Rambler's Top100
Реклама
 
Статьи
01 августа 2008

К вопросу о саморегулированииСм. также "ИКС"№ 7-8'2008

Регулятор, оператор, внешние независимые организации? Так кто же должен определять и создавать стандарты в области информационной безопасности? Читайте полую версию круглого стола, опубликованного в журнале «ИКС», № 7—8/2008. Часть II.

Юлий НисневичЮлий Нисневич, профессор ГУ-ВШЭ, сотрудник ЦИПРТ: У нас обычно говорят – регулятор. Я очень уважаю регулятора, но он, наверное, хуже операторов знает, как и что надо защищать. Что может определять регулятор? Пример из практики. Была замечательная идея: правовым образом регулировать спам. Вы смеетесь, а немало круглых столов это обсуждали. Всё кончилось, когда пришел человек, реально занимающийся технической защитой, и объяснил, что правовыми средствами со спамом бороться бесполезно и бессмысленно. Так регулятор может придумать стандарты, которых на самом деле и быть не может.






Алексей СабановАлексей Сабанов, заместитель гендиректора, «Аладдин Р.Д.»: «Все» не должны участвовать в разработке стандартов. В первых рядах должны быть специалисты регулятора. А вот согласовывать свою позицию и действия они должны с широкими слоями. И последним следует дозволить некоторые правки вносить в документ.









Павел  Антонов, технический консультант, Cisco Systems: Инициатива создания стандарта для отрасли связь всегда должна идти от операторов связи. Поскольку лучше их никто не знает, что им нужно, какой технический стандарт они могут использовать. Например, стандарты IEEE вырабатывают те, кто собирается в будущем им соответствовать.

Алексей ЧередниченкоАлексей Чередниченко, руководитель направления, Symantec: Инициатором не должен быть оператор связи. Он — лицо заинтересованное, и будет исходить из собственных взглядов и потребностей своего бизнеса. Требования должен формировать регулятор как лицо бесстрастное. Ведь на то он и регулятор, чтобы ратовать за исполнение этой задачи наилучшим образом. Но данная работа должна строиться на коллегиальной основе, а решение о финальной версии должен принимать регулятор и его эксперты. Поэтому регулятору надо выработать правильную процедуру привлечения к разработке законов и норм все заинтересованные стороны. К сожалению, пока такой подход слабо применяется.






Дмитрий КостровДмитрий Костров, руководитель службы безопасности, МТТ: Кто должен разрабатывать? Не регулятор и не оператор. Есть нормальная практика разработки стандартов: внешние независимые организации, объединяющие разных специалистов и от операторов, и от вендоров, и от научных институтов. В МСЭ есть целое направление по разработке стандартов ИБ, по противодействию киберпреступности.








Аркадий КремерАркадий Кремер, председатель Исполкома общественно-государственного объединения «Ассоциация документальной электросвязи», зам. председателя исследовательской комиссии по стандартизации ИБ МСЭ: Как правило, стандарты основаны на консенсусе, т.е. соглашении заинтересованных сторон. Добровольность отличает стандарт от правовых норм, имеющих обязательный характер. Отличительной особенностью стандартов по отношению к другим видам саморегулирования является достижение консенсуса в рамках признанной, авторитетной организации по стандартизации. Одной из таких организаций является МСЭ.






Илья ТрифаленковИлья Трифаленков, директор по развитию бизнеса, «Инфосистемы Джет»: Есть такой стандарт, хорошо известный всем, – международный стандарт ISO 27001. Один из наиболее часто задаваемых аудитором вопросов по нему: кто в вашей организации занимается информационной безопасностью? Лишь один ответ правильный: «все». В этом контексте нельзя сделать процесс разработки стандарта односторонним, идущим от регулятора, оператора, пользователя услуг. Каждая из сторон имеют свои интересы, и интересы всех должны быть учтены. Когда принимается нормативный документ, не учитывающий интересы хотя бы одной из сторон, получается неработающий документ, а иногда и приносящий вред.





Ю. Нисневич: Инициатива в правовом законодательстве должна быть обоюдной, но, к сожалению, ситуация до идеала далека. Вот и появляются законы, которые потом дорабатываются.

Решается только та задача, в которой все заинтересованы. Все реальные стандарты выработаны совместно. Конечно, регулятор должен разрабатывать стандарт. Но если не будет консенсуса, стандарт применять не будут либо возникнут конфликты. Эта идея саморегулирования лежит в основе международного опыта, который пора возвращать на российскую землю. Не потому, что он такой замечательный, а потому, что он лежит в мэйнстриме сегодняшнего развития.

Подготовила Галина Большова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!