Коллеги, много интересных событий случилось в уходящем году на ниве информационной безопасности. Главным образом, конечно, событий законодательных. Но не все еще закончилось. Если верить заявлениям ФСТЭК и ФСБ, то в декабре мы можем увидеть проекты последних элементов в большом пазле под названием "Законодательство о персональных данных".
Долго и мучительно складывался этот пазл. И лично я не жду ничего хорошего от предстоящих документов. Постановление Правительства № 1119 лично я считаю откровенно неудачным, и хотя большинство моих коллег считают что вся суть в конечном итоге будет определена в подзаконных документах, которые готовят ФСТЭК и ФСБ и что именно там нужно приложить усилия общественности и подключив коллективный разум сделать так, чтобы защита персональных данных у нас была "как в лучших домах Лондона". Я поясню, почему я считаю это утопией.
Конечно это только моя точка зрения, я как и любой человек могу ошибаться, благо только чтобы проверить это не надо будет долго ждать. Всего лишь несколько месяцев.
Мысль 1-я. Как известно любой человек (а также и людская группа) совершают какие-либо действия по причине наличия некой мотивации (желания избежать боли или получения выгоды). Какой скажите пожалуйста резон представителям ФСТЭК или ФСБ слушать неких "экспертов по ИБ" и что-то править в документах? Никакой ! Премии за это не полагается, а лишний геморрой нажить можно. Задача этих людей - выполнить задачу, которую поставило Правительство, все ! Ну и (для галочки) создать видимость общественного обсуждения (для чего и просят писать на адреса вроде fsb@fsb.ru).
Все прекрасно понимают, что эти документы не смогут создать никакого общественного резонанса, что люди не выйдут на улицу и проч. (не тот масштаб). А значит можно спокойно наплевать на всех и ничего не будет. Напишем как сможем и поставим галочку, что задача исполнена.
Да что там говорить, у нас же действительно даже общности никакой нет, которой можно было бы давить на регуляторов. Все заняты своими делами, никто не готов "высовываться" ради всеобщего блага. Немногочисленные блогеры это конечно лучше чем ничего, но объективно это... ни о чем. Ассоциации.... эх.. напишу о них, но не сейчас.
Кстати много говорилось о том, что вот поднялось общественное мнение и проекты Постановлений Правительства про уровни и требования полностью переписали. Хехе.. Давайте дождемся проектов подзаконных актов, думаю что после этого многие удивятся как (на самом деле) мало изменился смысл по сравнению с изначальной версией.
Мысль 2-я. Во многих книгах по бизнесу когда говорят о производственных конфликтах и отладке бизнес-процессов пишут такую вещь: "проблема не может быть решена на том же уровне, на котором она была создана".
Попытка воздействовать на регуляторов, направляя им свои замечания или просто дискутируя с ними через конференции или кулуарные беседы, это не более чем попытка решения проблемы даже не на том же уровне, где она создалась, а даже с уровня ниже. А значит можно сразу сказать, что такая попытка обречена на провал.. Решать такую проблему надо с уровня Федерального закона и (соответственно) Государственной думы. Есть в Думе депутаты, готовые впрягаться в эту тему ? Думаю уже нет. А министр Никифоров занят другими проблемами, видимо ему нет дела до законодательства о персональных данных в частности и нормативного регулирования защиты информации вообще.
Вот такие вот мысли, коллеги. Так что не стоит обольщаться..... проекты документов окажутся откровенно ужасными и править их никто не будет.
Но.. ясно одно, нежизнеспособная схема не может существовать долго. Думаю многие из вас знают что делают в коммерческой организации если подразделение по безопасности начинает мешать бизнесу. На невыполнимые требования либо забивают, либо их отменяют, либо вообще нафиг разгоняют/рефомируют подразделение по безопасности, создавшее проблемы бизнесу.
Аналогичный сценарий я вижу и с требованиями по защите персональных данных. Либо ввиду невозможности их исполнения на них просто "забьют" (сейчас же забивают на то, что у нас в государственных системах используется несертифицированная SSL-криптография), либо эти требования начнут мешать "большим дядькам делать бизнес" и тогда они запустят процесс по "модернизации законодательства", либо реформа/смена поколений в федеральных службах приведет к тому, что придут новые люди и начнут менять требования.
Так что все будет хорошо, но только (в текущей политической и общественной конструкции) к сожалению не благодаря нам....