4.7.14

"Зато Крым наш" - стратегия нормотворчества в области ИБ в стране

У меня есть некоторый фетиш - я люблю изучать отечественные учебники по правовому обеспечению ИБ и законодательным основам защиты информации. Меня всегда удивляло, почему авторы начинают рассмотрение не с Конституции, не с основ права, а сразу с закона о лицензировании, трехглавого закона, постановления о сертификации и переходят к документам ФСТЭК, даже не вдумываясь в законность их принятия и применения. Но события последнего месяца-полутора меня привели к мысли, что может быть это и неплохо, т.к. Россия - страна уникальная и у нас в принципе никто не следует хоть какой-нибудь логике при принятии нормативно-правовых актов.

Достаточно вспомнить закон об отмене зимнего времени, который спустя не очень продолжительное время вернули обратно. Те же депутаты, противореча самим себе, принимаю прямо противоположное решение и их это не смущает. Те же самые депутаты сначала запрещают рекламу пива, а потом разрешают ее. Те же депутаты сначала запрещают курение в общественных местах, а потом разрешают его на летних верандах. Те же депутаты сначала отменяют уголовку по клевете, а потом вновь ее вводят. Но вернемся к нашей теме.

Вспомним недавний законопроект Минкомсвязи "О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений". Если по-крупному, то он говорил примерно следующее - облака для госорганов могут быть только российскими, а для коммерческих компаний облака могут быть какие угодно; даже иностранные. И вот спустя полтора месяца, подведомственная Минкомсвязи служба в лице Роскомнадзора инициирует прямо противоположный законопроект о запрете хранения ПДн россиян за границей. Иными словами данный законопроект закрывает абсолютное большинство облачных проектов, использующих западные площадки... за исключением... исключением госорганов, которые попали почему-то в исключение. Т.е. по одному законопроекту госы не могут передавать любые, включая и ПДн, данные за пределы РФ, а по другому - можно. При этом законопроекты разрабатываются с разницей в месяц с небольшим двумя связанными структурами - Министерством и подчиненной ему службой. Но если министерство идет по традиционному пути и размещает свой законопроект на портале regulations.gov.ru с целью проведения общественной экспертизы, то Роскомнадзор, заручившись поддержкой Администрации Президента, вносит свой законопроект через депутатов сразу в Госдуму, минуя все общественные экспертизы. И если законопроект третьего человека в стране (председателя верхней палаты парламента - госпожи Матвиенко), внесенный в декабре 2013 года, до сих пор даже на первое чтение не был вынесен, то законопроект Роскомнадзора за неделю с момента внесения очень уж быстро пролетел этот этап. Скажу больше. Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно? Я уже не буду вспоминать про законопроект "О безопасности критической информационной инфраструктуры", в котором даже термин КИИ менялся неоднократно за непродолжительное время...

Про отсутствие здравого смысла у инициаторов некоторых законопроектов я и вовсе не говорю. Про то, что законопроект по запрету хранения ПДн россиян за пределами РФ направлен против иностранных социальных сетей, понимают все. Но почему из-за должны страдать все граждане России, которые теперь не смогут заказать авиабилеты, гостиницы, пройти обучение или лечение, купить что-нибудь в Интернет-магазине?.. Почему ради сиюминутной выгоды по вставлению пистона Twitter'у должны страдать все остальные, включая и самих чиновников?.. Почему из-за неспособности бороться с детской порнографией (а уж законов по этой теме напринимали) депутат Мизулина решает наплевать на право на свободу доступа к информации и ввести порнофильтр в обязательном порядке для всех нескольких десятков миллионов граждан России? Почему она не может понять, что даже в случае принятия такого закона через месяц 40 миллионов россиян принесут операторам связи заявление на отключение порно-фильтров и благая идея защитить детей опять обернется пшиком?

Почему вместо того, чтобы Роскомнадзору заниматься своим прямым делом по защите прав субъектов ПДн, он переориентировался на гнобление операторов? Почему в большинстве европейских стран уполномоченный орган помогает операторам ПДн, а у нас карает? Почему во всем мире идут в сторону снижения жесткости обязательных защитных мер в сторону введения требований по уведомлению об утечках ПДн, защите от нанесения реального ущерба субъекту и введения ответственности за неуведомление и нанесение реального ущерба, а у нас РКН всеми правдами и неправдами выступает категорически против обязательного уведомления об утечках, ссылаясь на нехватку кадров? А ведь именно это реально может защитить субъектов и поднять ответственность операторов ПДн, т.е. именно то, чем и должен заниматься РКН. Почему на ведение "черных списков", блокирование Интернет-ресурсов, подсчет кликов и блогеров у РКН находятся ресурсы, а на защиту граждан нет? Где логика?

Как можно трезво оценивать то, что сейчас творят субъекты законодательной инициативы и приближенные к ним лица? Ведь у нас отсутствует единая стратегия законодательного развития отрасли ИТ и ИБ. На отчеты Минюста о правоприменительной практики все плюют и делают то, что хотят. Не то, что надо, а то, что хотят, мало с кем согласуя свои действия. Поэтому и получается у нас то "лебедь, рак и щука", то "лебедь раком щуку", то иные комбинации этих трех слов. Делать прогнозы в области законотворчества становится нереально. Даже на уровне 50 на 50 нет гарантии, что ты попадешь в правильный сектор.

Вот есть люди-флюгеры, которые мечутся то туда, то сюда и постоянно пытаются подстроиться под текущий момент или лавируя между мнениями, желая угодить и нашим и вашим. А есть целые отрасли, которые "управляются" такими людьми, которые по десять раз на дню меняют свое решение и нет у них стержня и долгосрочной (или хотя бы среднесрочной) стратегии развития. И как можно выстраивать хоть какие-то длительные отношения в такой ситуации? Никак. И тут неприменимы даже методы agile-разработки, о которых я уже писал применительно к ИБ. Даже с ними существует общее понимание конечной цели. Она может немного видоизменяться, но общее направление все равно понятно. Сейчас в России даже общего направления нет. Еще несколько месяцев назад мы жили в мире и дружбе со всем ИТ-миром. Сегодня Россией движет лозунг "Зато Крым наш". Завтра будет "А после нас хоть трава не расти". Потом "Вернем Аляску и Форт-Росс". Потом "русский и китаец - братья навек". Потом... Да мало ли что может быть потом. Как посмотрит Папа с большого экрана, как интерпретируют движение его бровей в Администрации, как донесут это до законодателей или исполнителей... Столько возможных ветвлений...

Какая-то длинная и слишком эмоциональная заметка получилась. Но по-другому никак. Все-таки это то, с чем нам приходится жить и работать. И придется подстраиваться именно под такое развитие событий, совершенно непредсказуемое и сложно прогнозируемое. А ИБ-отрасль как-то еще и развивается. Но не благодаря, а вопреки. Зато интересно :-)


8 коммент.:

Michael комментирует...

Сейчас "важнее" национальную идею проработать, а не какое-то сомнительное ИБ развивать :-)

Мы страна восточной культуры, но правят нами не "мудрецы", а всенародно и демократично избранные. Тут какое-то противоречие, которое со времен Петра I разрешить не удается.

ЗЫ. Вообще мои ощущения полностью совпадают с твоими, но я смотрю на них философски :-)
ЗЗЫ. Извини, что камент не профессиональный, не про ИБ

Berrimor комментирует...

Ну, уж как-то пессимистично...
Не одни мы такие, а сколько абсурдных законов у других? Конечно, квалификация наших законотворцев мягко говоря, "не очень", а что, другие лучше? Попробуйте-ка выполните стандарт ЦБ по безопасности в маленьком банке, где всего один-два безопасника или их нет вовсе.
А насчет "людей-флюгеров" не согласен: это только законченные идиоты стоят на своем даже если они не правы. да, вначале думали, что зимнее время - хорошо, оказалось, что не очень. И что? надо было стоять на своем?
Думаю, что проблема тут в отсутствии "обратной связи". Если бы наши депутаты знали что за такие "законы" их вышибут из Госдумы, то качество законов существенно бы повысилось.
А вообще, тут много можно говорить...

Евгений комментирует...

"Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно?"

Алексей, бешеному принтеру можно все! И кстати стоит поправить заметочку, оно не просто выложено в третьем чтении, оно уже принято...

Анонимный комментирует...

В чем соглашусь с Алексеем, что в РФ сиюминутные хотелки определяют все нормотворчество в целом. И проблема здесь не в отсутствии обратной связи, а в том, что глубокий системный анализ и стратегическое видение не в почете.
Вопрос в том, что будет, когда критическая масса противоречащих друг другу законов и подзаконных актов будет набрана. Правовой тупик?

Анонимный комментирует...

Алексей, а где "запрет хранения ПДн россиян за границей", трансграничную передачу никто же не отменил? Я вижу только "обязательное дублирование в РФ для надзорных и правоохранительных нужд" - ну т.е. "если АНБ смотрит, то чем мы хуже".

Алексей Лукацкий комментирует...

А зачем мне передача без хранения?

Анонимный комментирует...

>А зачем мне передача без хранения?
Храните на здоровье, только копии отгружайте в депозитарий, который будет исправно на запросы отвечать.

SK комментирует...

А что вы хотите от ГосДумы? Там небось вообще в этой теме никто не разбирается.