Парафраз об аттестации в свете нового ФЗ-152

В новом старом ФЗ-152, в ст.19 есть такая защитная мера как «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных«. Можно долго и упорно спорить, что это такое, но зная, что реализовывать эту меру нужно будет по требованиям ФСТЭК, я с вероятностью 85-90% предположу, что это так называется аттестация объекта информатизации по требованиям безопасности.

Противники открытого письма Президенту мне возразят (как это было в этом посте), что я притягиваю все за уши и регуляторы у нас белые и пушистые и не имеют ни одной мысли о дополнительных обременениях рядовых операторов ПДн. В доказательство они опять начнут играть словами об обязательности и добровольности аттестации. Мол, по старому документу (еще Гостехкомиссии) обязательная аттестация применяется только к объектам, обрабатывающим гостайну и экологически опасным объектам, а все остальное делается на сугубо добровольной основе. Но все сразу вспомнят эпопею с первой версией четверокнижия, в которой аттестация была обязательной для ИСПДн К1/К2 (для К3 было прописано декларирование соответствия).

И вспомнились мне вдруг мои заметки, опубликованные 20-го и 21-го декабря прошлого года. В них как раз описывались планы одного из регуляторов по выпуску новых документов, по обязательной аттестации объектов не только для гостайны. И чтобы не слыть ретроградами и не смешивать аттестацию гостайны и конфиденциалки и родился такой канцеляризм, как «оценка эффективности принимаемых мер по обеспечению безопасности <вид конфиденциальной информации> до ввода в эксплуатацию информационной системы«. Помня те грабли, на которые регуляторы наступили в прошлый раз, сейчас они такой ошибки могут уже и не допустить ;-(

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Tomas

    Алексей, аттестация — доходное мероприятие, но аттестовать всех явно не получится, интеграторов столько в РФ нет, чтоб все эти миллионы операторов аттестовать.

    Ответить
  2. Baevsky

    И не надо всех. Свою копеечку они поднимут, пока все не опомнятся…

    Ответить
  3. Алексей Т.

    Опять Вы Алексей нам помогаете. 🙂 А еще открещивались от своей роли "запугивателя Операторов". Конечно, лучше добровольной аттестации ничего нет!!! Отличная система оценки эффективности реализованной системы защиты. Или Вы знаете лучше, открытее и честнее системы оценки эффективности? Поделитесь такой информацией.

    Ответить
  4. Анонимный

    Алексей Т.пишет…
    >Или Вы знаете лучше, открытее и честнее системы оценки эффективности?

    Пытались реализовать "лучше, открытее и честнее систему оценки эффективности" в СТО БР ИББС — но сейчас (19-й статьей измененного ЗоПД) вся эта работа пошла "ф топку"

    Ответить
  5. Сергей

    Может мы зря обвиняем регуляторов во всех смертных. Если исходить из "кому выгодно" — то помимо регуляторов и интеграторов это прежде всего крупные игроки любого рынка, которые могут себе позволить и аттестацию, и сертификацию и проча и проча. А мелочь раздавить руками государства, чтоб не путались под ногами.

    Ответить
  6. Анонимный

    Так все таки аттестация нужна получается в обязательном порядке по новому ФЗ,или нет? Или же стоит уточнить такую инфу у консультационного центра?!

    Ответить
  7. Unknown

    Алексею Т: оценка эффективности должна проводиться на постоянной основе. То, что предлагается — это, извините, бред. http://anvolkov.blogspot.com/2011/08/2.html

    Ответить
  8. ZZubra

    Алексей!

    Подскажите, пожалуйста, по нашему с Вами спору про действительность старой редакции для старых отношений Вы не спрашивали у своих юристов? Что они ответили?

    Ответить
  9. Алексей Т.

    2 А.Волков. В своей статье вы почему то не отметили "могущих повлиять на характеристики безопасности". Я чувствую, Вы на одной стороне с Лукацким. 😉 А ведь в этой фразе и есть смысл — установить характеристики, изменение которых влияет на безопасности и только в этом случае переаттестовывать. Продолжайте в том же духе, работы очень много…

    Ответить
  10. Unknown

    Алексею Т.: конечно на одной 🙂

    Изменения бизнес-логики однозначно затрагивают характеристики безопасности, поскольку требуют оперативного внесения изменений в матрицу разграничения доступа для устранения избыточных и конфликтных полномочий. Но если под безопасностью понимать то, что понимают регуляторы, то конечно — бизнес-логика здесь совершенно не при чем 🙂

    Ответить
  11. Unknown

    Зато новые версии, патчи и апдейты — как раз такой случай :)))

    Ответить
  12. Анонимный

    Сергей пишет…
    >помимо регуляторов и интеграторов это прежде всего крупные игроки любого рынка, которые могут себе позволить и аттестацию, и сертификацию и проча и проча.

    Не-а
    Не могут они себе позволить ждать по несколко месяцев сертификации обновлений. У них у всех информационные системы завязаны на Интернет.

    Аттестацию можно себе позволить только на отключенной от внешнего мира сети (что вполне нормально для ГТ)…

    Ответить
  13. Алексей Т.

    2 А.Волков. Неохота спорить, но я Вас уверяю, что если грамотно написать "Регламент внесения изменений в ИСПДн" и расписать, какие изменения Оператор может сам делать, а какие потребуют переаттестации, то аттестат вполне будет работоспособен. Например, вызов органа по аттестации требуется в случаях: замены СЗИ на другие (не обновления), изменение категорий ПДн, класса, замена оборудования, реализующего функции по защите. А корректировка матрицы доступа, обновления ПО и т.д. могут осуществляться самостоятельно и при условии соблюдения требований документации защищенность при этом не снижается.

    Ответить
  14. Unknown

    Алексею Т: Да мы вроде и не спорим. Просто я-то "оператор", и далеко не 1Ски. И потому Ваши бы слова, да ИМ в уши :)))

    Ответить
  15. Алексей Т.

    2 А.Волков. Кому ИМ? Им так же все равно, как Вы будете аттестовывать — хотите аттестуйте, хотите нет. Согласен, что Операторов сейчас разводят, но в этмо виноваты на 80 процентов сами Операторы, а не регуляторы…

    Ответить
  16. Алексей Т.

    Уточню: многих Операторов разводят, но далеко не всех и не все.

    Ответить
  17. Unknown

    Алексею Т.: пока разводят — это одно дело. Но что делать, если эти требования станут обязательными? Вот о чем речь. И мы с Лукацким видим реальную угрозу. Может и напрасно, но "хочешь мира — готовься к войне".

    Ответить
  18. Алексей Т.

    А вы все-таки задумайтесь о последствиях таких "подготовок к войне" — в итоге вы запугиваете Операторов посильнее регуляторов. Говорю открыто, не допуская мысли о коррысти в вашем поведении. 😉 Нужно все-таки более позитивно смотреть на жисть и регуляторов. ))))

    Ответить
  19. Сергей

    Если бы еще и регуляторы более позитивно смотрели на операторов. Посмотрите существующие подзаконные, особенно ФСТЭКовские или трехглавый. Полный неадекват.
    Или лицензирование, ну объясните мне, бестолковому, почему лицензия для СКЗИ для собственных нужд не нужна, а для СЗИ нужна? Почему затраты для ФСБшных лицензий (кроме производства) небольшие и вполне подъемные, а для ТЗКИ (оборудование) — миллионы? Почему от ФСТЭК нельзя получить нормального ответа на поставленный вопрос (см. ответ Минздраву по вопросу лицензирования)- сплошное цитирование — спасибо, читать я еще в детском саду научился. На семинарах то же самое.

    Ответить
  20. Unknown

    Алексею Т.: да уж какая корысть, помилосердствуйте… Что касается запугивания — так это спасибо регуляторам, благодаря молчанию которых и рождаются такие мысли. А Сергей отлично сказал про позитив 🙂

    Ответить
  21. Евгений

    Вот постоянно в обсуждениях по ФЗ-152 поминают интеграторов, причем в нехорошем ключе. А по мне так вполне нормальная рыночная ситуация — компании, пользуясь законодательной базой, зарабатывают деньги. Это плохо??

    Или нормально — это когда банки, не сообщают скрытые комиссии по кредитам, всеми возможностями обирают клиентов-физлиц, страховые компании задирают через законодательство обязательные страховые платежи, причем сами по страховым случаям не торопятся платить, платные медучреждения готовы человеку вылечить "все" за все его деньги и т.п. — а вот если тем же самым занялись интеграторы, то сразу попадают в "силы зла"???

    Согласен, малый бизнес не потянет, но ведь его никто и не будет особо притеснять, раз нечего взять, а с указанных выше игроков, сам бог велел постричь бабла. 🙂

    Не согласны?

    Ответить
  22. Сергей

    Евгений, не согласен, указанных выше игроков постричь не получится, сами постригут всех, и ГД, и СФ, и правительство с президентом. Кто девушку кормит, тот ее и танцует. А обдирать как раз и будут малый и средний — с миру по нитке…

    Ответить
  23. Unknown

    Евгению: вот Вы удачно привели в пример банки. И ведь интеграторы как банки, всякие есть: есть разводилы такие, что мама не горюй, а есть — другие, честные. Первых видно, как на ладони, и это сначала смешно, потом противно. Я — за последних.

    Ответить
  24. Анонимный

    Евгений
    >а с указанных выше игроков, сам бог велел постричь бабла. 🙂
    >Не согласны?

    Святая простота (с)

    Не с них будут стричь бабло, а с Вас. Они всего лишь вложат в цены на товары и услуги все то бабло, что состригут с них (и еще добавят за "моральный ущерб") — т.ч. платить прийдется Вам лично… И платить на коженном углу и по каждому чиху…

    Ответить