Нормативка по ИБ. Что изменилось за 2,5 года?

Нормативка по ИБ. Что изменилось за 2,5 года?
В начале этой недели я читал двухдневный курс по всему спектру законодательства ИБ - основы права, персданные, финансовые организации, КИИ, лицензирование, сертификация, ответственность, госорганы, надзор и т.п. Вообще я не очень люблю этот курс, так как два дня непрерывного погружения в законодательство, это скучно и нудно. Да и не очень очевидна целевая аудитория для этого курса, который затрагивает интересы разных отраслей. Разве, что для интеграторов и разработчиков это может быть полезно. Ну да не про это разговор. Не очень я люблю это свое детище, которое описывает всю нашу нормативку, от Доктрины ИБ до ведомственных приказов.


Последний раз я читал его в 2017-м году и сейчас, когда я его обновлял (то еще приключение) по прошествии двух лет, я сделал несколько интересных наблюдений, касающихся нормативного регулирования ИБ в России:

  1. Несмотря на то, что ФСТЭК провозгласила своим основным приоритетом защиту информации в госорганах, новых НПА для них почти и не появилось. Есть 17-й приказ и... и все. Куча остальных НПА (приказы 390, 149, 120, 104, 470, 221 и 190 Минкомсвязи, совместный приказ ФСТЭК и ФСБ, приказы Минэкономразвития и ФСО и т.п.) как были, так и остались и никто их не трогал, чтобы привести в соответствие (разве, что есть частные разъяснения Минкомсвязи по поводу своих приказов и их соотнесению с 17-м приказом ФСТЭК). Отчасти это хорошо - госам не надо отслеживать кучу новых и постоянно меняющихся нормативных актов, как тем же финансовым организациям.
  2. За два года сильно разрослась ветка регулирования безопасности критической информационной инфраструктуры. Но это и понятно - совершенно новое регулирование, требующее своей нормативной базы.
  3. Финансовая сфера оказалась самой зарегулированной. Чуть ли не половина курса (как минимум, его треть) посвящена нормативке Банка России - куча положений и указаний, ГОСТы, СТО и РС. Жалко "банкиров". Когда они успевают с реальными угрозами бороться непонятно :-(
  4. По защите ПДн за два года тоже ничего не произошло, кроме косметических правок в 21-й приказ. Зато усиливается карающая сторона законодательства - законопроектов по штрафам появилось не меньше пяти и часть из них уже принята. А вот законопроекты по внесению изменений в ФЗ-152 как-то буксуют. Я уже молчу про "наш" законопроект "Гаттарова-Матвиенко", который мы писали лет пять назад и который должен был помочь разъяснить некоторые неочевидные конструкции законодательства о персональных данных.
  5. "Операторский" блок охарактеризовался уходом от направления ИБ в сторону суверенного Интернета - число нормативных актов по этой части в разы превышает число приказов Минкомсвязи именно по защите информации у операторов связи. Но это и понятно в современной геополитической ситуации.
  6. Интересно, что наши регуляторы активно нарушают правила принятия обязательных НПА. Я про это еще отдельно напишу в следующем году. Там есть интересные следствия, например, в части требований по сертификации средств защиты информации.
  7. Интересно смотреть было на презентации ФСТЭК, где из года в год указываются планы по выпуску различных требований к средствам защиты или методических документов (по защите информации в Wi-Fi, по защите информации на беспроводных устройствах, по ЦОДам и т.п.), но потом эти планы так и не воплощались в жизнь.
  8. Кстати, еще одна тенденция - "засекречивание" нормативных актов ФСТЭК и ФСБ. Но если от второго регулятора это видеть привычно (хотя закрытие многих документов НКЦКИ и выглядит странно), то ФСТЭК раньше была более открытой. При этом своей цели такое "засекречивание" не достигает, а вот удобства становится явно меньше.
  9. Наконец, интересная ситуация сложилась с ГОСТами по ИБ, которые продвигает Банк России, называя их обязательными к исполнению. Так вот это не так очевидно, как об этом говорит регулятор. Но об этом я тоже напишу отдельно в следующем году.
  10. Ужесточилась позиция регуляторов в отношении сертификации средств защиты информации, несмотря на отсутствие нормативных актов, которые бы к этому вели. Ни одного нового Указа, Федерального закона или Постановления Правительства в этой части принято не было, но почему-то отдельные регуляторы стали считать, что они могут требовать обязательной сертификации.
Вот таких десять наблюдений, которые характеризуют изменения нормативного поля ИБ за 2 с лишним последних года. Не буду давать им оценку, - это просто наблюдения. Но объем курса вырос на 250 слайдов и с трудом укладывается теперь в два дня по 8 часов :-)
Alt text