О чем идет речь? Ну, во-первых, коль скоро у нас ФСБ (а именно 8-й центр) активно занимается темой защиты персональных данных, то неплохо было бы привести и свой сайт в полном соответствие с законом и своими же методическими документами. А то получается забавная ситуация, которая неплохо описана у Михаила Брауде-Золотарева. Ее можно описать перефразированными словами Оруэлла из «Скотного двора» «все операторы ПДн равны, но некоторые равнее других». И эти некоторые — это госорганы, которых фиг заставишь выполнять обязанности по защите прав граждан, как субъектов персональных данных. Я про это уже писал. Про реальные действия основного защитника прав субъектов ПДн также написано немало. Так что то самая простейшая тема по защите ПДн при обращении в госорган нашими регуляторами реализуется из рук вон плохо (чего уж ждать от тех, кто в этой теме только гость).
Вторая тема связана с сертификатами на средства защиты, выдаваемые ФСБ и ФСТЭК. Ну чего проще — выкладывать на сайт регулятора не только выписки из сертификатов (кому выдан и на что), но и сканы самих сертификатов соответствия, а также контрольные суммы сертифицированных продуктов, номера голограмм и серийные номера сертифицированных изделий. Ведь в чем одна из проблем, которая возникает у потребителя средств защиты — удостовериться, что ему продают сертифицированный экземпляр. А он сейчас проверить этого не может до момента покупки. А в процессе эксплуатации, когда обновления на средства защиты ставятся пачками, он тем более уже не в состоянии ответить на вопрос: «Установленное обновление сертифицировано или нет?» А ведь без этого потребитель рискует попасть на нарушение статьи 13.12 КоАП об использовании несертифицированных СЗИ (аккурат сегодня будет обсуждать законопроект об увеличении штрафов по этой статье).
Да и целостность самого реестра сертификатов, который то в формате Excel, то в формате PDF, неплохо бы удостоверять чем-то похожим на электронную подпись, хотя бы и простую. А можно и вовсе пофантазировать и представить, что и сами сертификаты у нас выдаются в электронном виде и потребителю не приходится ждать неделю, две, пять, пока «Почта России» не доставит сертификат и сопутствующие документы.
ФСТЭК сейчас планирует менять положение о сертификации средств защиты информации и вводить дифференцированный режим в зависимости от типа обновления (сигнатуры атак и вирусов, патчи для уязвимостей, обновление, не влияющее на функциональность защиты и т.д.). И вот тут в полный рост встанет задача оперативного доведения до потребителя информации о том, что средство защиты, обновленное после установки патча, по-прежнему обладает сертификатом ФСТЭК, который был перевыписан тогда-то и контрольные суммы в сопутствующих документах такие-то. Если ждать, когда традиционным путем сертификат из ФСТЭК попадет в испытательную лабораторию, потом производителю, потом поставщику, а потом и потребителю, то пройти может много времени. А если в этот момент придет проверка или начнется аттестация?..
Что у нас дальше можно автоматизировать? Ну в идеале было бы неплохо автоматизировать взаимодействие с гражданами. Но не просто путем выдачи сообщения после нажатия кнопки «Отправить» в незащищенной Web-форме, а путем присваивания уникального номера моему запросу и возможности отслеживания его состояния с возможностью эскалации начальству, если какое-либо звено тормозит и не выдерживает установленные сроки ответа. Это была бы вершина автоматизации наших регуляторов, которым по статусу положено быть впереди всех остальных по части информатизации (может быть, исключая Минкомсвязи и его подведомственные структуры).
Но увы… Регулятор у нас по-прежнему оффлайн и зеленый свет зажжется, видимо, не скоро.
ЗЫ. Можно рассматривать этот пост как пожелания регуляторам; и не только ФСБ и ФСТЭК 😉
Ежегодно в декабре все юрики с замиранием сердца ищут себя в Планах проверок, только почему-то План проверок ФСБ появляется только в марте. Жираф конечно большой, но не настолько же.
Не в тему, но важно ))) В теме http://lukatsky.blogspot.ru/2013/03/1.html я был не прав! Прочитав ВЕСЬ текст проекта приказа становится ясно, что речь шла именно об организациях-заказчиках обучения. Это кошмар. Замечания написал по линии минобра (если вообще дойдут), но если кто узнает о проведении антикоррупционной экспертизы — приму в ней участие (минюст может срежет такую формулировку).
Алексей, когда все станет так красиво, как тут написано, то бумажные сертификаты будут и вовсе рудиментом 🙂 (это к вопросу — что бы еще поавтоматизировать).
О да, это станет следующим небольшим шажком