ведь именно это реально может защитить субъектов и поднять ответственность операторов ПДн, т.е. именно то, чем и должен заниматься РКН. Почему на ведение «черных списков», блокирование Интернет-ресурсов, подсчет кликов и блогеров у РКН находятся ресурсы, а на защиту граждан нет? Где логика?
Как можно трезво оценивать то, что сейчас творят субъекты законодательной инициативы и приближенные к ним лица? Ведь у нас отсутствует единая стратегия законодательного развития отрасли ИТ и ИБ. На отчеты Минюста о правоприменительной практики все плюют и делают то, что хотят. Не то, что надо, а то, что хотят, мало с кем согласуя свои действия. Поэтому и получается у нас то «лебедь, рак и щука», то «лебедь раком щуку», то иные комбинации этих трех слов. Делать прогнозы в области законотворчества становится нереально. Даже на уровне 50 на 50 нет гарантии, что ты попадешь в правильный сектор.
Вот есть люди-флюгеры, которые мечутся то туда, то сюда и постоянно пытаются подстроиться под текущий момент или лавируя между мнениями, желая угодить и нашим и вашим. А есть целые отрасли, которые «управляются» такими людьми, которые по десять раз на дню меняют свое решение и нет у них стержня и долгосрочной (или хотя бы среднесрочной) стратегии развития. И как можно выстраивать хоть какие-то длительные отношения в такой ситуации? Никак. И тут неприменимы даже методы agile-разработки, о которых я уже писал применительно к ИБ. Даже с ними существует общее понимание конечной цели. Она может немного видоизменяться, но общее направление все равно понятно. Сейчас в России даже общего направления нет. Еще несколько месяцев назад мы жили в мире и дружбе со всем ИТ-миром. Сегодня Россией движет лозунг «Зато Крым наш». Завтра будет «А после нас хоть трава не расти». Потом «Вернем Аляску и Форт-Росс». Потом «русский и китаец — братья навек». Потом… Да мало ли что может быть потом. Как посмотрит Папа с большого экрана, как интерпретируют движение его бровей в Администрации, как донесут это до законодателей или исполнителей… Столько возможных ветвлений…
Какая-то длинная и слишком эмоциональная заметка получилась. Но по-другому никак. Все-таки это то, с чем нам приходится жить и работать. И придется подстраиваться именно под такое развитие событий, совершенно непредсказуемое и сложно прогнозируемое. А ИБ-отрасль как-то еще и развивается. Но не благодаря, а вопреки. Зато интересно 🙂
Сейчас "важнее" национальную идею проработать, а не какое-то сомнительное ИБ развивать 🙂
Мы страна восточной культуры, но правят нами не "мудрецы", а всенародно и демократично избранные. Тут какое-то противоречие, которое со времен Петра I разрешить не удается.
ЗЫ. Вообще мои ощущения полностью совпадают с твоими, но я смотрю на них философски 🙂
ЗЗЫ. Извини, что камент не профессиональный, не про ИБ
Ну, уж как-то пессимистично…
Не одни мы такие, а сколько абсурдных законов у других? Конечно, квалификация наших законотворцев мягко говоря, "не очень", а что, другие лучше? Попробуйте-ка выполните стандарт ЦБ по безопасности в маленьком банке, где всего один-два безопасника или их нет вовсе.
А насчет "людей-флюгеров" не согласен: это только законченные идиоты стоят на своем даже если они не правы. да, вначале думали, что зимнее время — хорошо, оказалось, что не очень. И что? надо было стоять на своем?
Думаю, что проблема тут в отсутствии "обратной связи". Если бы наши депутаты знали что за такие "законы" их вышибут из Госдумы, то качество законов существенно бы повысилось.
А вообще, тут много можно говорить…
"Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно?"
Алексей, бешеному принтеру можно все! И кстати стоит поправить заметочку, оно не просто выложено в третьем чтении, оно уже принято…
В чем соглашусь с Алексеем, что в РФ сиюминутные хотелки определяют все нормотворчество в целом. И проблема здесь не в отсутствии обратной связи, а в том, что глубокий системный анализ и стратегическое видение не в почете.
Вопрос в том, что будет, когда критическая масса противоречащих друг другу законов и подзаконных актов будет набрана. Правовой тупик?
Алексей, а где "запрет хранения ПДн россиян за границей", трансграничную передачу никто же не отменил? Я вижу только "обязательное дублирование в РФ для надзорных и правоохранительных нужд" — ну т.е. "если АНБ смотрит, то чем мы хуже".
А зачем мне передача без хранения?
>А зачем мне передача без хранения?
Храните на здоровье, только копии отгружайте в депозитарий, который будет исправно на запросы отвечать.
А что вы хотите от ГосДумы? Там небось вообще в этой теме никто не разбирается.