Плач безопасника по ИБ. Продолжение.

Плач безопасника по ИБ. Продолжение.

 


Иллюстрация от  Васи Ложкина  (подпись "Регулятор" - моя)


Этот пост - продолжение мыслей, изложенных в блоге шесть лет назад в материале “ Плач безопасника по ИБ ”. Сразу признаем, что проблем с нормативным регулированием информационной безопасности в банковской сфере спустя шесть лет стало только больше.

name='more'>


Краткая справка

В 2021 году Банк России намерен выпустить 55 нормативных актов с приоритетом первой очереди, которые издаются в связи с принятием федеральных законов, и 211 нормативных актов — с приоритетом второй очереди. По плану подготовки нормативных актов на 2020 год был издан 231 нормативный акт, в том числе 191 зарегистрирован Минюстом России и опубликован на сайте Банка России, 29 находятся на государственной регистрации в Минюсте России.


Во многих банках в последние годы в тайне надеялись и ждали (и не только безопасники!), когда же наступит усталость и "выгорание" у взыскателей и проверяющих. После массовых проверок в банках 2016-2019 годов, "боги" наконец-то услышали банковское сообщество и число проверок регуляторов сократилось по "естественным" причинам.

Если уже даже Греф в интервью РБК особо подчёркивает, что в условиях пандемии "меры, связанные с ослаблением регулирования очень нам помогли", то что можно сказать о других финансовых организациях. На протяжении последних лет в условиях жесткого, но путанного российского законодательства каждый банк старался реализовать свой план выживания и так или иначе пройти через узкое горлышко законодательных требований.

В особенности это касается законодательного регулирования области защиты информации  для банковской системы РФ. Соблюдать требования нормативных и иных актов, регулирующих сферу информационной безопасности банков - это значит пытаться разобраться, в основном, в только что опубликованных свежих требованиях со стороны регуляторов, существенно изменяющих или вообще отменяющих часть старых требований. Эти изменения поступают сплошным потоком  в виде положений, указаний, правил, методик и писем. Все эти документы вносят новые, произвольные пункты требований, на которые банки вынуждены реагировать, забывая, что это как-то должно сочетаться с другими требованиями из других нормативных документов в определенной логической последовательности и с учетом местных условий.

По сути, наше законодательство пытается охватить и регулировать все вопросы, связанные с процессами обеспечения информационной безопасности в банках (взаимодействие с платёжной системой Банка России, взаимодействие с национальной платёжной системой и т.д.).  Добавление новых правил и требований в принятые ранее нормативные и иные акты по частям приводит к непропорциональному усложнению законодательства в сфере ИБ, так как теряется единый ориентир, к которому можно было бы в любой момент обратиться, чтобы убедиться во взаимной совместимости всех составляющих частей.

Из-за частоты вносимых регуляторами изменений невозможно воспринимать законодательство по ИБ в банковской сфере как логически связанное единое целое. И в этом видится большая проблема отраслевого регулирования информационной безопасности в кредитных финансовых организациях, так как главным приоритетом служб ИБ в банках становится не построение надёжной системы защиты, а формирование минимально необходимого комплекта документации, требуемого при аудиторских проверках.

Тот факт, что применение законодательных актов надо ещё и разъяснять регулируемым организациям, говорит о многом (для банков в этом качестве выступают: Банк Росиии, ФСТЭК, РКН и другие).

Необходимо упрощать регулирование в сфере ИБ, а в идеале законодателям хорошо бы больше уделять внимания регулированию ответственности за инциденты информационной безопасности.

Из мировой истории можно вспомнить пример Наполеона, который столкнулся с чехардой законов во Франции и исправил ситуацию, создав упорядоченный кодекс законов, в основе которого был положен диктат полной логической совместимости.

Из свежих схожих инициатив вспоминаются поручения Дмитрия Медведева о подготовке перечня правовых актов СССР и РСФСР для признания утратившими силу или недействующими на территории РФ.

Известно, что великого художника Илью Репина не пускали в Третьяковскую галерею, если у него в руках были мольберт и кисти. Дело в том, что Репин не признавал свои картины законченными и постоянно норовил их поправить. У вас нет ощущения, что Банк России, штампуя свои правила, страдает тем же?


Ещё по теме:

План действий служб ИБ и ИТ по приведению системы управления рисками ИБ и ИС в соответствие требованиям Положения Банка России от 08.04.2020 № 716‑П

Роль СТО БР ИББС

Дорожный атлас банковской службы ИБ

О том, как читать трудно-усва-и-ва-е-мые документы по ИБ

Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)