"Зато Крым наш" - стратегия нормотворчества в области ИБ в стране

"Зато Крым наш" - стратегия нормотворчества в области ИБ в стране
У меня есть некоторый фетиш - я люблю изучать отечественные учебники по правовому обеспечению ИБ и законодательным основам защиты информации. Меня всегда удивляло, почему авторы начинают рассмотрение не с Конституции, не с основ права, а сразу с закона о лицензировании, трехглавого закона, постановления о сертификации и переходят к документам ФСТЭК, даже не вдумываясь в законность их принятия и применения. Но события последнего месяца-полутора меня привели к мысли, что может быть это и неплохо, т.к. Россия - страна уникальная и у нас в принципе никто не следует хоть какой-нибудь логике при принятии нормативно-правовых актов.

Достаточно вспомнить закон об отмене зимнего времени, который спустя не очень продолжительное время вернули обратно. Те же депутаты, противореча самим себе, принимаю прямо противоположное решение и их это не смущает. Те же самые депутаты сначала запрещают рекламу пива, а потом разрешают ее. Те же депутаты сначала запрещают курение в общественных местах, а потом разрешают его на летних верандах. Те же депутаты сначала отменяют уголовку по клевете, а потом вновь ее вводят. Но вернемся к нашей теме.

Вспомним недавний законопроект  Минкомсвязи "О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений". Если по-крупному, то он говорил примерно следующее - облака для госорганов могут быть только российскими, а для коммерческих компаний облака могут быть какие угодно; даже иностранные. И вот спустя полтора месяца, подведомственная Минкомсвязи служба в лице Роскомнадзора инициирует прямо противоположный законопроект  о запрете хранения ПДн россиян за границей. Иными словами данный законопроект закрывает абсолютное большинство облачных проектов, использующих западные площадки... за исключением... исключением госорганов, которые попали почему-то в исключение. Т.е. по одному законопроекту госы не могут передавать любые, включая и ПДн, данные за пределы РФ, а по другому - можно. При этом законопроекты разрабатываются с разницей в месяц с небольшим двумя связанными структурами - Министерством и подчиненной ему службой. Но если министерство идет по традиционному пути и размещает свой законопроект на портале regulations.gov.ru с целью проведения общественной экспертизы, то Роскомнадзор, заручившись поддержкой Администрации Президента, вносит свой законопроект через депутатов сразу в Госдуму, минуя все общественные экспертизы. И если законопроект третьего человека в стране (председателя верхней палаты парламента - госпожи Матвиенко), внесенный в декабре 2013 года, до сих пор даже на первое чтение не был вынесен, то законопроект Роскомнадзора за неделю с момента внесения очень уж быстро пролетел этот этап. Скажу больше. Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно? Я уже не буду вспоминать про законопроект "О безопасности критической информационной инфраструктуры", в котором даже термин КИИ менялся неоднократно за непродолжительное время...

Про отсутствие здравого смысла у инициаторов некоторых законопроектов я и вовсе не говорю. Про то, что законопроект по запрету хранения ПДн россиян за пределами РФ направлен против иностранных социальных сетей, понимают все. Но почему из-за должны страдать все граждане России, которые теперь не смогут заказать авиабилеты, гостиницы, пройти обучение или лечение, купить что-нибудь в Интернет-магазине?.. Почему ради сиюминутной выгоды по вставлению пистона Twitter'у должны страдать все остальные, включая и самих чиновников?.. Почему из-за неспособности бороться с детской порнографией (а уж законов по этой теме напринимали) депутат Мизулина решает наплевать на право на свободу доступа к информации и ввести порнофильтр в обязательном порядке для всех нескольких десятков миллионов граждан России? Почему она не может понять, что даже в случае принятия такого закона через месяц 40 миллионов россиян принесут операторам связи заявление на отключение порно-фильтров и благая идея защитить детей опять обернется пшиком?

Почему вместо того, чтобы Роскомнадзору заниматься своим прямым делом по защите прав субъектов ПДн, он переориентировался на гнобление операторов? Почему в большинстве европейских стран уполномоченный орган помогает операторам ПДн, а у нас карает? Почему во всем мире идут в сторону снижения жесткости обязательных защитных мер в сторону введения требований по уведомлению об утечках ПДн, защите от нанесения реального ущерба субъекту и введения ответственности за неуведомление и нанесение реального ущерба, а у нас РКН всеми правдами и неправдами выступает категорически против обязательного уведомления об утечках, ссылаясь на нехватку кадров? А ведь именно это реально может защитить субъектов и поднять ответственность операторов ПДн, т.е. именно то, чем и должен заниматься РКН. Почему на ведение "черных списков", блокирование Интернет-ресурсов, подсчет кликов и блогеров у РКН находятся ресурсы, а на защиту граждан нет? Где логика?

Как можно трезво оценивать то, что сейчас творят субъекты законодательной инициативы и приближенные к ним лица? Ведь у нас отсутствует единая стратегия законодательного развития отрасли ИТ и ИБ. На отчеты Минюста о правоприменительной практики все плюют и делают то, что хотят. Не то, что надо, а то, что хотят, мало с кем согласуя свои действия. Поэтому и получается у нас то "лебедь, рак и щука", то "лебедь раком щуку", то иные комбинации этих трех слов. Делать прогнозы в области законотворчества становится нереально. Даже на уровне 50 на 50 нет гарантии, что ты попадешь в правильный сектор.

Вот есть люди-флюгеры, которые мечутся то туда, то сюда и постоянно пытаются подстроиться под текущий момент или лавируя между мнениями, желая угодить и нашим и вашим. А есть целые отрасли, которые "управляются" такими людьми, которые по десять раз на дню меняют свое решение и нет у них стержня и долгосрочной (или хотя бы среднесрочной) стратегии развития. И как можно выстраивать хоть какие-то длительные отношения в такой ситуации? Никак. И тут неприменимы даже методы agile-разработки, о которых я уже писал применительно к ИБ. Даже с ними существует общее понимание конечной цели. Она может немного видоизменяться, но общее направление все равно понятно. Сейчас в России даже общего направления нет. Еще несколько месяцев назад мы жили в мире и дружбе со всем ИТ-миром. Сегодня Россией движет лозунг "Зато Крым наш". Завтра будет "А после нас хоть трава не расти". Потом "Вернем Аляску и Форт-Росс". Потом "русский и китаец - братья навек". Потом... Да мало ли что может быть потом. Как посмотрит Папа с большого экрана, как интерпретируют движение его бровей в Администрации, как донесут это до законодателей или исполнителей... Столько возможных ветвлений...

Какая-то длинная и слишком эмоциональная заметка получилась. Но по-другому никак. Все-таки это то, с чем нам приходится жить и работать. И придется подстраиваться именно под такое развитие событий, совершенно непредсказуемое и сложно прогнозируемое. А ИБ-отрасль как-то еще и развивается. Но не благодаря, а вопреки. Зато интересно :-)



Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.