Последний и, пожалуй, самый запоминающийся итог для меня — это открытось регуляторов для диалога. Про это я уже писал не раз. Наверное, вот этот мой пост полностью отражает мой взгляд на ситуацию и переписывать его еще и тут смысла не вижу. Хочу только привести факты:
- Первый позитивный опыт общения с регуляторами был еще в 2009-м году, когда ЦБ под эгидой АРБ собрал экспертную группу для работы над 4-й (текущей) версией СТО БР ИББС в части регулирования вопросов защиты прав субъектов ПДн и защиты самих ПДн. Потом был опыт работы с ЦБ в части разработки 382-П. И сейчас ЦБ не прекращает эту деятельность, привлекая внешних экспертов для разработки и экспертизы тех или иных нормативных актов, включая СТО БР ИББС и т.д.
- Другой позитивный опыт общения с регуляторами зафиксирован с Роскомнадзором. Именно в результате такого общения Роскомнадзор выпустил разъяснение по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. И это только первый шаг, за которым, я надеюсь, последуют и другие.
- Про взаимодействие с ФСТЭК я писал неоднократно и с точки зрения открытости они сейчас, наверное, находятся на первом месте, обойдя даже Банк России по этому показателю. Выложенные на сайте документы, приглашение присылать свои замечания и предложения (особенно предложения, а не огульную критику «все плохо — переделать»), учет полученных предложений, выкладывание результатов рассмотрения каждого полученного предложения… Просто отлично на мой взгляд. Разумеется, сделать процесс более автоматизированным было бы неплохо — какую-нибудь платформу краудсорсинга замутить или формализовать процедуру общения с экспертным сообществом. Но с чего-то надо начинать.
Отдельно хочется отметить инициативу Совета Федерации по разработке Стратегии кибербезопасности (рабочее название), к работе над которой привлекли экспертов и даже открыто пригласили всех желающих высказать свою позицию на прошедшем недавно заседании в Совете Федерации. Не знаю, что выйдет из этой инициативы — пока сложно предсказывать. К законодательным органам у меня отношение настороженное и пока все инициативы привлечения общественности (по нашим вопросам) ни к чему не привели.
Ну и совсем отдельно хочется сказать про ФСБ. Контакт с ним тоже некоторый есть. Да, они готовы выслушать замечания. Да, они готовы ответить, что из замечаний принято, а что нет и почему (обычно по причине нецелесообразности по их мнению). Но иногда мне кажется, что это все некоторая игра по общепринятым правилам и не более. Ну вот принято создавать Общественные и Консультативные советы и спрашивать у общества мнения. Вот ФСБ и спрашивает. Но спрашивает так, как умеет. А потом все делает по своему. Учитывая роль и влияние данного регулятора они могут пока плевать на мнение экспертного сообщества, на мнение бизнеса, на мировую практику — они считают себя умнее всех. И в этом проблема, для которой я пока не вижу решения.
Отдельно хочется отметить реакцию сообщества на открытость регуляторов. Ох, непривыкли у нас эксперты к такой открытости. В заметке для DLP-Эксперта я написал, что проект приказа ФСТЭК по персданным — это первый опыт привлечения экспертов к работе над документом. Нет, это не так, я ошибся. Первый опыт был еще в сентябре, когда ФСТЭК через RISSPA пригласила всех поучаствовать в работе над глоссарием терминов по облакам и облачной безопасности. Потом был проект «нового СТР-К» и вслед за ним проект приказа по защите ПДн. Это уже не совпадение, это скорее тенденция. И если сообщество хочет жить в красивом ИБ-мире, который каждый себе рисует сам, то пора слезть с дивана и поучаствовать не просто в критике, а в конструктивной работе над тем, что предлагают регуляторы. Надо быть более активными или даже проактивными.
И если работа пойдет и число экспертов, которые начнут писать в ФСТЭК свои предложения, перевалит хотя бы за 2-3 десятка, то я склонен согласиться с Евгением Родыгиным, что надо каким-то образом привлекать профессиональные сообщества для взаимодействия с регуляторами. Экспертные, общественные, консультативные советы при ФСТЭК или ФСБ — это хорошо, но этого недостаточно. Профессиональные объединения (RISSPA, DLP-Эксперт, АБИСС, не к ночи упомянутая АРСИБ, АДЭ, РАЭК, НП НПС) должны стать связующим звеном или площадками, к которым обращаются регуляторы, и на которых затем обкатываются ответы регуляторам, чтобы последние не сталкивались с десятками или сотнями частных предложений. Это позволить формализовать и пустить в нужное русло процедуру экспертного обсуждения всех новых нормативных актов в области информационной безопасности.
Этот комментарий был удален администратором блога.