Регулятор оффлайн

Многие, наверное, читали или слышали про нововведения в 99-ФЗ «О лицензировании отдельных видов деятельности», посвященные возможности подачи документом на получение лицензий в электронном виде. Не знаю, много ли лиц прошли эту процедуру, но я подумал, что эта здравая идея (коль скоро у нас власти заявляют о работающих СМЭВ, портале госуслуг и, вообще, информатизации всей страны) может быть развита и дальше, особенно в области действия «наших» традиционных регуляторов — ФСТЭК и ФСБ; причем последней в первую очередь.

О чем идет речь? Ну, во-первых, коль скоро у нас ФСБ (а именно 8-й центр) активно занимается темой защиты персональных данных, то неплохо было бы привести и свой сайт в полном соответствие с законом и своими же методическими документами. А то получается забавная ситуация, которая неплохо описана у Михаила Брауде-Золотарева. Ее можно описать перефразированными словами Оруэлла из «Скотного двора» «все операторы ПДн равны, но некоторые равнее других». И эти некоторые — это госорганы, которых фиг заставишь выполнять обязанности по защите прав граждан, как субъектов персональных данных. Я про это уже писал. Про реальные действия основного защитника прав субъектов ПДн также написано немало. Так что то самая простейшая тема по защите ПДн при обращении в госорган нашими регуляторами реализуется из рук вон плохо (чего уж ждать от тех, кто в этой теме только гость).

Вторая тема связана с сертификатами на средства защиты, выдаваемые ФСБ и ФСТЭК. Ну чего проще — выкладывать на сайт регулятора не только выписки из сертификатов (кому выдан и на что), но и сканы самих сертификатов соответствия, а также контрольные суммы сертифицированных продуктов, номера голограмм и серийные номера сертифицированных изделий. Ведь в чем одна из проблем, которая возникает у потребителя средств защиты — удостовериться, что ему продают сертифицированный экземпляр. А он сейчас проверить этого не может до момента покупки. А в процессе эксплуатации, когда обновления на средства защиты ставятся пачками, он тем более уже не в состоянии ответить на вопрос: «Установленное обновление сертифицировано или нет?» А ведь без этого потребитель рискует попасть на нарушение статьи 13.12 КоАП об использовании несертифицированных СЗИ (аккурат сегодня будет обсуждать законопроект об увеличении штрафов по этой статье).

Да и целостность самого реестра сертификатов, который то в формате Excel, то в формате PDF, неплохо бы удостоверять чем-то похожим на электронную подпись, хотя бы и простую. А можно и вовсе пофантазировать и представить, что и сами сертификаты у нас выдаются в электронном виде и потребителю не приходится ждать неделю, две, пять, пока «Почта России» не доставит сертификат и сопутствующие документы.

ФСТЭК сейчас планирует менять положение о сертификации средств защиты информации и вводить дифференцированный режим в зависимости от типа обновления (сигнатуры атак и вирусов, патчи для уязвимостей, обновление, не влияющее на функциональность защиты и т.д.). И вот тут в полный рост встанет задача оперативного доведения до потребителя информации о том, что средство защиты, обновленное после установки патча, по-прежнему обладает сертификатом ФСТЭК, который был перевыписан тогда-то и контрольные суммы в сопутствующих документах такие-то. Если ждать, когда традиционным путем сертификат из ФСТЭК попадет в испытательную лабораторию, потом производителю, потом поставщику, а потом и потребителю, то пройти может много времени. А если в этот момент придет проверка или начнется аттестация?..

Что у нас дальше можно автоматизировать? Ну в идеале было бы неплохо автоматизировать взаимодействие с гражданами. Но не просто путем выдачи сообщения после нажатия кнопки «Отправить» в незащищенной Web-форме, а путем присваивания уникального номера моему запросу и возможности отслеживания его состояния с возможностью эскалации начальству, если какое-либо звено тормозит и не выдерживает установленные сроки ответа. Это была бы вершина автоматизации наших регуляторов, которым по статусу положено быть впереди всех остальных по части информатизации (может быть, исключая Минкомсвязи и его подведомственные структуры).

Но увы… Регулятор у нас по-прежнему оффлайн и зеленый свет зажжется, видимо, не скоро.

ЗЫ. Можно рассматривать этот пост как пожелания регуляторам; и не только ФСБ и ФСТЭК 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Сергей

    Ежегодно в декабре все юрики с замиранием сердца ищут себя в Планах проверок, только почему-то План проверок ФСБ появляется только в марте. Жираф конечно большой, но не настолько же.

    Ответить
  2. ZZubra

    Не в тему, но важно ))) В теме http://lukatsky.blogspot.ru/2013/03/1.html я был не прав! Прочитав ВЕСЬ текст проекта приказа становится ясно, что речь шла именно об организациях-заказчиках обучения. Это кошмар. Замечания написал по линии минобра (если вообще дойдут), но если кто узнает о проведении антикоррупционной экспертизы — приму в ней участие (минюст может срежет такую формулировку).

    Ответить
  3. doom

    Алексей, когда все станет так красиво, как тут написано, то бумажные сертификаты будут и вовсе рудиментом 🙂 (это к вопросу — что бы еще поавтоматизировать).

    Ответить
  4. Алексей Лукацкий

    О да, это станет следующим небольшим шажком

    Ответить