Security Lab

Обо мне, критике и регуляторах

Обо мне, критике и регуляторах
За последнее время многие отметили, что моя риторика в отношении регуляторов поменялась. Кто-то говорит, что я стал их хвалить, кто-то - что перестал их ругать. Пора объясниться, как говорится ;-)

Давайте вспомним, как у нас происходило взаимодействие с регуляторами последние годы. С ходу и не припомнится. Можно сказать никак. Ну иногда находило на регуляторов (точнее на одного из них, на ФСТЭК) озарение и собрав у себя лицензиатов, собирали от них мнение, куда и как развиваться. Учитывая, что многие регуляторы живут еще в середине 90-х годов, эффекта от такого общения было немного, но все-таки... И поэтому буйным цветом расцветала критика регуляторов. Это ж милое дело, высказаться по поводу очередного нормативного творения или высказывания регулятора на какой-либо конференции. Более того, эта критика привела к тому, что регуляторы практически перестали выступать на публичных мероприятиях, а если и выступают, то зачитывают доклад по бумаге и на вопросы стараются не отвечать, предлагая писать запросы. Позиция, кстати, очевидная. Поставьте себя на место регулятора. Если вас ВСЕ и ВСЕ ВРЕМЯ ругают, обвиняют в непрофессионализме и критикуют, то какой будет ваша реакция? Скорее всего такой же - уйти в тину, лечь на дно и ждать когда шумиха поутихнет. Но вернемся к теме поста.

В последнее время ситуация стала меняться. Причем коренным образом. Причины сейчас разбирать не буду - не так уж это и важно. Регуляторы стали идти на контакт. Они стали спрашивать мнения у экспертов. Они стали приглашать поучаствовать, как минимум, в экспертизе, а иногда и в разработке документов. На мой взгляд это колоссальный и позитивный сдвиг в позиции регулятора. Они понимают, что самостоятельно уже не справятся с разработкой нормативной базы в современных условиях. Слишком уж много нюансов надо учитывать из разных как технологических, так и отраслевых областей. Одному такую ношу не поднять и регуляторы стали более открытыми. Как минимум, ФСТЭК, который стал выкладывать проекты документов на сайт и ждать экспертных мнений. С ФСБ ситуация чуть хуже. Контакты, как правило, непубличны и либо идут напрямую, либо через различные ассоциации и рабочие группы. Но это тоже некоторый прогресс, который можно только приветствовать.

Вчера в FB мы спорили с коллегами, что это взаимодействие односторонне. ФСТЭК публикует у себя на сайте документ и просит отзывы, но не говорит, ни какова процедура или структура отзыва, ни какова судьба отзыва (прислушаются или нет), ни каков порядок учета предложений. Иными словами полное отсутствие диалога. Мол, вы мне несите свои предложения, а я подумаю, прислушиваться к ним или нет, включать их в документ или нет. Да еще и гарантии, что ответят, тоже нет. А раз этого ничего нет и процедура взаимодействия непонятна, то и писать отзывы нет никакого смысла - все равно все пойдет в корзину. Такова логика некоторых коллег. Кто-то опирается на предыдущий опыт общения с ФСТЭК (или иными госорганами), кто-то просто привык спорить ;-)

Что я могу сказать на это?.. Каждый делает свое дело. Я прекрасно понимаю, с какими сложностями сталкивается госорган, который 40 лет подряд был закрытым ото всех, боролся с иностранными разведками и обеспечивал защиту гостайны. Это совершенно иное мышление. И сейчас регулятор стал разворачиваться лицом к широким слоям потребителей. Да, это происходит не так быстро, как того хотелось бы. Да, пока это связь местами односторонняя. Но это и не полностью кирпичная стена как раньше. Это шаг вперед. Если сейчас по-прежнему кричать, что регуляторы застряли в 90-х, что у них однобокий взгляд, что они ничего не понимают, то этот шаг так и останется единственным.

Я прекрасно понимаю, что многие боятся, что их предложения не услышат и не реализуют. Сам прекрасно понимаю те чувства, которые возникают, когда ваши идеи (которые кажутся ВАМ здравыми и правильными) отметают. Сам проходил через это не раз. Но не останавливаться же из-за этого. Под лежачий камень вода не течет. Можно, конечно, сказать: "Я эксперт высокого класса и хочу участвовать в процессе с самого начала", "Я консультант и работаю только за деньги - даром ничего за этих дармоедов делать не буду", "Почему я должен исправлять работу лицензиатов, которым платят за эти деньги", "Почему я должен писать, не зная, примут мои идеи или нет"... Можно. Но тогда и критиковать больше никого не надо ;-)  Возьмите морковку, садитесь на трибуну и смотрите, как участвуют другие. ФСТЭК предложила написать отзывы - пишите. И тогда вы сможете смело сказать - "Да, я участвовал, но меня не услышали". Или наоборот - услышали. И тогда вы также смело можете сказать, что участвовали в улушчении ситуации с информационной безопасностью в России. И это уже будет немало для специалиста, который живет не только своей работой по трудовому договору, немало. Если же ваша позиция заключается в том, что вы делаете свою работу (на работе с 9 утра до 6 вечера), а другие (читай - ФСТЭК) пусть делают свою, то и ругать кого-то за плохой документ не стоит.

Кто-то может возразить, что документ, разработанный ФСТЭК, дескать плохой совсем и надо переписывать. Ну так напишите, что конкретно плохого и как надо. Никто сейчас не требует, чтобы был написан новый документ. Если будет много отзывов, что документ сырой и его структура неочевидна или сложна для обновления, то высока вероятность, что документ уйдет на доработку. Если же никаких отзывов не будет, то документ будет принят таким, как он есть сейчас. И винить потом будет опять же некого. Либо надо жить своей жизнью, полностью отделенной от государства и его регуляторов. Но, к сожалению, в России это малореально.

Поэтому еще раз хочу подытожить. Если вы хотите что-то изменить - взаимодействуйте. Хотите, но не видите перспектив, или не хотите (вас и так все устраивает), то контакты, указанные ФСТЭК не для вас. Но тогда и критиковать уже не стоит.

ЗЫ. Собственно по поводу МОЕЙ критики регуляторов. Она не прекратилась ;-) До идеала еще далеко. Просто сейчас, видя иногда изнутри регулятора и его проблемы, источники силы и влияния, стоящие задачи и цели (немного или много отличающиеся от наших с вами), я понимаю, что огульная критика бесперспективна и даже вредна, позитиву она не способствует и на результат (в виде хорошего и эффективного регулирования) не влияет.

ЗЗЫ. Из всех регуляторов, наиболее продуктивно удается работать с ЦБ. На втором месте (в моем личном рейтинге) сейчас ФСТЭК. На третьем - Роскомнадзор. На 4-м - ФСБ. Регуляторов, с которыми невозможно было бы наладить контакт в рейтинге нет ;-) Вопрос только в качестве контакта. Но это уже отдельная тема, которую я развивать не буду.
ФСТЭК Роскомнадзор ФСБ Россия Банк России
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!