Противники открытого письма Президенту мне возразят (как это было в этом посте), что я притягиваю все за уши и регуляторы у нас белые и пушистые и не имеют ни одной мысли о дополнительных обременениях рядовых операторов ПДн. В доказательство они опять начнут играть словами об обязательности и добровольности аттестации. Мол, по старому документу (еще Гостехкомиссии) обязательная аттестация применяется только к объектам, обрабатывающим гостайну и экологически опасным объектам, а все остальное делается на сугубо добровольной основе. Но все сразу вспомнят эпопею с первой версией четверокнижия, в которой аттестация была обязательной для ИСПДн К1/К2 (для К3 было прописано декларирование соответствия).
И вспомнились мне вдруг мои заметки, опубликованные 20-го и 21-го декабря прошлого года. В них как раз описывались планы одного из регуляторов по выпуску новых документов, по обязательной аттестации объектов не только для гостайны. И чтобы не слыть ретроградами и не смешивать аттестацию гостайны и конфиденциалки и родился такой канцеляризм, как «оценка эффективности принимаемых мер по обеспечению безопасности <вид конфиденциальной информации> до ввода в эксплуатацию информационной системы«. Помня те грабли, на которые регуляторы наступили в прошлый раз, сейчас они такой ошибки могут уже и не допустить ;-(
Алексей, аттестация — доходное мероприятие, но аттестовать всех явно не получится, интеграторов столько в РФ нет, чтоб все эти миллионы операторов аттестовать.
И не надо всех. Свою копеечку они поднимут, пока все не опомнятся…
Опять Вы Алексей нам помогаете. 🙂 А еще открещивались от своей роли "запугивателя Операторов". Конечно, лучше добровольной аттестации ничего нет!!! Отличная система оценки эффективности реализованной системы защиты. Или Вы знаете лучше, открытее и честнее системы оценки эффективности? Поделитесь такой информацией.
Алексей Т.пишет…
>Или Вы знаете лучше, открытее и честнее системы оценки эффективности?
Пытались реализовать "лучше, открытее и честнее систему оценки эффективности" в СТО БР ИББС — но сейчас (19-й статьей измененного ЗоПД) вся эта работа пошла "ф топку"
Может мы зря обвиняем регуляторов во всех смертных. Если исходить из "кому выгодно" — то помимо регуляторов и интеграторов это прежде всего крупные игроки любого рынка, которые могут себе позволить и аттестацию, и сертификацию и проча и проча. А мелочь раздавить руками государства, чтоб не путались под ногами.
Так все таки аттестация нужна получается в обязательном порядке по новому ФЗ,или нет? Или же стоит уточнить такую инфу у консультационного центра?!
Алексею Т: оценка эффективности должна проводиться на постоянной основе. То, что предлагается — это, извините, бред. http://anvolkov.blogspot.com/2011/08/2.html
Алексей!
Подскажите, пожалуйста, по нашему с Вами спору про действительность старой редакции для старых отношений Вы не спрашивали у своих юристов? Что они ответили?
2 А.Волков. В своей статье вы почему то не отметили "могущих повлиять на характеристики безопасности". Я чувствую, Вы на одной стороне с Лукацким. 😉 А ведь в этой фразе и есть смысл — установить характеристики, изменение которых влияет на безопасности и только в этом случае переаттестовывать. Продолжайте в том же духе, работы очень много…
Алексею Т.: конечно на одной 🙂
Изменения бизнес-логики однозначно затрагивают характеристики безопасности, поскольку требуют оперативного внесения изменений в матрицу разграничения доступа для устранения избыточных и конфликтных полномочий. Но если под безопасностью понимать то, что понимают регуляторы, то конечно — бизнес-логика здесь совершенно не при чем 🙂
Зато новые версии, патчи и апдейты — как раз такой случай :)))
Сергей пишет…
>помимо регуляторов и интеграторов это прежде всего крупные игроки любого рынка, которые могут себе позволить и аттестацию, и сертификацию и проча и проча.
Не-а
Не могут они себе позволить ждать по несколко месяцев сертификации обновлений. У них у всех информационные системы завязаны на Интернет.
Аттестацию можно себе позволить только на отключенной от внешнего мира сети (что вполне нормально для ГТ)…
2 А.Волков. Неохота спорить, но я Вас уверяю, что если грамотно написать "Регламент внесения изменений в ИСПДн" и расписать, какие изменения Оператор может сам делать, а какие потребуют переаттестации, то аттестат вполне будет работоспособен. Например, вызов органа по аттестации требуется в случаях: замены СЗИ на другие (не обновления), изменение категорий ПДн, класса, замена оборудования, реализующего функции по защите. А корректировка матрицы доступа, обновления ПО и т.д. могут осуществляться самостоятельно и при условии соблюдения требований документации защищенность при этом не снижается.
Алексею Т: Да мы вроде и не спорим. Просто я-то "оператор", и далеко не 1Ски. И потому Ваши бы слова, да ИМ в уши :)))
2 А.Волков. Кому ИМ? Им так же все равно, как Вы будете аттестовывать — хотите аттестуйте, хотите нет. Согласен, что Операторов сейчас разводят, но в этмо виноваты на 80 процентов сами Операторы, а не регуляторы…
Уточню: многих Операторов разводят, но далеко не всех и не все.
Алексею Т.: пока разводят — это одно дело. Но что делать, если эти требования станут обязательными? Вот о чем речь. И мы с Лукацким видим реальную угрозу. Может и напрасно, но "хочешь мира — готовься к войне".
А вы все-таки задумайтесь о последствиях таких "подготовок к войне" — в итоге вы запугиваете Операторов посильнее регуляторов. Говорю открыто, не допуская мысли о коррысти в вашем поведении. 😉 Нужно все-таки более позитивно смотреть на жисть и регуляторов. ))))
Если бы еще и регуляторы более позитивно смотрели на операторов. Посмотрите существующие подзаконные, особенно ФСТЭКовские или трехглавый. Полный неадекват.
Или лицензирование, ну объясните мне, бестолковому, почему лицензия для СКЗИ для собственных нужд не нужна, а для СЗИ нужна? Почему затраты для ФСБшных лицензий (кроме производства) небольшие и вполне подъемные, а для ТЗКИ (оборудование) — миллионы? Почему от ФСТЭК нельзя получить нормального ответа на поставленный вопрос (см. ответ Минздраву по вопросу лицензирования)- сплошное цитирование — спасибо, читать я еще в детском саду научился. На семинарах то же самое.
Алексею Т.: да уж какая корысть, помилосердствуйте… Что касается запугивания — так это спасибо регуляторам, благодаря молчанию которых и рождаются такие мысли. А Сергей отлично сказал про позитив 🙂
Вот постоянно в обсуждениях по ФЗ-152 поминают интеграторов, причем в нехорошем ключе. А по мне так вполне нормальная рыночная ситуация — компании, пользуясь законодательной базой, зарабатывают деньги. Это плохо??
Или нормально — это когда банки, не сообщают скрытые комиссии по кредитам, всеми возможностями обирают клиентов-физлиц, страховые компании задирают через законодательство обязательные страховые платежи, причем сами по страховым случаям не торопятся платить, платные медучреждения готовы человеку вылечить "все" за все его деньги и т.п. — а вот если тем же самым занялись интеграторы, то сразу попадают в "силы зла"???
Согласен, малый бизнес не потянет, но ведь его никто и не будет особо притеснять, раз нечего взять, а с указанных выше игроков, сам бог велел постричь бабла. 🙂
Не согласны?
Евгений, не согласен, указанных выше игроков постричь не получится, сами постригут всех, и ГД, и СФ, и правительство с президентом. Кто девушку кормит, тот ее и танцует. А обдирать как раз и будут малый и средний — с миру по нитке…
Евгению: вот Вы удачно привели в пример банки. И ведь интеграторы как банки, всякие есть: есть разводилы такие, что мама не горюй, а есть — другие, честные. Первых видно, как на ладони, и это сначала смешно, потом противно. Я — за последних.
Евгений
>а с указанных выше игроков, сам бог велел постричь бабла. 🙂
>Не согласны?
Святая простота (с)
Не с них будут стричь бабло, а с Вас. Они всего лишь вложат в цены на товары и услуги все то бабло, что состригут с них (и еще добавят за "моральный ущерб") — т.ч. платить прийдется Вам лично… И платить на коженном углу и по каждому чиху…