вторник, 27 ноября 2018 г.

Стрелка в ФСТЭК

     Ужас настоящего момента состоит не в том, что мы живём в условиях абсолютно кривого законодательства, административного беспредела и судебного произвола. Весь ужас состоит в том, что мы к этому привыкли и воспринимаем всё выше перечисленное как само собой разумеющееся и естественное.


      К чему я это всё?

  Совсем недавно – 9 ноября 2018 г. – состоялось событие, о котором ТЗИшная общественность узнала из постов некоторых известных блогеров – встреча этих самых блогеров с руководством ФСТЭК. Учитывая, что организаторы мероприятия не позволили задать приглашённым блогерам заранее заготовленные ими вопросы, по форме это был брифинг, на котором представители ФСТЭК признавая, что определения понятий, приведенные в 187-ФЗ «О безопасности КИИ», неверны, объявляют о том, что не собираются принимать никаких мер по их исправлению, и дают разъяснения, как это понимают они, и как следует понимать это всем остальным. Не разъяснение положений закона (что тоже было бы нонсенсом: написать закон, а потом разъяснять, как это понимать), а то, как они собираются трактовать «понятия, используемые в законе»!

     Из сериалов мы знаем, что так поступает криминалитет: устраивают стрелки, чтобы договориться о понятиях или поговорить «по понятиям». Но криминалитет живёт по неписанным правилам и законам и договариваться о понятиях для них жизненно необходимо, а мы живём (или должны жить) по законам писанным. И не просто писанным, а конституированным! А до чего мы докатились? В законе написано так, а мы будет понимать это этак, а вы разъясните народу, чтобы он не вякал и готовился молча переносить предстоящие экзекуции. Если перевести это на современный русский язык, то получится, примерно, следующее: паханы забили стрелку авторитетам, чтобы те объяснили братве, по каким понятиям они собираются щемить терпил.

     В принципе, всё это логично вытекает из, казалось бы, мелочей. Сначала во всех законах вместо раздела «Термины и определения» появился раздел «Понятия, используемые в законе». А потом не кто-нибудь, а органы государственной власти (сначала Роскомнадзор, а теперь вот и ФСТЭК), начали и свою деятельность строить по понятиям.

     Правда, как философ я знаю, что «после» не значит «по причине». Но внешне всё выглядит именно так. Главное – отныне нам всем предстоит жить не по закону, а по понятиям. Не только криминалитету, как раньше, а всем, без исключения.

5 комментариев:

  1. Получается, что те законы, которые написаны неправильно, не будут исправляться, а просто их будут "пояснять". Тогда когда наши депутаты будут пояснять каждый неправильный закон обычным людям, а не известным блогерам и не отдельный заголовок закона?

    ОтветитьУдалить
    Ответы
    1. Наши депутаты законы не пишут, они за них только голосуют. Законы должны быть написаны так, чтобы всем были понятны. Если закон не понятен "обычным" людям, это плохой закон. Чтобы писать хорошие законы, нужны хорошие спецалисты. Судя по качеству нынешних законов, таковых там нет. Поэтому имеем то, что имеем.

      Удалить
  2. Добрый день, Геннадий Альбертович! Я пишу диплом на тему "ИБ в государственной системе РФ" и хотелось бы задать несколько вопросов по этой теме Вам как эксперту:
    1. Какие главные проблемы законодательства Российской Федерации в сфере информационной безопасности?
    2. Какие документы регулируют кибер безопасность?
    3. Какие проблемы информационной безопасности в государственной структуре являются наиболее значимыми?
    4. Существует ли угроза отключение России от информационных серверов из-за санкций? Возможно ли практическое отключение России от Интернета («суверенный Рунет») (если возможно, какие причины?).
    5. Какие меры необходимо провести на современном этапе для обеспечения защиты информации?
    6. Считаете ли вы целесообразным переходить на отечественных производителей в сфере обеспечения информационной безопасности? какими способами это необходимо делать?
    возможно, вы очень поможете мне! спасибо.

    ОтветитьУдалить
    Ответы
    1. Карина, извините за задержку с ответом. Я готов помочь в меру своих сил, но, чтобы это было более-менее эффективно, необходима дополнительная информация. Например, по какой специальности диплом? Если по технической – это одно, по гуманитарной – другое, а по юридической – третье. Диплом какого уровня – бакалавр, специалист, магистр? Какого ВУЗа? Всё это имеет значение. Но если в общем, без учёта деталей, то могу предложить следующее.
      1. Проблем в законодательстве РФ в сфере ИБ много. Только некоторые из них:
       в качестве методологического основания принята ненаучная концепция – безопасность как состояние защищённости, что привело всю отрасль в тупик;
       трактовка информационной безопасности как проблемы защиты информации, что полностью исключило из анализа гуманитарную составляющую проблемы. При этом на международной арене всё с точностью до наоборот – Россия трактует ИБ как гуманитарную проблему, а иностранные партнёры ведут речь только о кибербезопасности;
       витиеватый квазинаучный стиль написания НПА, отсутствие в них логики и использование сленга, что делает НПА труднопонимаемыми, невыполнимыми и потенциально коррупциогенными;
       явно прослеживается желание стейкхолдеров обмануть руководство страны ради собственной выгоды: в пояснительных записках к законам и ПП пишется, что на реализацию не потребуется выделения бюджетных средств, когда на самом деле цена вопроса – десятки и сотни миллиардов рублей;
       ставка исключительно на наказания и полное игнорирование механизмов поощрения;
       зарегулированность проблемы обеспечения ИБ. Ни одно законодательство, каким бы полным и совершенным оно ни было, не в состоянии описать всё разнообразие жизненных ситуаций. Свидетельство тому – «итальянские забастовки». Законов должно быть единицы, нормативных актов – десятки, методических рекомендаций – сотни. От принципа тотального контроля необходимо перейти к принципу тотального оказания помощи социальным и экономическим акторам;
       тотальная методологическая и методическая несостоятельность требующихся от исполнителей мер и средств защиты – дорого и неэффективно. При этом уровень безопасности субъектов, практически, не повышается, но те, кто требует (т.е. регуляторы) не несут никакой ответственности за свои требования;
       и т. д. и т. п.
      2. Формально – никакие. В российском законодательстве нет понятия «кибер безопасность». По сути – тьма. Требования разбросаны по десяткам (а то и сотням) НПА и НМД. В Интернете можно легко их найти.
      3. Главная проблема – некомпетентность руководителей всех уровней в вопросах информационной безопасности и технической защиты информации, непонимание сути, важности и значимости этой деятельности как для них самих, так и для государства в целом.
      4. Угроза отключения существует и будет существовать всегда, в т. ч. при суверенном Рунете. Суверенный Рунет будет отключен так же легко, как и несуверенный, но его строительство обойдётся бюджету в астрономическую сумму.

      Удалить
    2. Продолжение:
      5. Для защиты информации или обеспечения информационной безопасности? Здесь требуется уточнение. Но в любом случае:
       сменить парадигму, взяв в качестве методологического основания разработанную мной теорию безопасности (теорию информационной безопасности);
       осуществить постепенный переход на новую парадигму, для чего разработать Концепцию ИБ(ЗИР) РФ / Доктрину ИБ(ЗИР) РФ / Стратегию обеспечения ИБ/(ЗИР) РФ (только правильные, а не такие, как сейчас) (прим.: ЗИР – защита информационных ресурсов);
       в соответствии с документами концептуально-доктринального уровня (см. выше) осуществить постепенную замену НПА и НМД в сфере ИБ/ТЗИ;
       параллельно перестроить структуру ГСЗИ в соответствии с нынешними социальными, экономическими, политическими и технологическими реалиями, а не заниматься «косметическим ремонтом здания», построенного в прошлом веке.
      6. Что значит «переходить на отечественных производителей»? Переходить/не переходить на продукцию отечественных производителей? Производителей чего – «железа», ПО, СЗИ? В любом случае, переход/непереход на продукцию отечественных производителей – это не вопрос безопасности, это – вопрос экономики. Даже гостайну можно надёжно защитить при помощи иностранных СЗИ, но отечественного производителя (и не только ИТ, ПО, СЗИ) поддерживать нужно, но не заставляя покупать только у них, а создавая условия для выпуска ими конкурентных товаров.

      Это если коротко и в общем. Но этого, по-моему, уже достаточно не только на диплом, но и на диссертацию. Не забудьте только в списке литературы указать реквизиты моих работ, а то многие забывают и это очень нехорошо и неправильно. А если вы поделитесь тем, что у вас в итоге получилось, прочту с интересом.
      Успехов!
      PS: Будут вопросы, пишите на мой e-mail.

      Удалить