Алгоритм оценки необходимости выполнения НПА по ИБ

Алгоритм оценки необходимости выполнения НПА по ИБ
В последнее время, несмотря на коронавирус и самоизоляцию, наши регуляторы и законодатели не устают выпускать новые нормативные акты, а в различных чатиках, каналах и группах вновь стали подниматься вопросы выполнения нормативных актов, известных уже не первый, и даже не пятый, год (например, ФЗ-152). И часто эти вопросы звучат в контексте, а как выполнять то или иное требование (или весь НПА)? При этом почти никогда не звучит вопрос, а надо ли вообще выполнять это требование или НПА. Я прекрасно понимаю, что для классического, "законопослушного" безопасника это звучит крамольно, но с точки зрения бизнес далеко не вес нормативные акты надо бежать выполнять по мере их выхода. Я для себя сформировал некую процедуру, ответив на вопросы которой, можно понять, насколько стоит вообще задумываться о выполнении тех или иных приказов, постановлений, положений, указаний, информационных сообщений и т.п.

Итак, процедура состоит из ответов всего на 5 вопросов. Первый из них звучит просто - "есть ли данное требование в НПА?". Да-да, очень часто мы спорим о требованиях, которых просто нет в нормативных актах, а он являются скорее примером "испорченного телефона". Набивший оскомину, но при этом оставшийся классическим пример связан с сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет, но многие почему-то просто жаждут применения таких средств из все больше и больше сокращающегося списка. Поэтому я рекомендую в таких случаях самостоятельно читать НПА. Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет, но я упорно слышу от заказчиков, которые услышали это ряда отечественных вендоров, что требования якобы есть и их надо выполнять.  

Второй вопрос связан с легитимностью нормативного акта. Да, не каждый выпущенный нормативный акт является легитимным. И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены. Третий вопрос касается надзирателей за требованиями. Важно не только иметь легитимные требования, но и орган, который имеет право надзирать за соблюдением этих требований. Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная). Требования есть, но кто имеет право проверять их соблюдение? Минцифра? Увы, нет. Так стоит ли напрягаться по этому поводу и вкладываться в то, что никто не способен проконтролировать? Или требования по защите ПДн. Проверять их может ФСТЭК и ФСБ, но... только в государственных и муниципальных операторах ПДн. А для проверки коммерческих организаций им нужно отдельное распоряжение Президента страны и я что-то такого не помню за 9 лет существования такого требования.

Четвертый вопрос еще интереснее. Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить. А наказать они нас могут, если мы что-то не выполняем? Например, по теме КИИ сейчас всего одна статья и она уголовная (ст.274.1). Да, регуляторы внесли законопроект об изменении КоАП и появлении там новых составов правонарушений, но пока их нет. А раз наказать нельзя, то стоит ли так стремиться выполнять требования? С точки зрения бизнеса, который считает свои затраты и не видит рисков, положительный ответ будет не столь очевидным. Понятно, что можно расширить этот вопрос и уточнить масштаб наказания. Например, за невыполнение требований ФЗ-152 размер штрафов незначительный, в отличие от штрафа за нарушение GDPR. 

Наконец, пятый вопрос будет звучать так - "Наказание есть, но его когда-нибудь применяли?" То есть важен не только сам факт наличия наказания за невыполнение требований, но и правоприменительная практика по этому направлению. А том может оказаться, что за нарушение требований никто и никогда не наказывал. Например, есть такое Постановление Правительства №584 о защите информации в платежных системах. Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль. 


Если следовать этому простому алгоритму, то число требований, который нам надо будет соблюдать с точки зрения кибербезопасности может существенно сократиться и нам не придется тратить много денег своей компании и сидеть и бояться мифических проверок. Повторюсь, что это взгляд с точки зрения бизнеса, который рассматривает любое ограничивающее его законодательство как налог, который надо оптимизировать. И ИБ должна не мешать это делать, запугивая начальство карами небесными, а способствовать разумной трате денег, которые в условиях коронавируса и так сокращаются.


Но нельзя не сказать и об обратной стороне медали. Описанный алгоритм корректен в ситуации, когда мы живем в стране, где верховенствует закон. Но у нас увы, как показывает опыт последних 2-3 месяцев, когда власти принимают нормы, ограничивающие права граждан в нарушение действующего законодательства, существует вероятность, что вас придут проверят независимо от того, есть у проверяющих права на это или нет и накажут вас даже при отсутствии соответствующих статей в КоАП. Как говорится "был бы человек, а статья найдется". И ситуация явно не становится лучше. Поэтому описанный выше алгоритм стоит вписывать в существующую в организации стратегию управления рисками и танцевать уже от нее. Кто-то вполне всерьез рассматривает риски наезда со стороны государства, кто-то нет...
Alt text