План нормотворческой деятельности по ИБ на 2022-й год

Законотворчество Законодательство

Хоть бумажная безопасность и мешает специалистам заниматься настоящим делом, но нельзя сбрасывать со счетов эту сторону нашей профессии. Тем более, что регуляторов у нас немало и они постоянно «радуют» нас новыми или обновленными нормативными и нормативно-правовыми актами по кибербезопасности. Поэтому я посмотрел, что предлагают нам в этом году регуляторы, которые не постеснялись опубликовать свои нормотворческие планы на этот год, а таких было всего двое на данный момент, — ФСТЭК и Правительство. Увы, ФСБ традиционно закрыто от внешнего мира и не делится со своими подопечными планами, о которых мы узнаем в момент появления проекта нового или обновленного нормативного акта на соответствующем портале.

Банк России, видимо, еще готовит свой план. Обычно он у них достаточно объемный (в прошлом году он насчитывал 124 страницы) и утверждается ближе к концу января. Аналогичная ситуация и с Минцифры. План этого регулятора я жду особо, так как после прихода Шойтова А.М. в Министерство и начала активной работы нового руководителя Департамента кибербезопасности, Бенгина В.Н., этот регулятор стал активно влезать на поляну ИБ, которая раньше традиционно делилась между ФСТЭК и ФСБ. Но теперь, видимо, появился и третий игрок (ЦБ оставлю в стороне — у него все-таки более узкая сфера регулирования ИБ в масштабах всей экономики). Но про Минцифры и ЦБ я еще напишу, когда они опубликуют свои планы на год.

У ФСТЭК планов немного — 6 документов, касающихся вопросов лицензирования деятельности по разработке средств защиты и деятельности по ТЗКИ, а также внесение изменений в 17-й приказ ФСТЭК. Это не говорит ничего о реальном плане нормотворческой деятельности — скорее о том, за что ФСТЭК готова отвечать и под чем она подписалась. Кроме того, в такие планы обычно не включаются документы, не требующие регистрации в Минюсте, а также различные методические документы. Поэтому в плане ФСТЭК не упомянуты ни проект новой методики оценки угроз, которую обещали выпустить в 1-м квартале 2022-го года, ни иные документы, о которых говорил Виталий Сергеевич Лютиков в прошлом феврале. Возможно, на грядущей 16 февраля конференции ФСТЭК будет озвучена судьба этих планов (я, увы, не смогу посетить эту конференцию, так как буду в это время на легендарной «Магнитке», Уральском форуме по ИБ финансовых организаций).

Правительство, несмотря на достаточно инновационные планы по регулированию беспилотного транспорта, доменов для госорганов, дистанционному проведению судебных заседаний, досудебному блокированию сайтов, торгующих медицинскими справками и сертификатами, и т.п., не уделило особого внимания ни теме информационной безопасности, ни теме критической инфраструктуры, ни даже теме цифровой экономики. Из 127 законопроектов, которые планирует подготовить Правительство и внести в Госдуму, нашей с вами сфера хоть как-то касается два и то вскользь, а именно:

  • ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — в части установления административной ответственности за несоблюдение минимальной обязательной доли закупок российских товаров отдельных видов и минимальной доли закупок товаров российского происхождения. В Госдуму будут вносить в сентябре 2022 года.
  • ФЗ «О внесении изменений в Федеральный закон «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» и отдельные законодательные акты Российской Федерации» — в части расширения перечня сделок, иных действий, подлежащих согласованию. В Госдуму будут вносить в октябре 2022 года. Сразу отвечая на незаданный вопрос, а причем тут ИБ, скажу, что любая компания, имеющая лицензию ФСБ на деятельности в области шифрования, является предприятием, имеющим стратегическое значение для обеспечения обороны страны и безопасности государства, и определенные действия, в том числе и связанные с инвестициями, сменой собственников и т.п. должны согласовываться с ФАС, а также с ФСБ. Достаточно вспомнить историю с Королевским банком Шотландии (это российский банк, если что), который столкнулся со сложностями из-за этого закона.

Остается думать, что будут и какие-то Постановления Правительства по нашей тематике, которые в план законотворческой деятельности не включены, потому что не законы. Но в целом выглядит это, мягко говоря, бледновато. У нас достаточно много задач в ИБ, которые требуют урегулирования на уровне законодательства, но им не нашлось места в повестке дня основных регуляторов. Жаль…

А у вас есть темы, которые, как вы считаете, требуют дополнительного регулирования (не обязательно ужесточения или ограничения)?

У вас, наверное, возник вопрос, а что делает фотография шишки конопли в данной заметке? Когда я искал картинки для нее, то на одном из сайтов с бесплатными фотографиями, по слову «законодательство» была выдана именно эта картинка и она, если вдуматься, в целом отражает как планы регуляторов, так и качество подготавливаемых ими документов.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Виталий

    Думаю не было необходимости в оправдании или расшифровке КДПВ)) доля здоровой иронии это всегда хорошо.

    Ответить
    1. Алексей Лукацкий автор

      Ну сайт-то иностранный был, они не очень любят шутить с законодательством 🙂 Допускаю, что это связано было с обсуждением законодательства о легализации марихуаны в отдельных штатах США

      Ответить
  2. Сергей

    Да у нас наверное вся государственная отечественная нормативка требует дополнительного регулирования, уточнения, синхронизации, переработки. Начиная с бородатых классификаций, допотопных документов по криптографии и прошловековых понятий по сертификации, и заканчивая ФЗ152 и прочими. До сих пор нервно хихикаю от мысли, что ТК РФ своей статьей 88 убил до рождения изыски ФЗ152 в плане передачи ПДн.

    Ответить
    1. Алексей Лукацкий автор

      Требует, но никто не готов это изменять. Попытки были, но все безуспешно. Все костыли приделывают, ухудшая только ситуацию

      Ответить