Иллюстрация от Васи Ложкина (подпись "Регулятор" - моя)
Этот пост - продолжение мыслей, изложенных в блоге шесть лет назад в материале “Плач безопасника по ИБ”. Сразу признаем, что проблем с нормативным регулированием информационной безопасности в банковской сфере спустя шесть лет стало только больше.
Краткая справка
В 2021 году Банк России намерен выпустить 55 нормативных актов с приоритетом первой очереди, которые издаются в связи с принятием федеральных законов, и 211 нормативных актов — с приоритетом второй очереди. По плану подготовки нормативных актов на 2020 год был издан 231 нормативный акт, в том числе 191 зарегистрирован Минюстом России и опубликован на сайте Банка России, 29 находятся на государственной регистрации в Минюсте России.
Во многих банках в последние годы в тайне надеялись и ждали (и не только безопасники!), когда же наступит усталость и "выгорание" у взыскателей и проверяющих. После массовых проверок в банках 2016-2019 годов, "боги" наконец-то услышали банковское сообщество и число проверок регуляторов сократилось по "естественным" причинам.
Если уже даже Греф в интервью РБК особо подчёркивает, что в условиях пандемии "меры, связанные с ослаблением регулирования очень нам помогли", то что можно сказать о других финансовых организациях. На протяжении последних лет в условиях жесткого, но путанного российского законодательства каждый банк старался реализовать свой план выживания и так или иначе пройти через узкое горлышко законодательных требований.
В особенности это касается законодательного регулирования области защиты информации для банковской системы РФ. Соблюдать требования нормативных и иных актов, регулирующих сферу информационной безопасности банков - это значит пытаться разобраться, в основном, в только что опубликованных свежих требованиях со стороны регуляторов, существенно изменяющих или вообще отменяющих часть старых требований. Эти изменения поступают сплошным потоком в виде положений, указаний, правил, методик и писем. Все эти документы вносят новые, произвольные пункты требований, на которые банки вынуждены реагировать, забывая, что это как-то должно сочетаться с другими требованиями из других нормативных документов в определенной логической последовательности и с учетом местных условий.
По сути, наше законодательство пытается охватить и регулировать все вопросы, связанные с процессами обеспечения информационной безопасности в банках (взаимодействие с платёжной системой Банка России, взаимодействие с национальной платёжной системой и т.д.). Добавление новых правил и требований в принятые ранее нормативные и иные акты по частям приводит к непропорциональному усложнению законодательства в сфере ИБ, так как теряется единый ориентир, к которому можно было бы в любой момент обратиться, чтобы убедиться во взаимной совместимости всех составляющих частей.
Из-за частоты вносимых регуляторами изменений невозможно воспринимать законодательство по ИБ в банковской сфере как логически связанное единое целое. И в этом видится большая проблема отраслевого регулирования информационной безопасности в кредитных финансовых организациях, так как главным приоритетом служб ИБ в банках становится не построение надёжной системы защиты, а формирование минимально необходимого комплекта документации, требуемого при аудиторских проверках.
Тот факт, что применение законодательных актов надо ещё и разъяснять регулируемым организациям, говорит о многом (для банков в этом качестве выступают: Банк Росиии, ФСТЭК, РКН и другие).
Необходимо упрощать регулирование в сфере ИБ, а в идеале законодателям хорошо бы больше уделять внимания регулированию ответственности за инциденты информационной безопасности.
Из мировой истории можно вспомнить пример Наполеона, который столкнулся с чехардой законов во Франции и исправил ситуацию, создав упорядоченный кодекс законов, в основе которого был положен диктат полной логической совместимости.
Из свежих схожих инициатив вспоминаются поручения Дмитрия Медведева о подготовке перечня правовых актов СССР и РСФСР для признания утратившими силу или недействующими на территории РФ.
Известно, что великого художника Илью Репина не пускали в Третьяковскую галерею, если у него в руках были мольберт и кисти. Дело в том, что Репин не признавал свои картины законченными и постоянно норовил их поправить. У вас нет ощущения, что Банк России, штампуя свои правила, страдает тем же?
Ещё по теме:
Комментариев нет:
Отправить комментарий