Рубрикатор |
Статьи | ИКС № 05 2014 |
Лилия ПАВЛОВА  | 06 мая 2014 |
Инфобезопасность нуждается в этике
Компании, работающие в сфере информационной безопасности, почувствовали потребность в саморегулировании, которое поможет сформировать правила бизнес-этики.
В России сегодня действует около 1,5 тыс. СРО, созданных в соответствии с Федеральным законом от 01.12.2007 N315-ФЗ «О саморегулируемых организациях» как в обязательном порядке (в сфере строительства, подготовки проектной документации и др.), так и на добровольной основе (в области управления недвижимостью, кадастровой оценки, медицины, пожарной безопасности и др.). Рынок информационной безопасности, регулируемый и контролируемый ФСТЭК, ФСБ, Банком России и Роскомнадзором, к саморегулированию законом не обязывается и до недавнего времени добровольно к нему не стремился.
Впервые тему создания СРО в ИБ затронуло в 2011 г. сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России, – АБИСС. В 2013 г. для получения статуса СРО оно реорганизовалось в НП АБИСС. Кроме того, в 2013 г. по инициативе ряда членов АЗИ (Ассоциации защиты информации) было учреждено НП СОИБ — некоммерческое партнерство «Содружество организаций, работающих в области информационной безопасности». Как сообщил на недавнем форуме АЗИ «Актуальные вопросы информационной безопасности» председатель правления партнерства Виктор Пярин, сейчас НП СОИБ готовит необходимый для внесения в государственный реестр СРО пакет документов – в первую очередь, стандартов и правил, регулирующих деятельность членов в соответствии с правилами деловой этики и препятствующих недобросовестной конкуренции. «В России сформировался и продолжает активно развиваться рынок специализирующихся на ИБ организаций, но не все они ведут честный и открытый бизнес, – пояснил В. Пярин. – При этом сегодня не существует эффективных фильтров, позволяющих обеспечить участие в конкурсах и аукционах только тех компаний, которые реально способны предоставлять заказчикам продукты и услуги высокого качества». Именно саморегулируемая организация в области инфобезопасности сможет, по его мнению, устанавливать правила этики конкуренции на рынке.
Эту позицию поддержал Николай Мурашов, заместитель начальника Центра ФСБ России. По его словам, сертификация продуктов для защиты информации часто осложняется некачественной подготовкой материалов для проведения исследований. «Для решения подобных вопросов, которые нельзя формализовать, должна быть договоренность между участниками рынка, – заметил Н. Мурашов. – И здесь свою роль может сыграть СРО». Кроме того, СРО могла бы взять на себя функцию внутреннего контроля качества создаваемых продуктов. «Получение лицензий ставит определенный барьер для постоянно растущего количества желающих войти в бизнес ИБ, но здесь, как с водительскими правами: получили – а дальше ездят как получится, – признал Н. Мурашов. – Поэтому нужна некая объединяющая сила, которая стимулировала бы процессы внутреннего контроля над созданием продуктов, над этикой бизнеса».
К другим задачам СРО относится разработка и установление согласованных с участниками рынка требований по обеспечению безопасности информационных систем, в том числе ИСПДн (за исключением ИС критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи; организация системы добровольной аккредитации организаций, оценки качества продуктов и услуг, в том числе новых информационных технологий, на соответствие требованиям по ИБ; сертификация в рамках системы добровольной сертификации продуктов и услуг в области обеспечения ИБ информационных систем; содействие госрегуляторам при разработке отраслевых нормативных правовых актов по обеспечению ИБ. По словам В. Пярина, применение саморегулирования позволит «разгрузить Банк России, ФСБ, ФСТЭК, Роскомнадзор от ряда аспектов развития нормативно-правовой базы и контроля и надзора», когда собственно государственный надзор в большей степени будет направлен не на деятельность организаций, а на ее результат.
Впрочем, нельзя сказать, что регулятор безоговорочно готов «разгрузиться». «Да, сегодня самая большая проблема – качество оказания услуг организациями-лицензиатами, – признал Виталий Лютиков, начальник управления ФСТЭК России. – Но для того чтобы повысить качество, необязательно создавать СРО. Если ассоциация задастся такой целью, она может осуществлять контроль, а мы готовы выносить на подобные форумы вопросы недобросовестного выполнения работы отдельными организациями». Представитель ФСТЭК отметил также, что прежде чем выносить предложение о создании СРО на уровень госорганов, надо определиться с вопросом: а что, собственно, будет регулировать саморегулируемая организация. Кроме того, по его словам, потребуется определить, какой государственный орган будет осуществлять контроль деятельности этой СРО, отчетности, ведения реестра – а эти вопросы потянут за собой ряд других.
Возможно, тема СРО в ИБ пока сыровата, но если бизнес ею занялся – значит, она уже горяча и близка к готовности перейти в практическую плоскость.