Об этом рассказали участники пленарной сессии "Системное развитие ИБ-регуляторики" на площадке конференции по вопросам регуляторики информационной безопасности Ассоциации пользователей стандартов по информационной безопасности" (АБИСС) отвечая на вопрос модератора сессии, председателя ассоциации АБИСС, руководителя компании Aktiv.consulting Анастасии Харыбиной "Должен ли появится какой-то межведомственный орган (или процедура), который будет заниматься развитием, согласованием и гармонизацией регуляторных требований?".

По мнению начальника экспертного подразделения Федеральной службы безопасности (ФСБ) России Алексея Петрова, ведомств и организаций, занимающихся регуляторикой в стране, достаточно, и у каждого - своя компетенция. Он сказал, что у ФСБ нет проблемы с установкой прямого контакта ни с банками, ни с Федеральной службой по техническому и экспортному контролю, ни с Министерством цифрового развития, связи и массовых коммуникаций для обсуждения регулирования. И создание какого-то третьего ведомства, куда нужно будет направлять запросы, - излишне. Однако, по его мнению, законодательство и нормативно-правовые акты РФ нуждаются в переменах и обновлении, которое происходит, но не быстро.

"Мы видим те вещи, которые надо отменить или упростить, чтобы люди делали правильно. Работа по обновлению идет, но медленно", - сказал Алексей Петров.

С ним согласился сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ) Андрей Раевский. По его мнению, нормативно-правовая база РФ нуждается в модернизации и совершенствовании. Он отметил необходимость ее соблюдения как организациями, так и подрядчиками, которые могут указать регуляторам на ее "слабые" места.

"Я тоже не поддерживаю создание начальника всех начальников, - сказал научный редактор журнала "Информационная безопасность бизнеса", заместитель начальника управления по обеспечению информационной безопасности ПАО "ВТБ". - Но нужны координация и четкое разграничение полномочий между регуляторами. Мне нравится идея об упрощении регуляторики, чтобы сделать ее удобнее для регулируемых, наверное здесь возможен какой-то орган, но как его создать - это хороший вопрос. На мой взгляд, у нас недостаточно развито экспертное сообщество. В РФ есть ассоциации экспертов, но они, по большей части, играют роль лоббистских организаций. Я за упрощение нормативных актов, но я и за появление независимой и объективной экспертизы, которой сейчас нет. На мой взгляд, должны быть такие общества и площадки, где люди будут открыто высказывать мнение. Тогда было бы меньше ошибок. Наконец, я согласен с необходимостью обновления нормативной базы, так как у нас меняются как техническая часть, так и общественные отношения".

Однако, с точки зрения заместителя генерального директора АО "Информационные технологии и коммуникационные системы" Дмитрия Гусева, новый регулятор для компаний-разработчиков будет лишним, так как они уже вынуждены справляться с целым рядом регуляторных требований. По его словам, помимо сертификации от разных регуляторов, появилось множество разнообразных реестров - это настоящая боль для всех компаний.

"Очень много сил уходит на доказательство группам экспертов и экспертным организациям, что мы правильные, отечественные, все делаем и никуда не уходим, - рассказал Дмитрий Гусев. - В России параллельно существует странная система квазисертификации, и мы уже не знаем, в какой реестр нас еще занесут, и кому мы будем что-то доказывать. К сожалению для нас, эти сертификаты не сказываются на повышении качества, а количество реестров продолжает плодиться, и всем нужно доказать, что мы достойны доверия, и у каждого свои критерии доверия. Хочется призвать наших регуляторов освободить нас от этого. Мне кажется, что нам нужно смелее использовать практики экспериментально-правовых режимов по отношению к тем или иным отраслям и инфосистемам. Чтобы мы понимали, каким образом те или иные предложения, нормативные акты и соответствующие пункты будут влиять на ситуацию. Мы находимся в такой ситуации, когда нам нужно очень быстро оценивать качество регулирования. Но если мы делаем это годами, то мы отстаем от развития информационных технологий. Так было с блокчейном, но мода на него прошла, и теперь мы регулируем ИИ. Появится что-то еще - мы будем регулировать новинку. Мне кажется, что законотворцы не успевают за развитием технологий".

Анастасия Харыбина рассказал корреспонденту ComNews, что она согласна с тем, что "надструктуру"-регулятора создавать не нужно, так как это будет "долго, дорого, сложно и никому не нужно". Однако, по ее мнению, функции по гармонизации и идентификации требований регуляторов, чтобы они не повторяли друг-друга, необходимы.

"Когда я задавала вопрос, я не имела в виду организацию на базе очередного федерального органа исполнительной власти или министерства. - сказала Анастасия Харыбина. - Я имела в виду некую структуру, комиссию или процедуру, через которую проходят все планы по регуляторным требованиям и их развитию. Мне кажется, что что-то подобное должно появиться, и оно должно иметь обратную связь от экспертного сообщества, чтобы развитие регуляторики не шло вразрез с возможностями самих поднадзорных, чтобы им не пришлось держать в голове около 4 тыс. требований от разных регуляторов."