Плач безопасника по ИБ. Продолжение.

Дата: 03.05.2021. Автор: Валерий Естехин. Категории: Блоги экспертов по информационной безопасности
Плач безопасника по ИБ. Продолжение.

 


Иллюстрация от Васи Ложкина (подпись Регулятор — моя)


Этот пост — продолжение мыслей, изложенных в блоге шесть лет назад в материале “Плач безопасника по ИБ”. Сразу признаем, что проблем с нормативным регулированием информационной безопасности в банковской сфере спустя шесть лет стало только больше.


Краткая справка

В 2021 году Банк России намерен выпустить 55 нормативных актов с приоритетом первой очереди, которые издаются в связи с принятием федеральных законов, и 211 нормативных актов — с приоритетом второй очереди. По плану подготовки нормативных актов на 2020 год был издан 231 нормативный акт, в том числе 191 зарегистрирован Минюстом России и опубликован на сайте Банка России, 29 находятся на государственной регистрации в Минюсте России.


Во многих банках в последние годы в тайне надеялись и ждали (и не только безопасники!), когда же наступит усталость и выгорание у взыскателей и проверяющих. После массовых проверок в банках 2016-2019 годов, боги наконец-то услышали банковское сообщество и число проверок регуляторов сократилось по естественным причинам.

Если уже даже Греф в интервью РБК особо подчёркивает, что в условиях пандемии меры, связанные с ослаблением регулирования очень нам помогли, то что можно сказать о других финансовых организациях. На протяжении последних лет в условиях жесткого, но путанного российского законодательства каждый банк старался реализовать свой план выживания и так или иначе пройти через узкое горлышко законодательных требований.

В особенности это касается законодательного регулирования области защиты информации  для банковской системы РФ. Соблюдать требования нормативных и иных актов, регулирующих сферу информационной безопасности банков — это значит пытаться разобраться, в основном, в только что опубликованных свежих требованиях со стороны регуляторов, существенно изменяющих или вообще отменяющих часть старых требований. Эти изменения поступают сплошным потоком  в виде положений, указаний, правил, методик и писем. Все эти документы вносят новые, произвольные пункты требований, на которые банки вынуждены реагировать, забывая, что это как-то должно сочетаться с другими требованиями из других нормативных документов в определенной логической последовательности и с учетом местных условий.

По сути, наше законодательство пытается охватить и регулировать все вопросы, связанные с процессами обеспечения информационной безопасности в банках (взаимодействие с платёжной системой Банка России, взаимодействие с национальной платёжной системой и т.д.).  Добавление новых правил и требований в принятые ранее нормативные и иные акты по частям приводит к непропорциональному усложнению законодательства в сфере ИБ, так как теряется единый ориентир, к которому можно было бы в любой момент обратиться, чтобы убедиться во взаимной совместимости всех составляющих частей.

Из-за частоты вносимых регуляторами изменений невозможно воспринимать законодательство по ИБ в банковской сфере как логически связанное единое целое. И в этом видится большая проблема отраслевого регулирования информационной безопасности в кредитных финансовых организациях, так как главным приоритетом служб ИБ в банках становится не построение надёжной системы защиты, а формирование минимально необходимого комплекта документации, требуемого при аудиторских проверках.

Тот факт, что применение законодательных актов надо ещё и разъяснять регулируемым организациям, говорит о многом (для банков в этом качестве выступают: Банк Росиии, ФСТЭК, РКН и другие).

Необходимо упрощать регулирование в сфере ИБ, а в идеале законодателям хорошо бы больше уделять внимания регулированию ответственности за инциденты информационной безопасности.

Из мировой истории можно вспомнить пример Наполеона, который столкнулся с чехардой законов во Франции и исправил ситуацию, создав упорядоченный кодекс законов, в основе которого был положен диктат полной логической совместимости.

Из свежих схожих инициатив вспоминаются поручения Дмитрия Медведева о подготовке перечня правовых актов СССР и РСФСР для признания утратившими силу или недействующими на территории РФ.

Известно, что великого художника Илью Репина не пускали в Третьяковскую галерею, если у него в руках были мольберт и кисти. Дело в том, что Репин не признавал свои картины законченными и постоянно норовил их поправить. У вас нет ощущения, что Банк России, штампуя свои правила, страдает тем же?


Ещё по теме:

План действий служб ИБ и ИТ по приведению системы управления рисками ИБ и ИС в соответствие требованиям Положения Банка России от 08.04.2020 № 716‑П

Роль СТО БР ИББС

Дорожный атлас банковской службы ИБ

О том, как читать трудно-усва-и-ва-е-мые документы по ИБ


Источник — Блог Валерия Естехина «ИБ. Взгляд снизу. Путеводитель по миру корпоративных тревог безопасника по ИБ (16+)».

Валерий Естехин

Об авторе Валерий Естехин

Персональный блог содержит информацию, которая отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения. Если вы ссылаетесь на материалы блога, то хорошей практикой будет согласование такого упоминания с автором (для СМИ это должно быть нормой). В любом случае при ссылке на информацию из этого блога не стоит указывать мою должность и моего работодателя - это личный блог автора.
Читать все записи автора Валерий Естехин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *