"Зато Крым наш" - стратегия нормотворчества в области ИБ в стране

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(6)
()
Опубликовано в:
У меня есть некоторый фетиш - я люблю изучать отечественные учебники по правовому обеспечению ИБ и законодательным основам защиты информации. Меня всегда удивляло, почему авторы начинают рассмотрение не с Конституции, не с основ права, а сразу с закона о лицензировании, трехглавого закона, постановления о сертификации и переходят к документам ФСТЭК, даже не вдумываясь в законность их принятия и применения. Но события последнего месяца-полутора меня привели к мысли, что может быть это и неплохо, т.к. Россия - страна уникальная и у нас в принципе никто не следует хоть какой-нибудь логике при принятии нормативно-правовых актов.

Достаточно вспомнить закон об отмене зимнего времени, который спустя не очень продолжительное время вернули обратно. Те же депутаты, противореча самим себе, принимаю прямо противоположное решение и их это не смущает. Те же самые депутаты сначала запрещают рекламу пива, а потом разрешают ее. Те же депутаты сначала запрещают курение в общественных местах, а потом разрешают его на летних верандах. Те же депутаты сначала отменяют уголовку по клевете, а потом вновь ее вводят. Но вернемся к нашей теме.

Вспомним недавний законопроект Минкомсвязи "О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений". Если по-крупному, то он говорил примерно следующее - облака для госорганов могут быть только российскими, а для коммерческих компаний облака могут быть какие угодно; даже иностранные. И вот спустя полтора месяца, подведомственная Минкомсвязи служба в лице Роскомнадзора инициирует прямо противоположный законопроект о запрете хранения ПДн россиян за границей. Иными словами данный законопроект закрывает абсолютное большинство облачных проектов, использующих западные площадки... за исключением... исключением госорганов, которые попали почему-то в исключение. Т.е. по одному законопроекту госы не могут передавать любые, включая и ПДн, данные за пределы РФ, а по другому - можно. При этом законопроекты разрабатываются с разницей в месяц с небольшим двумя связанными структурами - Министерством и подчиненной ему службой. Но если министерство идет по традиционному пути и размещает свой законопроект на портале regulations.gov.ru с целью проведения общественной экспертизы, то Роскомнадзор, заручившись поддержкой Администрации Президента, вносит свой законопроект через депутатов сразу в Госдуму, минуя все общественные экспертизы. И если законопроект третьего человека в стране (председателя верхней палаты парламента - госпожи Матвиенко), внесенный в декабре 2013 года, до сих пор даже на первое чтение не был вынесен, то законопроект Роскомнадзора за неделю с момента внесения очень уж быстро пролетел этот этап. Скажу больше. Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно? Я уже не буду вспоминать про законопроект "О безопасности критической информационной инфраструктуры", в котором даже термин КИИ менялся неоднократно за непродолжительное время...

Про отсутствие здравого смысла у инициаторов некоторых законопроектов я и вовсе не говорю. Про то, что законопроект по запрету хранения ПДн россиян за пределами РФ направлен против иностранных социальных сетей, понимают все. Но почему из-за должны страдать все граждане России, которые теперь не смогут заказать авиабилеты, гостиницы, пройти обучение или лечение, купить что-нибудь в Интернет-магазине?.. Почему ради сиюминутной выгоды по вставлению пистона Twitter'у должны страдать все остальные, включая и самих чиновников?.. Почему из-за неспособности бороться с детской порнографией (а уж законов по этой теме напринимали) депутат Мизулина решает наплевать на право на свободу доступа к информации и ввести порнофильтр в обязательном порядке для всех нескольких десятков миллионов граждан России? Почему она не может понять, что даже в случае принятия такого закона через месяц 40 миллионов россиян принесут операторам связи заявление на отключение порно-фильтров и благая идея защитить детей опять обернется пшиком?

Почему вместо того, чтобы Роскомнадзору заниматься своим прямым делом по защите прав субъектов ПДн, он переориентировался на гнобление операторов? Почему в большинстве европейских стран уполномоченный орган помогает операторам ПДн, а у нас карает? Почему во всем мире идут в сторону снижения жесткости обязательных защитных мер в сторону введения требований по уведомлению об утечках ПДн, защите от нанесения реального ущерба субъекту и введения ответственности за неуведомление и нанесение реального ущерба, а у нас РКН всеми правдами и неправдами выступает категорически против обязательного уведомления об утечках, ссылаясь на нехватку кадров? А ведь именно это реально может защитить субъектов и поднять ответственность операторов ПДн, т.е. именно то, чем и должен заниматься РКН. Почему на ведение "черных списков", блокирование Интернет-ресурсов, подсчет кликов и блогеров у РКН находятся ресурсы, а на защиту граждан нет? Где логика?

Как можно трезво оценивать то, что сейчас творят субъекты законодательной инициативы и приближенные к ним лица? Ведь у нас отсутствует единая стратегия законодательного развития отрасли ИТ и ИБ. На отчеты Минюста о правоприменительной практики все плюют и делают то, что хотят. Не то, что надо, а то, что хотят, мало с кем согласуя свои действия. Поэтому и получается у нас то "лебедь, рак и щука", то "лебедь раком щуку", то иные комбинации этих трех слов. Делать прогнозы в области законотворчества становится нереально. Даже на уровне 50 на 50 нет гарантии, что ты попадешь в правильный сектор.

Вот есть люди-флюгеры, которые мечутся то туда, то сюда и постоянно пытаются подстроиться под текущий момент или лавируя между мнениями, желая угодить и нашим и вашим. А есть целые отрасли, которые "управляются" такими людьми, которые по десять раз на дню меняют свое решение и нет у них стержня и долгосрочной (или хотя бы среднесрочной) стратегии развития. И как можно выстраивать хоть какие-то длительные отношения в такой ситуации? Никак. И тут неприменимы даже методы agile-разработки, о которых я уже писал применительно к ИБ. Даже с ними существует общее понимание конечной цели. Она может немного видоизменяться, но общее направление все равно понятно. Сейчас в России даже общего направления нет. Еще несколько месяцев назад мы жили в мире и дружбе со всем ИТ-миром. Сегодня Россией движет лозунг "Зато Крым наш". Завтра будет "А после нас хоть трава не расти". Потом "Вернем Аляску и Форт-Росс". Потом "русский и китаец - братья навек". Потом... Да мало ли что может быть потом. Как посмотрит Папа с большого экрана, как интерпретируют движение его бровей в Администрации, как донесут это до законодателей или исполнителей... Столько возможных ветвлений...

Какая-то длинная и слишком эмоциональная заметка получилась. Но по-другому никак. Все-таки это то, с чем нам приходится жить и работать. И придется подстраиваться именно под такое развитие событий, совершенно непредсказуемое и сложно прогнозируемое. А ИБ-отрасль как-то еще и развивается. Но не благодаря, а вопреки. Зато интересно :-)

Оцените материал:
Total votes: 293
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Алексей, а Вы только сейчас всё это поняли?
Если нет, то почему Вы не поддерживали меня, когда я об этом писал, а выступали всегда оппонентом?
Представляете, что было бы, если бы Вы ещё тогда, когда я только начинал критиковать законодательство в сфере ИБ/ЗИ, меня поддержали, а не выступали против? Мы бы «в два раза больше сена для нашей коровки могли заготовить», а может быть и гораздо больше и гораздо более полезных дел совершить!? А сейчас, наверное, «паровоз уже уехал» и «поздно пить «Боржоми», когда почки уже развалились». Остаётся «расслабиться и получать удовольствие» … Кто может …

up
14 users have voted.
Аватар пользователя Атаманов Геннадий

Да, забыл: 152-ФЗ должен быть отменен!

up
11 users have voted.
Аватар пользователя alukatsk

Я, я и сейчас не поддерживаю вашу точку зрения и считаю ее неверной

up
40 users have voted.
Аватар пользователя Атаманов Геннадий

Странно. Но пишите-то Вы сейчас именно то, что я писал ещё три года назад. Местами даже слова те же (мнение не моё, коллеги так считают). Ну, да ладно. Результат всё равно уже известен. В последнем чтении. Посему дебаты бесполезны. А 152-ФЗ всё равно рано или поздно будет отменён.

up
13 users have voted.
Аватар пользователя alukatsk

Геннадий, я вновь повторю свою мысль, которую я высказывал уже многократно. Между нами колоссальная разница. Вы критикуете и требуете все отменить. А я критикую и предлагаю конкретные правки в конкретный текст. И что касается данного законопроекта уже есть вполне конкретные правки и понимание, как их внести. И субъекты, имеющие право законодательной инициативы, тоже есть и они готовы вносить эти правки. Так что еще ничего не известно. До 01.09.2016 еще больше двух лет.

up
14 users have voted.
Аватар пользователя Атаманов Геннадий

И я с такой же настойчивостью повторяю: если закон, который даже ещё не начал работать, требует корректировки - это плохой закон. С такой скоростью можно вносить корректировки в законопроект, но не в закон. А мы имеем законы, в которые нужно вносить корректировки с момента их выхода!?
Кстати, раскрою небольшую тайну: тезис о том, что я только критикую, создан мной специально. Это тест. Кто прочитал мои замечания хотя бы до половины, знает, что это не так. Там полно предложений конкретных и внятных. Но только там, где предложения уместны и возможна корректировка. А где корректировка бесполезна, зачем толочь воду в ступе? 
И разница между нами действительно колоссальная. Я это понимаю: Вы работаете по форме и здесь-и-сейчас, я - думаю о содержании и перспективе. Песок, как его не заворачивай, какую обёртку не придумывай, будет оставаться песком до тех пор, пока туда не добавят цемента (в закон – логики) и воды (в закон – здравого смысла) и всё это не перемешают. А песок к песку – песок. По-научному – суммативная система. А нужен синтез текста, науки и здравого смысла. 

up
14 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.