Какой регулятор отвечает за развитие ИБ в России?

Законодательство

Тут в одном закрытом клубе по ИБ зашла речь о регуляторах и их роли и это мне напомнило мои размышления о том, чем ФСТЭК, ФСБ и иже с ними вообще занимаются и насколько они помогают развиваться отрасли.

Для начала напомню основной принцип существования любого госоргана — запрещено все, что не разрешено явно (у бизнеса принцип противоположный — разрешено все, что явно не запрещено).

Поэтому, чтобы ответить на вопрос, в чем заключается цель функционирования наших ИБ-регуляторов, надо просто взглянуть в положения о них. Итак:

  1. ФСТЭК — осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

    У меня сразу возник вопрос после прочтения этого абзаца. Если ФСТЭК только реализует государственную политику, то кто эту политику вырабатывает? Это прям вопрос вопросов.

  2. ФСБ — осуществляет государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, [органом] обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление.
  3. Минцифры — осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий (включая использование информационных технологий при формировании государственных информационных ресурсов и обеспечение доступа к ним), электросвязи (включая использование и конверсию радиочастотного спектра) и почтовой связи, массовых коммуникаций и средств массовой информации, в том числе электронных (включая развитие информационно-телекоммуникационной сети «Интернет», систем телевизионного (в том числе цифрового) вещания и радиовещания и новых технологий в этих областях), печати, издательской и полиграфической деятельности, выработке государственной политики по стимулированию спроса на отечественную радиоэлектронную продукцию гражданского назначения и программное обеспечение, а также государственной политики в сфере развития и поддержки российской электронной продукции и программного обеспечения, в том числе при реализации мер поддержки проектов разработки, внедрения и использования информационно-телекоммуникационных решений, обработки персональных данных, управления государственным имуществом и оказания государственных услуг в сфере информационных технологий, в том числе в части использования информационных технологий для формирования государственных информационных ресурсов и обеспечения доступа к ним, а также по выработке и реализации государственной политики в сфере литературной деятельности и сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию.

    Очень много всего, но про ИБ ни слова; только про персональные данные. Хотя иногда кажется, что госполитику именно в этой сфере определяет Роскомнадзор, который часто противоречит тому, что говорит Минцифры с точки зрения ПДн.

  4. РКН — осуществляет функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
  5. Банк России — защита и обеспечение устойчивости рубля, развитие и укрепление банковской системы Российской Федерации, обеспечение стабильности и развитие национальной платежной системы, развитие финансового рынка Российской Федерации, обеспечение стабильности финансового рынка Российской Федерации.

ЦБ и Минцифры прямо за кибербез не отвечают, но явно считают, что эта тема неразрывно связана с их основной деятельностью.

В любом случае получается, что только Минцифры вырабатывает государственную политику в разных сферах, исключая ИБ. ФСТЭК госполитику только реализует, РКН только надзирает, а ФСБ управляет безопасностью. Только в целях ЦБ упоминается про развитие (но не ИБ, а финансовой системы и НПС).

И ни у кого из регуляторов нет в положениях о них слов «ответственность», «рост», «развитие» (кроме ЦБ) и т.п.
НИ У КОГО!!!

Вот и получается, что за развитие ИБ у нас не отвечает никто из регуляторов. За реализацию госполитики да, но я что-то не слышал, чтобы государство где-то ставило перед собой задачу развивать и нести ответственность. Регулировать, запрещать, наказывать, устанавливать требования, карать, отстаивать интересы государства… Но не развивать 🙁 И согласно основному правилу административного права, что запрещено все, что не разрешено явно, регуляторы и не могут заниматься развитием. А раз нет, тогда чего мы хотим от регуляторов? У них нет цели развития отрасли ИБ.

Интересы государства вообще странная штука. Они очень редко совпадают с интересами граждан, бизнеса и общества. Очень явно мы это наблюдаем в последние скоро уже два года. Иногда, очень редко, эти интересы пересекаются или временно совпадают, но это не норма.

Никого не собираюсь обвинять; просто размышления и констатация факта.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Василий

    в ФЗ «О безопасности» в ст.4 определено, что гос.политику в области безопасности определяет Президент, а гос.органы ее реализуют. По всем видам безопасности есть Основы гос.политики, утв.Президентом. В них определяется компетенция различных гос.органов, кто за что отвечает и что делает. Этими Основами и руководствуются регуляторы в своей деятельности

    Ответить
    1. Алексей Лукацкий автор

      Да, и там ни слова про развитие.

      Ответить
  2. Сергей

    Ещё раз перечитал проект нового указа «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
    Полагаю, можно было бы там отразить сей момент, но нет…

    Ответить
    1. Алексей Лукацкий автор

      Увы

      Ответить