Обращение к читателям журнала Information Security

Геннадий Емельянов
президент Межрегиональной общественной организации
“Ассоциация защиты информации",
член-корр. Академии криптографии РФ,
действительный государственный советник 3-го класса

В силу ряда не относящихся к делу обстоятельств я в последние два года фактически не исполнял функции руководителя наблюдательного совета журнала Information Security, хотя такая информация в ряде выпусков продолжает печататься.

Поэтому публикация в № 1 журнала за этот год открытого письма директору ФСТЭК невольно затрагивает и мою репутацию, хотя, конечно, наблюдательный совет не выполняет редакторские функции и не просматривает все предполагаемые к печати материалы.

Но к редакторской политике совет, безусловно, отношение имеет. И до сих пор необходимости вмешиваться в нее не было. В данной ситуации такая потребность возникла, причем, к сожалению, тоже в публичной форме, как и сама статья. И в этой связи я хотел бы высказать следующее.

Уже по выходе журнала редакция выпустила специальное информационное письмо о технической ошибке при печати – упущенном имени автора этого открытого письма, И.А. Калганова, генерального директора ООО "Инфосекьюрити Сервис". Досадная, непростительная ошибка, вводящая читателей в заблуждение. При отсутствии подписи создается впечатление, что письмо отражает позицию редакции и ее наблюдательного совета. А дело обстоит как раз наоборот.

Редакция журнала опубликовала частное мнение руководителя одной из компаний, работающих на рынке информационной безопасности, следуя широко распространенному правилу проведения публичных дискуссий печатать мнения, не совпадающие с мнением редакции (о чем читатели постоянно информируются на стр. 3 каждого номера журнала).

Вместе с тем использование формы открытого письма носит неконструктивный дух противостояния и совершенно неприемлемо в нашей среде. Ежегодно проводится много мероприятий публичного характера, на которых присутствуют представители регуляторов, где происходит обмен мнениями заинтересованных сторон и обсуждаются назревшие и требующие решения проблемы в области информационной безопасности. Особенно удобна для этого форма "круглых столов", трибуну которых, я полагаю, и мог использовать автор, если он хочет публичности обсуждения своих мнений и предложений.

Что касается собственно содержания публикации, то, не отрицая в целом проблемы сложности нормативной базы в области защиты информации и необходимости ее совершенствования, хотел все же обратить внимание на необходимость критического отношения к приводимым автором доводам.

Только два примера. Автор констатирует катастрофическую ситуацию с нехваткой сертифицированных СЗИ для защиты ПДн (800 на несколько сотен тысяч операторов ПДн). Должен заметить, что сертифицируется не каждый конкретный экземпляр СЗИ, а вид (конкретная разработка), который затем производится в необходимом количестве экземпляров. Так что хватит всем, были бы средства для этого. Но это уже другой вопрос. Прошу прощения у читателей за ликбез. Непонятно также, почему автор приписывает операторам обязанность сертифицировать самим средства защиты информации (это тоже из области ликбеза).

Вместе с тем я никоим образом не отрицаю необходимость обсуждения и разъяснения поставленных в конце публикации вопросов, однако делать это надо в менее агрессивной и эмоциональной форме. Хочу заметить, что над их решением ФСТЭК планомерно и эффективно работает в сотрудничестве с другими федеральными органами государственной власти, общественными организациями, экспертами рынка, лицензиатами. Так, 3 апреля на конференции "Актуальные проблемы информационной безопасности", посвященной десятилетнему юбилею Межрегиональной общественной организации "Ассоциация защиты информации", заместитель начальника Управления ФСТЭК В.С. Лютиков на руководимом им "круглом столе" как раз и информировал профессиональное сообщество о ходе работ по изменению нормативной базы, и его доклад лишний раз подтвердил, что вопросы стандартизации, сближения российских и мировых стандартов в области ИБ сейчас находятся в фокусе внимания основных регуляторов рынка информационной безопасности – ФСТЭК и ФСБ России. И кстати, Федеральная служба по техническому и экспортному контролю неоднократно доводила информацию о своей деятельности по совершенствованию нормативной базы до заинтересованных лиц на многочисленных публичных мероприятиях (в том числе и организованных компанией "Гротек").

Странно, что руководитель компании-лицензиата ФСТЭК, руководитель комитета НП "АБИСС" не владеет доступной и открытой информацией о работе ФСТЭК.

И последнее. Совершенно недопустимым является сопровождение публикации фотографией без согласования с заинтересованным лицом. Тем более что непонятна цель этого. Уместнее было бы сопроводить материал фотографией автора.

Рассматриваю свою публикацию как принесение публичных извинений от имени наблюдательного совета, о возобновлении работы в котором я сейчас веду переговоры с журналом, перед ФСТЭК и ее директором за некорректную публикацию.

Уверен, что то же сделает и редакция.

Что касается автора, то это его личное дело.