Тут в одном закрытом клубе по ИБ зашла речь о регуляторах и их роли и это мне напомнило мои размышления о том, чем ФСТЭК, ФСБ и иже с ними вообще занимаются и насколько они помогают развиваться отрасли.
Для начала напомню основной принцип существования любого госоргана — запрещено все, что не разрешено явно (у бизнеса принцип противоположный — разрешено все, что явно не запрещено).
Поэтому, чтобы ответить на вопрос, в чем заключается цель функционирования наших ИБ-регуляторов, надо просто взглянуть в положения о них. Итак:
- ФСТЭК — осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
У меня сразу возник вопрос после прочтения этого абзаца. Если ФСТЭК только реализует государственную политику, то кто эту политику вырабатывает? Это прям вопрос вопросов.
- ФСБ — осуществляет государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, [органом] обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление.
- Минцифры — осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий (включая использование информационных технологий при формировании государственных информационных ресурсов и обеспечение доступа к ним), электросвязи (включая использование и конверсию радиочастотного спектра) и почтовой связи, массовых коммуникаций и средств массовой информации, в том числе электронных (включая развитие информационно-телекоммуникационной сети «Интернет», систем телевизионного (в том числе цифрового) вещания и радиовещания и новых технологий в этих областях), печати, издательской и полиграфической деятельности, выработке государственной политики по стимулированию спроса на отечественную радиоэлектронную продукцию гражданского назначения и программное обеспечение, а также государственной политики в сфере развития и поддержки российской электронной продукции и программного обеспечения, в том числе при реализации мер поддержки проектов разработки, внедрения и использования информационно-телекоммуникационных решений, обработки персональных данных, управления государственным имуществом и оказания государственных услуг в сфере информационных технологий, в том числе в части использования информационных технологий для формирования государственных информационных ресурсов и обеспечения доступа к ним, а также по выработке и реализации государственной политики в сфере литературной деятельности и сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию.
Очень много всего, но про ИБ ни слова; только про персональные данные. Хотя иногда кажется, что госполитику именно в этой сфере определяет Роскомнадзор, который часто противоречит тому, что говорит Минцифры с точки зрения ПДн.
- РКН — осуществляет функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
- Банк России — защита и обеспечение устойчивости рубля, развитие и укрепление банковской системы Российской Федерации, обеспечение стабильности и развитие национальной платежной системы, развитие финансового рынка Российской Федерации, обеспечение стабильности финансового рынка Российской Федерации.
ЦБ и Минцифры прямо за кибербез не отвечают, но явно считают, что эта тема неразрывно связана с их основной деятельностью.
В любом случае получается, что только Минцифры вырабатывает государственную политику в разных сферах, исключая ИБ. ФСТЭК госполитику только реализует, РКН только надзирает, а ФСБ управляет безопасностью. Только в целях ЦБ упоминается про развитие (но не ИБ, а финансовой системы и НПС).
И ни у кого из регуляторов нет в положениях о них слов «ответственность», «рост», «развитие» (кроме ЦБ) и т.п.
НИ У КОГО!!!
Вот и получается, что за развитие ИБ у нас не отвечает никто из регуляторов. За реализацию госполитики да, но я что-то не слышал, чтобы государство где-то ставило перед собой задачу развивать и нести ответственность. Регулировать, запрещать, наказывать, устанавливать требования, карать, отстаивать интересы государства… Но не развивать 🙁 И согласно основному правилу административного права, что запрещено все, что не разрешено явно, регуляторы и не могут заниматься развитием. А раз нет, тогда чего мы хотим от регуляторов? У них нет цели развития отрасли ИБ.
Интересы государства вообще странная штука. Они очень редко совпадают с интересами граждан, бизнеса и общества. Очень явно мы это наблюдаем в последние скоро уже два года. Иногда, очень редко, эти интересы пересекаются или временно совпадают, но это не норма.
Никого не собираюсь обвинять; просто размышления и констатация факта.
в ФЗ «О безопасности» в ст.4 определено, что гос.политику в области безопасности определяет Президент, а гос.органы ее реализуют. По всем видам безопасности есть Основы гос.политики, утв.Президентом. В них определяется компетенция различных гос.органов, кто за что отвечает и что делает. Этими Основами и руководствуются регуляторы в своей деятельности
Да, и там ни слова про развитие.
Ещё раз перечитал проект нового указа «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
Полагаю, можно было бы там отразить сей момент, но нет…
Увы