10 принципов хартии владельцев и руководителей ИБ-компаний

В конце мая в Учебном центре «1С» в Москве состоялось подписание «Хартии владельцев и руководителей компаний, работающих в области защиты информации и криптографии». Церемонии предшествовало почти двухчасовое обсуждение документа, в результате которого в него было внесено множество уточнений. В итоге финальный вариант основной части Хартии приобрел следующий вид.

Понимая общность интересов и задач развития отрасли ИБ, участники рынка, подписывая настоящую хартию, согласились считать для себя имеющими силу обязательства, изложенные в нижеследующих пунктах:

1. в своей профессиональной деятельности, наравне с действующим законодательством РФ, оказывать содействие российским компетентным органам в расследовании компьютерных преступлений по их запросу и в соответствии с законодательством РФ;

2. при разработке нормативно-правовых актов в области защиты информации/ИБ оказывать экспертное содействие профильным ведомствам, таким как Совет Федерации ФС РФ, Государственная Дума ФС РФ, Правительство РФ, Совет Безопасности, федеральные органы исполнительной власти, Военно-промышленная комиссия РФ, межведомственные органы, создаваемые Президентом Правительством, ФСТЭК России, ФСБ России, Роскомнадзор России, МВД России, МО России и ЦБ России;

3. оказывать содействие системе образования в подготовке квалифицированных кадров в области защиты информации/ИБ и разработке методических материалов, созданию полигонов и стендов по продуктам, предоставлению бесплатных демоверсий продуктов;

4. при разработке защищенных систем и комплексов, СЗИ и СКЗИ руководствоваться принципами создания продукции соответствующей необходимым критериям безопасности, считать должной практикой наличие аттестатов и сертификатов регуляторов в области защиты информации;

5. в случае конфликта между компаниями, том числе в спорных вопросах правообладания, воздерживаться от популистских заявлений и комментариев в СМИ; в случае невозможности разрешения конфликта путем переговоров по обоюдному согласию привлекать к урегулированию отношений профессиональные объединения (например, ассоциации АПКИТ, АЗИ, АБИСС);

6. придерживаться принципов честной конкуренции; способствовать созданию благоприятной среды для добросовестных участников рынка: добросовестно работать с заказчиком; не использовать возможности своих технологий для открытой демонстрации уязвимостей чужой продукции;

7. осуждать практику использования коррупционных схем в ведении бизнеса;

8. стремиться к контролю соответствия продуктов и услуг требованиям регламентирующих документов (как вариант — путем создания СРО, не затрагивая при этом существующие системы лицензирования и сертификации);

9. обо всех случаях непорядочного поведения компании, обмана или введения в заблуждение заказчика уведомлять Комитет АПКИТ по ИБ;

10. прилагать усилия к расширению списка участников, подписавших Хартию.

Легко заметить, что среди перечисленных выше пунктов есть такие, с которыми едва ли кто станет спорить. В то же время некоторые участники рынка ИБ отмечают, что там есть там и пункты, обозначающие поддержку усиления регулирования рынка со стороны ФСТЭК. Однако вопрос о том, как это влияет на рынок — крайне дискуссионный. Есть и такое мнение: «Контролировать нужно результат, а не формальное соблюдение требований». А ещё бытует мнение, что многим компаниям, предлагающим ИБ-продукты, просто нецелесообразно заниматься сертификацией своих решений — она не окупается. Сторонники этого мнения говорят: «Чтобы сертификация конкретного продукта окупилась, объем его продаж должен составлять несколько миллионов долл.».

Впрочем, в любом документе можно найти как плюсы, так и минусы. Более того, что для одних плюс, то для других минус. Все зависит не только от качества документа, но и от взглядов критиков.

«Целью данного документа является формирование отраслевого сообщества ответственных компаний, готовых работать на данном рынке в цивилизованной форме и участвовать в его развитии. В дальнейшем на основе компаний, подписавших Хартию, планируется отработать механизмы отраслевого саморегулирования. Выработка таковых механизмов будет происходить уже внутри круга подписавших», — сообщил исполнительный директор АПКИТ Николай Комлев.

Первыми подписантами Хартии стали руководители 12 компаний: ООО «Бизнес компьютерс групп», ОАО «ИнфоТеКС», ФГУП НПП «Гамма», ООО «Код Безопасности», «Национальная компьютерная корпорация» (НКК), АО «Элвис-Плюс», «Инфосистемы Джет», «Академия информационных систем», ООО «Группа компаний ТОНК», ООО «Центр Информационной Безопасности» (ЦИБ), АО «ЭлеСи» и Aladdin R.D. Хартия открыта для новых подписантов.

По мнению сопредседателя Комитета АПКИТ по вопросам ИБ Дмитрия Кувшинникова, в России насчитывается несколько сотен компаний, предоставляющих конечным пользователям ИБ-решения с сертификатами и аттестатами, выданными госрегуляторами. В то же время круг потенциальных подписантов данной Хартии ещё шире.

Отметим, что данный документ охватывает круг вопросов этики, профессионализма и добросовестных практик участников рынка, работающих в сфере ИБ, включая проектирование, разработку, изготовление, поставку и сопровождение СЗИ, СКЗИ и создании систем защиты информации. Согласно п.33 раздела V Доктрины информационной безопасности Российской Федерации (утверждёна Указом Президента РФ № 646 от 5 декабря 2016 г.), ими являются: «операторы информационных систем, организации, осуществляющие деятельность по созданию и эксплуатации информационных систем и сетей связи, по разработке, производству и эксплуатации средств обеспечения ИБ, по оказанию услуг в области обеспечения ИБ, организации, осуществляющие образовательную деятельность в данной области, общественные объединения, иные организации и граждане, которые в соответствии с российским законодательством участвуют в решении задач по обеспечению ИБ».

Все эти предприятия и организации и являются потенциальными подписантами Хартии.