Восемь лет назад – 19.12.2012 – я написал Открытое письмо директору ФСТЭК, в котором были такие строки:
«Последнее время документы ФСТЭК отличает квазинаучный стиль
изложения. При прочтении таких «документов» создаётся впечатление, что их
авторы вообще не знакомы с методологией научной и законотворческой
деятельности. Настолько много в них логических ошибок. Иногда встречаются и
грамматические. Нормой стало использование в нормативных правовых актах сленга…
После внимательного изучения текста указанного проекта [приказа ФСТЭК России «Об
утверждении Требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах»] у
меня сформировалось однозначное мнение: принятие документа в том виде, в
котором он представлен на сайте, невозможно! В нём просто огромное количество
логических и стилистических ошибок. На некоторые из них я указал в своих
«замечаниях», выполненных в виде примечаний к тексту проекта, скопированного с
официального сайта ФСТЭК. Этот документ не просто методологически, методически
и стилистически несостоятелен, он абсурден и принципиально невыполним. Любая
косметическая корректировка не приведёт к его улучшению. Он не пригоден в
принципе. Это ярчайший образчик издевательства над логикой, здравым смыслом и
ставшим бедным, некогда богатым, русским языком».
Письмо вызвало довольно большой (по современным меркам)
резонанс. Его (а по большей мере меня) активно обсуждали на BISA. Удостоил своим вниманием письмо и
Алексей Лукацкий и даже упомянул его в своём блоге в посте от 21.12.2012 «Сравнение
четверокнижия, приказа 58 и проекта нового приказа по ПДн»:
«Прочитал на DLP-Expert открытое письмо Геннадия Атаманова
директору ФСТЭК с резкой критикой нового проекта приказа ФСТЭК. К сожалению, 40
страниц конкретных замечаний, о которых пишет Геннадий, я не видел, поэтому не
буду обсуждать данное письмо. Скажу только, что я не согласен с оценкой, данной Геннадием*. Я считаю, что новый
проект не просто коренным образом отличается от всего предыдущего сделанног оФСТЭК,
но и является серьезным скачком вперед, о чем я также написал на DLP Expert'е»**.
В его блоге по этому поводу тоже завязалась полемика, в ходе
которой Алексей, обращаясь ко мне в одном из комментариев, написал:
«А сейчас обливать грязью труд своих бывших сослуживцев, не
видя всей работы целиком, не совсем корректно на мой взгляд».
А в другом: «По сравнению с ФСБ ФСТЭК - это образец для подражания».
24.12.2012 в своём комментарии я ответил следующее:
«Алексей, ну зачем Вы так. Я грязью никого не поливаю.
Только констатирую факт. И переживаю больше, чем вы все вместе взятые. Но честь
мундира ведь состоит не в том, чтобы "хвалить кукушку", а в том,
чтобы помочь исправить недостатки. Вот я и пытаюсь помочь. Как могу… Время – лучший судья. Оно покажет, кто был
прав, а кто нет».
Прав был блогер под ником Zzubra, который в комментарии к
тому же посту Лукацкого от 21.12.2012 написал, что «… отсутствие обратной связи…
быстро отбивают у волонтеров (коими являются те, кто пишет замечания по
документам) охоту к дальнейшей работе». Я, правда не быстро, но, тем не менее,
прекратил заниматься бесполезной практикой – анализировать НПА регуляторов.
Были редкие исключения. Не выдерживал. В июле 2018 г. я разразился аж тремя
постами по поводу 187-ФЗ «О безопасности КИИ в РФ», но уже без особой детализации.
А ровно через год – в июле 2019 г. – я написал короткий комментарий к
"Методическим рекомендациям по категорированию объектов КИИ, принадлежащих
субъектам КИИ, функционирующим в сфере связи". И всё! Это можно трактовать
и как усталость, и как выученную беспомощность, и как нежелание делать
бесполезную работу.
Но, как известно, пусто место не бывает. И эту нишу –
критика НПА – занял кто бы вы думали? Правильно! Лукацкий. И делать он это
начал не как я – скромно и шёпотом, а во весь голос и конкретно.
Так, в посте от 13.11.2018 «ФЗ коряв, но он ФЗ. его
изменят, но когда, хз!» он написал так: «"ФЗ коряв, но он
ФЗ". Это общая мысль к тексту ФЗ-187, который содержит немалое количество ляпов, в том числе и терминологических».
24.04.2020 в посте «Как я
моделировал угрозы по проекту новой методики ФСТЭК. Часть 6 (финал)»
Алексей уже написал: «Вот такой проект документа... Разные он у меня вызывает
чувства. Не могу сформулировать их до конца. И самое интересное, что пытаясь
сформулировать набор предложений по внесению изменений в этот проект, я
колеблюсь от мысли "все нахрен
выбросить и переписать заново" (но это неконструктивно) до попытки править текст вплоть до
конкретной буквы или "склонения падежов"... Мне кажется, что в текущей концепции, документом
пользоваться будет ооооочень тяжело, что создаст немалое количество
предложений от лицензиатов, которые захотят нагреть руки на очередной кормушке
"по подготовке обязятельной модели угроз", как это было в свое время,
когда в 2008-м году было выпущено первое "четверокнижие" ФСТЭК по
персданным».
16.09.2020 в посте «Про
обязательную сертификацию для всех без исключения значимых объектов КИИ»
Алексей написал: «Позавчера был опубликован принятый ФСТЭК еще в феврале приказ
(видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями
по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее
время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о
потребителях, то есть читателях своей нормативки, он не хочет и ему, в целом,
наплевать на то, как будут выполняться новые требования».
А 02.11.2020 в посте «Терминологический кризис или полный
п...ец» Алексей в своей манере разразился тирадой: «И вот таких примеров с терминологией по ИБ
у нас в нормативке вагон и маленькая тележка. И что с ней делать, фиг
разберешься. Регуляторы, похоже, не особо хотят создать единый глоссарий
терминов и использовать его в своих документах. Даже один регулятор внутри себя
этого не особо хочет. А это уже кризис. Или не кризис? Или п...ец, как
говорится в прекрасном фильма "О чем говорят мужчины"?».
Если порыться в Интернете, то можно найти ещё кучу интересного
материала на эту тему. О чём он говорит? Чему учит?
Как я и предполагал, время всё расставило на свои места, вот
только оно само никому ничего никогда не показывает. Оно беспристрастно и
равнодушно к проблемам и заботам человеческим. Это людям иногда полезно
оглянуться и посмотреть на своё прошлое, на плоды трудов своих. Произвести, как
говорят, ретроспективный анализ. Хотя бы для того, чтобы увидеть свои ошибки и
постараться не допустить их в будущем. Правда, один деятель сказал, что люди не
делают из истории никаких выводов. Но он, видимо, имел ввиду дебилов. Умные,
по-моему, всё-таки делают. Проблема только в том, какие это будут выводы –
правильные или неправильные.
Правильные с точки зрения логики выводы здесь таковы:
1. Время и практика (как способ проверки истины) наглядно
показали и доказали, что я был прав: документы регуляторов методически и
методологически несостоятельны и с каждым разом становятся всё хуже.
2. Одному из ведущих блогеров в сфере кибербезопасности
(которую сам он упорно называет информационной безопасностью) Алексею Лукацкому
потребовалось почти 8 лет и ряд социально-экономических потрясений, чтобы
осознать этот факт и начать критиковать несостоятельность НПА, издаваемых
регуляторами. За 8 лет вектор его высказываний относительно НПА в области
ИБ/БИ/ТЗИ поменялся на 180 градусов. Но, как опять же показывает практика,
«поздно пить боржоми, когда почки уже отвалились».
3. Неблагодарное это дело – кукушке хвалить петуха только за
то, что он сегодня хвалит кукушку. Завтра он может передумать и не только
перестать хвалить кукушку, но и нагнать её со двора.
И часто враг не тот, кто ваши недостатки открыто критикует,
А тот, кто вместо правды слов хвалебные реляции рисует.
4. 8 лет назад мне казалось, что ситуацию можно было исправить.
Я предлагал объединить усилия на этом поприще. Услышан и поддержан не был. Да
то и понятно: пока гром не грянет или жареный петух не клюнет…. Извечные истины.
А, как известно, истины – они и в Африке истины.
______________________________________
* - здесь и далее выделено мной.
**
- цитаты приведены в авторской редакции.
Комментариев нет:
Отправить комментарий