В финальной части анализа итогов 2012-го года с точки зрения информационной безопасности я хочу остановиться на двух моментах. Первый - это провал выстаовк по информационной безопасности и изменение формата проведения мероприятий по ИБ. Про провал (несмотря на победные реляции организаторов) Инфобеза и Infosecurity не писал только ленивый - повторяться не буду. Причин тут, на мой взгляд, несколько. И непонимание организаторами отечественного рынка ИБ (а может быть и нежелание инвестировать в такое мероприятие), и отсутствие продуктового рынка как такогого, и незрелость эскпонентов. Михаил Емельяников про это хорошо написал.Зато изменилась конференционная часть. Я про это тоже писал неоднократно. Например, тут или тут. PHD, ZeroNights, ИнфоБЕРЕГ, IT & Security Forum, Уральский Форум - яркие примеры того, как можно делать неплохие мероприятия.
Последний и, пожалуй, самый запоминающийся итог для меня - это открытось регуляторов для диалога. Про это я уже писал не раз. Наверное, вот этот мой пост полностью отражает мой взгляд на ситуацию и переписывать его еще и тут смысла не вижу. Хочу только привести факты:
Ну и совсем отдельно хочется сказать про ФСБ. Контакт с ним тоже некоторый есть. Да, они готовы выслушать замечания. Да, они готовы ответить, что из замечаний принято, а что нет и почему (обычно по причине нецелесообразности по их мнению). Но иногда мне кажется, что это все некоторая игра по общепринятым правилам и не более. Ну вот принято создавать Общественные и Консультативные советы и спрашивать у общества мнения. Вот ФСБ и спрашивает. Но спрашивает так, как умеет. А потом все делает по своему. Учитывая роль и влияние данного регулятора они могут пока плевать на мнение экспертного сообщества, на мнение бизнеса, на мировую практику - они считают себя умнее всех. И в этом проблема, для которой я пока не вижу решения.
И если работа пойдет и число экспертов, которые начнут писать в ФСТЭК свои предложения, перевалит хотя бы за 2-3 десятка, то я склонен согласиться с Евгением Родыгиным, что надо каким-то образом привлекать профессиональные сообщества для взаимодействия с регуляторами. Экспертные, общественные, консультативные советы при ФСТЭК или ФСБ - это хорошо, но этого недостаточно. Профессиональные объединения (RISSPA, DLP-Эксперт, АБИСС, не к ночи упомянутая АРСИБ, АДЭ, РАЭК, НП НПС) должны стать связующим звеном или площадками, к которым обращаются регуляторы, и на которых затем обкатываются ответы регуляторам, чтобы последние не сталкивались с десятками или сотнями частных предложений. Это позволить формализовать и пустить в нужное русло процедуру экспертного обсуждения всех новых нормативных актов в области информационной безопасности.
Последний и, пожалуй, самый запоминающийся итог для меня - это открытось регуляторов для диалога. Про это я уже писал не раз. Наверное, вот этот мой пост полностью отражает мой взгляд на ситуацию и переписывать его еще и тут смысла не вижу. Хочу только привести факты:
- Первый позитивный опыт общения с регуляторами был еще в 2009-м году, когда ЦБ под эгидой АРБ собрал экспертную группу для работы над 4-й (текущей) версией СТО БР ИББС в части регулирования вопросов защиты прав субъектов ПДн и защиты самих ПДн. Потом был опыт работы с ЦБ в части разработки 382-П. И сейчас ЦБ не прекращает эту деятельность, привлекая внешних экспертов для разработки и экспертизы тех или иных нормативных актов, включая СТО БР ИББС и т.д.
- Другой позитивный опыт общения с регуляторами зафиксирован с Роскомнадзором. Именно в результате такого общения Роскомнадзор выпустил разъяснение по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. И это только первый шаг, за которым, я надеюсь, последуют и другие.
- Про взаимодействие с ФСТЭК я писал неоднократно и с точки зрения открытости они сейчас, наверное, находятся на первом месте, обойдя даже Банк России по этому показателю. Выложенные на сайте документы, приглашение присылать свои замечания и предложения (особенно предложения, а не огульную критику "все плохо - переделать"), учет полученных предложений, выкладывание результатов рассмотрения каждого полученного предложения... Просто отлично на мой взгляд. Разумеется, сделать процесс более автоматизированным было бы неплохо - какую-нибудь платформу краудсорсинга замутить или формализовать процедуру общения с экспертным сообществом. Но с чего-то надо начинать.
Ну и совсем отдельно хочется сказать про ФСБ. Контакт с ним тоже некоторый есть. Да, они готовы выслушать замечания. Да, они готовы ответить, что из замечаний принято, а что нет и почему (обычно по причине нецелесообразности по их мнению). Но иногда мне кажется, что это все некоторая игра по общепринятым правилам и не более. Ну вот принято создавать Общественные и Консультативные советы и спрашивать у общества мнения. Вот ФСБ и спрашивает. Но спрашивает так, как умеет. А потом все делает по своему. Учитывая роль и влияние данного регулятора они могут пока плевать на мнение экспертного сообщества, на мнение бизнеса, на мировую практику - они считают себя умнее всех. И в этом проблема, для которой я пока не вижу решения.
И если работа пойдет и число экспертов, которые начнут писать в ФСТЭК свои предложения, перевалит хотя бы за 2-3 десятка, то я склонен согласиться с Евгением Родыгиным, что надо каким-то образом привлекать профессиональные сообщества для взаимодействия с регуляторами. Экспертные, общественные, консультативные советы при ФСТЭК или ФСБ - это хорошо, но этого недостаточно. Профессиональные объединения (RISSPA, DLP-Эксперт, АБИСС, не к ночи упомянутая АРСИБ, АДЭ, РАЭК, НП НПС) должны стать связующим звеном или площадками, к которым обращаются регуляторы, и на которых затем обкатываются ответы регуляторам, чтобы последние не сталкивались с десятками или сотнями частных предложений. Это позволить формализовать и пустить в нужное русло процедуру экспертного обсуждения всех новых нормативных актов в области информационной безопасности.
