План нормотворческой деятельности по ИБ на 2022-й год

План нормотворческой деятельности по ИБ на 2022-й год
Хоть бумажная безопасность и мешает специалистам заниматься настоящим делом, но нельзя сбрасывать со счетов эту сторону нашей профессии. Тем более, что регуляторов у нас немало и они постоянно «радуют» нас новыми или обновленными нормативными и нормативно-правовыми актами по кибербезопасности. Поэтому я посмотрел, что предлагают нам в этом году регуляторы, которые не постеснялись опубликовать свои нормотворческие планы на этот год, а таких было всего двое на данный момент, — ФСТЭК и Правительство. Увы, ФСБ традиционно закрыто от внешнего мира и не делится со своими подопечными планами, о которых мы узнаем в момент появления проекта нового или обновленного нормативного акта на соответствующем портале.

Банк России, видимо, еще готовит свой план. Обычно он у них достаточно объемный (в прошлом году он насчитывал 124 страницы) и утверждается ближе к концу января. Аналогичная ситуация и с Минцифры. План этого регулятора я жду особо, так как после прихода Шойтова А.М. в Министерство и начала активной работы нового руководителя Департамента кибербезопасности, Бенгина В.Н., этот регулятор стал активно влезать на поляну ИБ, которая раньше традиционно делилась между ФСТЭК и ФСБ. Но теперь, видимо, появился и третий игрок (ЦБ оставлю в стороне — у него все-таки более узкая сфера регулирования ИБ в масштабах всей экономики). Но про Минцифры и ЦБ я еще напишу, когда они опубликуют свои планы на год.

У ФСТЭК планов немного — 6 документов, касающихся вопросов лицензирования деятельности по разработке средств защиты и деятельности по ТЗКИ, а также внесение изменений в 17-й приказ ФСТЭК. Это не говорит ничего о реальном плане нормотворческой деятельности — скорее о том, за что ФСТЭК готова отвечать и под чем она подписалась. Кроме того, в такие планы обычно не включаются документы, не требующие регистрации в Минюсте, а также различные методические документы. Поэтому в плане ФСТЭК не упомянуты ни проект новой методики оценки угроз, которую обещали выпустить в 1-м квартале 2022-го года, ни иные документы, о которых говорил Виталий Сергеевич Лютиков в прошлом феврале. Возможно, на грядущей 16 февраля конференции ФСТЭК будет озвучена судьба этих планов (я, увы, не смогу посетить эту конференцию, так как буду в это время на легендарной «Магнитке», Уральском форуме по ИБ финансовых организаций).

Правительство, несмотря на достаточно инновационные планы по регулированию беспилотного транспорта, доменов для госорганов, дистанционному проведению судебных заседаний, досудебному блокированию сайтов, торгующих медицинскими справками и сертификатами, и т.п., не уделило особого внимания ни теме информационной безопасности, ни теме критической инфраструктуры, ни даже теме цифровой экономики. Из 127 законопроектов, которые планирует подготовить Правительство и внести в Госдуму, нашей с вами сфера хоть как-то касается два и то вскользь, а именно:

  • ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — в части установления административной ответственности за несоблюдение минимальной обязательной доли закупок российских товаров отдельных видов и минимальной доли закупок товаров российского происхождения. В Госдуму будут вносить в сентябре 2022 года.
  • ФЗ «О внесении изменений в Федеральный закон «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» и отдельные законодательные акты Российской Федерации» — в части расширения перечня сделок, иных действий, подлежащих согласованию. В Госдуму будут вносить в октябре 2022 года. Сразу отвечая на незаданный вопрос, а причем тут ИБ, скажу, что любая компания, имеющая лицензию ФСБ на деятельности в области шифрования, является предприятием, имеющим стратегическое значение для обеспечения обороны страны и безопасности государства, и определенные действия, в том числе и связанные с инвестициями, сменой собственников и т.п. должны согласовываться с ФАС, а также с ФСБ. Достаточно вспомнить историю с Королевским банком Шотландии (это российский банк, если что), который столкнулся со сложностями из-за этого закона.

Остается думать, что будут и какие-то Постановления Правительства по нашей тематике, которые в план законотворческой деятельности не включены, потому что не законы. Но в целом выглядит это, мягко говоря, бледновато. У нас достаточно много задач в ИБ, которые требуют урегулирования на уровне законодательства, но им не нашлось места в повестке дня основных регуляторов. Жаль…

А у вас есть темы, которые, как вы считаете, требуют дополнительного регулирования (не обязательно ужесточения или ограничения)?

У вас, наверное, возник вопрос, а что делает фотография шишки конопли в данной заметке? Когда я искал картинки для нее, то на одном из сайтов с бесплатными фотографиями, по слову «законодательство» была выдана именно эта картинка и она, если вдуматься, в целом отражает как планы регуляторов, так и качество подготавливаемых ими документов.

Заметка План нормотворческой деятельности по ИБ на 2022-й год была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!