Некоторые вопросы регулирования рынка ИБ.

Некоторые вопросы регулирования рынка ИБ.
Выступление Пярина Виктора Анатольевича,
лауреата государственной премии РФ, члена-корреспондента Академии криптографии РФ на форуме АЗИ
3 апреля 1914 года.

DSC01492 (2)

Нормативные документы РФ в области информационной безопасности:
Конституция РФ, акты федерального законодательства, международные договоры РФ,  законы федерального уровня (включая федеральные конституционные законы, кодексы), указы Президента РФ, постановления правительства РФ, нормативные правовые акты федеральных министерств и ведомств, нормативные правовые акты субъектов РФ, органов местного самоуправления, государственные (национальные) стандарты РФ, рекомендации по стандартизации, методические указания, международные стандарты информационной безопасности.
Государственные органы РФ, контролирующие деятельность в области  информационной безопасности:
-Комитет государственной думы по безопасности;
– Совет безопасности России;
– Федеральная служба безопасности России (ФСБ России);
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-Министерство внутренних дел Российской Федерации (МВД России);
-Министерство коммуникаций и связи Российской Федерации;
-Центральный банк Российской Федерации (Банк России).
Государственные органы РФ, регулирующие деятельность в области информационной безопасности:
– Федеральная служба безопасности России (ФСБ России);
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-Федеральная служба надзора в сфере информационных технологий и массовых коммуникаций (Роскомнадзор);
-Центральный банк Российской Федерации (Банк России).

Казалось бы в области информационной безопасности всё организовано, отрегулировано и контролируется. Так ли это?
Представляется, что в настоящее время основные угрозы информационной безопасности исходят от информационно-телекоммуникационных сервисов, которые реализуются компаниями, деятельность которых практически не регулируется;
Новые информационные технологи и сервисы создаются в рамках глобальной телекоммуникационной инфраструктуры;
Информационные технологии и сервисы появляются так стремительно, что государству трудно определять без существенного запаздывания результативные механизмы их контроля с точки зрения информационной безопасности;
Участники рынка услуг связи и предоставления информационно-телекоммуникационных сервисов  не мотивированы к совместному решению проблем информационной безопасности;
Государство не располагает единым центром принятия решений в области регулирования информационной безопасности.
Обеспечение информационной безопасности не попадает под  действие закона о техническом регулировании и, как следствие, попытки создания технических регламентов в этой области потерпели фиаско.
К чему приводят указанные проблемы?
К росту киберпреступности. Проблема киберпреступности  обсуждается на уровне ООН в одном ряду с такими «вечными» недугами человечества как работорговля, незаконная миграция, торговля наркотиками и оборот оружия.
Вопросы борьбы с киберпреступностью имеют высокий приоритет среди наиболее актуальных вопросов в деятельности российского государства.
Нередко тратятся значительные средства на мало результативные механизмы  обеспечения информационной безопасности.
Снижается авторитет государства в области регулирования вопросов информационной безопасности.
Указанные проблемы приводят также к замедленному развитию электронного бизнеса, к отставанию от потребностей своевременного оказания электронных услуг населению.
Стратегические направления деятельности по решению указанных проблем
Создание единого центра формирования государственной политики в области информационной безопасности.
Внедрение механизмов саморегулирования на рынке ИБ.
Внесение изменений в законодательство РФ, позволяющих привлекать к регулированию обеспечения информационной безопасности  СРО.
Стимулирование на создание саморегулируемых организаций  по ИБ.
Что такое СРО?
Определение СРО
Саморегулируемыми организациями признаются некоммерческие организации, созданные в целях, предусмотренных ФЗ №315 от01.12.2007 «О саморегулируемых организациях» и иными ФЗ, основанные на членстве, объединяющие субъектов предпринимательской деятельности исходя из единства отрасли производства товаров (работ, услуг) или рынка производственных товаров (работ, услуг) (юридические лица и ИП), либо объединяющие субъектов профессиональной деятельности определённого вида (физлица).
Членство в СРО
Членство субъектов предпринимательской или профессиональной деятельности в саморегулируемых организациях является добровольным.
Федеральными законами могут быть предусмотрены случаи обязательного членства субъектов предпринимательской или профессиональной деятельности в саморегулируемых организациях.
Субъект, осуществляющий различные виды предпринимательской или профессиональной деятельности, может являться членом нескольких саморегулируемых организаций, если такие саморегулируемые организации объединяют субъектов предпринимательской или профессиональной деятельности соответствующих видов.
Субъект, осуществляющий определенный вид предпринимательской или профессиональной деятельности, может являться членом только одной саморегулируемой организации, объединяющей субъектов предпринимательской или профессиональной деятельности такого вида.

Требования к СРО:
-членство не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профдеятельности определённого вида;
-наличие стандартов и правил предпринимательской или профессиональной деятельности, обязательных для выполнения всеми членами саморегулируемой организации;
-обеспечение саморегулируемой организацией дополнительной имущественной ответственности каждого ее члена перед потребителями произведенных товаров (работ, услуг) и иными лицами;
-наличие (должны быть созданы) специализированных органов, осуществляющих контроль за соблюдением членами саморегулируемой организации требований стандартов и правил предпринимательской или профессиональной деятельности и рассмотрение дел о применении в отношении членов саморегулируемой организации мер дисциплинарного воздействия, предусмотренных внутренними документами саморегулируемой организации.
Предмет саморегулирования — предпринимательская или профессиональная деятельность субъектов, объединенных в саморегулируемые организации.
Способы осуществления деятельности:
Разрабатывает и утверждает стандарты и правила предпринимательской или профессиональной деятельности (далее — стандарты и правила саморегулируемой организации), под которыми понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами саморегулируемой организации.
Стандартами и правилами саморегулируемой организации могут устанавливаться дополнительные требования к предпринимательской или профессиональной деятельности определенного вида.
Основная идея СРО – возложить часть контрольных и надзорных функций за деятельностью субъектов в определённой сфере на самих участников рынка. При этом собственно государственный надзор в большей степени сосредотачивался бы не на надзоре за деятельностью, а на надзоре за её результатами.
В России сегодня уже около полутора тысяч саморегулируемых организаций и около десяти миллионов человек в той или иной мере вовлечены в проблемы СРО. Таким образом, саморегулирование как общественно-правовое явление состоялось.
В марте 2014года  IV Всероссийский форум саморегулируемых организаций собрал около семисот человек лично и около полутора-двух тысяч в интерактивном режиме активных участников движения саморегулирования, представляющих более шестидесяти отраслей экономической деятельности.
ЦЕЛЕСООБРАЗНОСТЬ    СОЗДАНИЯ САМОРЕГУЛИРУЕМОЙ  ОРГАНИЗАЦИИ                                                         ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СРО ИБ)   В РОССИЙСКОЙ ФЕДЕРАЦИИ
Необходимость создания СРО ИБ, на мой взгляд, объективно обусловлена высокой значимостью информации в современном всё более информатизируемом обществе. Сегодня в совокупности производимых товаров (работ, услуг) всё более расширяется доля информационных продуктов. К сожалению в мире, в том числе и в России, всё чаще реализуются попытки несанкционированного доступа к электронным базам данных различных организаций (особенно в финансовой сфере, где информация — реальные деньги), что является причиной их материальных потерь и репутационного ущерба. Статистика таких преступлений имеет высокие темпы роста, вызывает необходимость выработки эффективных мер противодействия.
СРО ИБ могли бы внести заметный вклад в создание системы мониторинга и быстрого реагирования на такие преступления.
В России на текущий момент сформировался и продолжает активно развиваться рынок организаций, специализирующихся на различных  вопросах обеспечения информационной безопасности.
Создаются профессиональные объединения таких организаций (ассоциации и др.). Развивается законодательная база, направленная на эффективное регулирование отношений участников общества в части информации.
К сожалению, не все организации ведут честный и открытый бизнес, сегодня не существует эффективных фильтров для участия в конкурсах и аукционах только тех компаний, которые реально способны предоставлять заказчикам продукты и услуги высокого качества.
Федеральный закон от 01.12.2007 N315-ФЗ «О саморегулируемых организациях» предоставляет участникам рынка — субъектам предпринимательской деятельности (юридическим лицам и индивидуальным предпринимателям), специализирующимся на производстве товаров (работ, услуг) в области информационной безопасности, возможность создать профессиональные объединения в виде некоммерческих саморегулируемой организации информационной безопасности — СРО ИБ. В основе деятельности таких организации лежит, определяемое законом N315-ФЗ саморегулирование, под которым понимается самостоятельная и инициативная деятельность, осуществляемая субъектами предпринимательской деятельности, образовавшими СРО ИБ, содержанием которой являются разработка и установка стандартов и правил названной деятельности, а также контроль за соблюдением требований названных стандартов и правил. Обязательными условиями создания СРО ИБ являются также востребованность в её образовании не менее чем 25 субъектами предпринимательской деятельности российского рынка, специализирующимися на решении вопросов информационной безопасности, обеспечение со стороны СРО ИБ дополнительной имущественной ответственности каждого её члена перед потребителями произведенных ими товаров (работ, услуг).

КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ СРО ИБ
Целью настоящих концептуальных основ является описание основных положений деятельности некоммерческой саморегулируемой организации, сферой деятельности которой является информационная безопасность (СРО ИБ).
Основное назначение СРО ИБ — саморегулирование  объединённых в качестве её членов субъектов предпринимательской деятельности российского рынка, занимающихся вопросами информационной безопасности, зарегистрированных, как и сама СРО ИБ, в установленном порядке в соответствующих государственных органах и осуществляющих свою предпринимательскую деятельность в соответствии с Гражданским кодексом РФ.
Деятельность СРО ИБ должна соответствовать всем требованиям Федерального закона от 01.12.2007 №315-ФЗ «О саморегулируемых организациях».
Нормативно-правовая база СРО ИБ должна включать в себя совокупность федеральных законов и разработанных в соответствии с ними иных нормативных правовых актов, регламентирующих общие требования к деятельности СРО ИБ, а также принятые в соответствии с ними стандарты и правила предпринимательской деятельности и иные внутренние нормативные акты, обязательные для выполнения всеми членами СРО ИБ.
Стандарты СРО ИБ должны развиваться с учетом взаимодействия с российскими и международными организациями – разработчиками открытых стандартов в области ИБ на основе применения и эффективного сочетания международных и российских стандартов с учётом специфики рынка.
СРО ИБ должна заниматься расширением количества своих членов, распространять на равных условиях среди участников рынка, не являющихся членами СРО ИБ, свои стандарты и правила предпринимательской деятельности для расширения на этой основе инфраструктуры для внедрения и практического применения различных товаров (работ, услуг) ИБ с целью получения реальной экономической выгоды членами СРО ИБ и участниками рынка.
СРО ИБ должна взаимодействовать с участниками российского рынка, специализирующимися на вопросах ИБ: с государственными организациями-регуляторами (в том числе по вопросам развития нормативно-правовой базы СРО ИБ), интеграторами, разработчиками систем защиты информации и их потребителями (в том числе по вопросам консалтинга, проектирования, разработки, внедрения и эксплуатации технологий ИБ), ассоциациями и другими общественнными организациями по вопросам, представляющим взаимный интерес, исходя из целей и задач их деятельности.
СРО ИБ должна организовать с участием своих членов для обеспечения реализации требований нормативно-правовой базы СРО ИБ систему сертификации СРО ИБ, которая должна взаимодействовать с соответствующими профильными государственными (ФСБ России, ФСТЭК России, Минкомсвязи России,  Банк России) и международными (Visa, MasterCard и др.) центрами сертификации.
СРО ИБ должна заниматься проведением общественной экспертизы отдельных, наиболее значимых по критериям стоимости внедрения и эксплуатации проектов ИБ, разработанных членами СРО ИБ, с целью возможного предложения их членам СРО ИБ и участникам рынка в качестве передовых технологий ИБ.
СРО ИБ в вопросах развития российского рынка ИБ должна исходить из обеспечения национальных интересов РФ и интересов своих членов, участников российского рынка.
СРО ИБ должна заниматься организацией своих конференций, семинаров, выставок и иных мероприятий, организовывать участие своих членов и принимать участие в проведении подобных мероприятий, организуемых другими организациями по вопросам ИБ.
Решения СРО ИБ в отношении участников рынка должны носить рекомендательный характер, а в отношении членов СРО ИБ, в случаях когда это регламентировано нормативно-правовой базой СРО ИБ, быть обязательными для исполнения.
Задачи, которые СРО ИБ может решать:
-установление правил этики конкуренции на рынке обеспечения безопасности ИТУ, противодействие монополизации рынка защиты информации, содействие интеграции России в мировое информационное пространство;
-разработка и установление согласованных участниками рынка требований (рекомендаций) по обеспечению безопасности информационных систем, в том числе информационных систем персональных данных (за исключением ИС критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи.  В т.ч. разработка проектов стандартов ИБ для новых информационных технологий. Согласование стандартов с ФСБ России, ФСТЭК России, Минкомсвязи и Банком России  ;
-организация системы добровольной аккредитации организаций, оценки качества продуктов и услуг, в том числе, новых информационных технологий, на соответствие требованиям (рекомендациям) по ИБ, установленным стандартами СРО (цель этого пункта — ускорение внедрения новых ИТ за счет сокращения времени оценки качества новых технологий, продуктов и услуг);
-сертификация в рамках системы добровольной сертификации  продуктов и услуг в области обеспечения ИБ информационных систем, в т.ч. ИСПДн (за исключением ИС КВО), ИТС и других СС;
-защита интересов членов организации при разработке и изменении российского и международного законодательства и стандартов в области ИБ, применении норм права в области ИБ, в том числе законодательства по ПДн;
-взаимодействие с уполномоченным органом по защите прав субъектов ПДн (Роскмонадзор) при регулировании отношений между субъектами ПДн и участниками рынка ИТУ;
-содействие ФСБ России, ФСТЭК, Минкомсвязи и Банку России при разработке требований (рекомендаций) по обеспечению ИБ и безопасности ПДн для рынка ИТУ (т.е. отраслевых НПА по обеспечению ИБ и безопасности ПДн);
В России отсутствуют СРО в области информационной безопасности (по аналогии СРО в областях финансового аудита, строительства и др.).
В мировой практике аналоги СРО в области информационной безопасности существуют, например, PCI Council – Совет в области стандартов безопасности индустрии платежных карт.
В качестве наиболее близкого к ИБ примера СРО в России можно привести
ИТ-СРО «Межрегиональное объединение организаций в области проектирования «ЯРД».
НП «МОООП «Ярд» — отраслевая саморегулируемая организация, объединяющая в своих рядах ИТ-компании, в деятельность которых включены проектные работы на объектах капитального строительства, включая особо опасные и технически сложные, а также на объектах использования атомной энергии.
Для законного осуществления своей деятельности, многим организациям необходимо наличие Свидетельства о допуске на виды работ, которые оказывают влияние на безопасность объектов капитального строительства. Под действие Закона попали не только классические строительные организации, но и компании, работающие на рынках информационных и коммуникационных технологий.
При вступлении в специализированную СРО проектировщиков, у организаций появляется возможность, при взаимодействии с компаниями-единомышленниками, формировать правила саморегулирования, исходя из собственных профессиональных интересов.
Цель ИТ-СРО «Межрегиональное объединение организаций в области проектирования «ЯРД»  — совершенствование отрасли путем выстраивания эффективных механизмов саморегулирования и защиты интересов своих участников.
Пример самоорганизации по вопросам информационной безопасности (пока не СРО)
АБИСС-Сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР
2004 год – вышла первая версия стандарта по ИБ, разработанная для внутреннего использования в Банке России
2006 год – 02.02.2006 года состоялось подписание меморандума о создании Сообщества АБИСС (Подписанты: ЗАО «Андек», НПФ «Кристалл», ГНИИ ПТЗИ ФСТЭК России, ООО «Линс-М», КПМГ и Эрнст энд Янг.)
2011 год – основной задачей Сообщества ABISS становится организация механизмов саморегулирования и взаимодействие с регуляторными и контрольными органами (Роскомнадзора, ФСБ России, ФСТЭК России, Банка России). Создаётся НП «Сообщество пользователей стандартов по информационной безопасности АБИСС».
2013 год – реорганизация НП «АБИСС» в целях получения статуса СРО
Приоритетные направления деятельности АБИСС  на 2014 год
Завершение  создания системы контроля качества, формирование Комитета по контролю качества
выполнение необходимых условий для регистрации НП «АБИСС» как СРО, в частности:
обеспечение наличия минимального количества ее членов – не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профессиональной деятельности.
принятие в строго легитимном порядке и в установленной федеральным законодательством и внутренними нормативными актами СРО форме обязательных стандартов и правил предпринимательской и профессиональной деятельности, под которыми понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами будущего СРО.
обеспечение  дополнительной имущественной ответственности СРО, что обеспечивается наличием компенсационного фонда СРО и коллективного либо индивидуального страхования ответственности членов СРО.
Получение статуса СРО.
НП «СОИБ» — некоммерческое партнерство «Содружество организаций, работающих в области информационной безопасности »
Учреждено в 2013 году по инициативе ряда членов АЗИ.
На сайте soibrf.ru можно ознакомиться с Уставом НП «СОИБ» а также получить дополнительную информацию.
В настоящее время проводится работа по подготовке необходимого для внесения НП «СОИБ» в государственный реестр СРО Росреестра пакета документов и, в первую очередь, стандартов и правил, регулирующих деятельность своих членов в соответствие с правилами деловой этики и препятствующие недобросовестной конкуренции. На этом же этапе планируется пригласить к присоединению к НП «СОИБ» широкий круг предприятий и организаций, работающих в сфере производства товаров (работ и услуг) в области информационной безопасности.
Как председатель Правления НП СОИБ я надеюсь, что  процесс создания, развития и функционирования СРО по ИБ будет поддержан  государственными регуляторами в области информационной безопасности и будет проходить в тесном и конструктивном взаимодействии с ними.
Без поддержки государственных регуляторов создание СРО в области информационной безопасности, на мой взгляд, не имеет смысла.

Представляется, что образование участниками рынка СРО ИБ и их активная деятельность могут внести весомый вклад в построение в России современного, в том числе в части решения вопросов информационной безопасности, информационного общества по всем его функциональным направлениям с учетом целей и задач «Стратегии развития информационного общества в Российской Федерации до 2020 года».

Благодарю за внимание.
Пярин Виктор Анатольевич,
член АЗИ, лауреат государственной премии РФ,
член-корреспондент Академии криптографии РФ.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Comment spam protected by SpamBam