Многие, кто следит за этим блогом, сталкивались с моим мнением, что интеграторы (не все, но многие) в 2008-2009-м годах активно запугивали своих клиентов страшилками про кару небесную за невыполнение требований ФСТЭК в области защиты ПДн. Клиенты, купившиеся на это, обращались к интеграторам и следовали всем их рекомендациям, даже не удосужившись подумать, а стоит ли выполнять все то, что так рекламируют интеграторы. Может быть стоит творчески подойти к ключевым вопросам защиты ПДн — классификации, обезличиванию, уходу по 687-е постановление и т.п.
Не прошло и двух лет, как ситуация стала меняться 😉 Уже и ФСТЭК сменил свои требования на более адекватные. Вот и интеграторы стали публично рассказывать, как оптимизировать свои усилия по приведению себя в соответствие с четверокнижиями, трехкнижиями и другими …книжиями. Один из последних примеров — рекомендации Информзащиты по снижению «классности» ИСПДн. В целом ничего нового (все это можно найти у меня в блоге на протяжении последних пары лет), но важен сам факт признания такой возможности от одного из воротил рынка ПДн, который к тому же еще и лицензиат ФСТЭК.
Но в целом это закономерно. Сегодня запугивать кого-то и играть на незнании и отсутствии информации уже поздно. Хотя бы потому, что уже появляются не просто отдельные факты о том, что при проверках регуляторы отходят от своих же официальных рекомендаций и, например, соглашаются с отказом не использовать классы К1-К4, а целые отраслевые рекомендации, согласованные с регуляторами. Например, рабочая группа ЦБ/АРБ, в которую вхожу и я, опубликовала на сайте АРБ эти документы в свободном доступе:
- РС БР ИББС-2.3 Требования по обеспечению безопасности ПДн
- Методические рекомендации по выполнению законодательных требований
- СТО БР ИББС-1.0-20хх
- Методика оценки соответствия
- РС БР ИББС-2.4 Отраслевая модель угроз ПДн.
Аналогичные по сути (но в бОльшем количестве) документы были разработаны в рамках НИР «Тритон». Они также согласованы с регуляторами и облегчают жизнь операторам связи в деле защиты ПДн.
К сожалению "Методика оценки соответствия" — битая ссылка на документ. Есть другая ссылка?
Алексей,не знаете для энергетики, а именно для энергосбытовой отрасли никто не удосужился такую работу провести???
Я тут недавно пытался софтлайновский вебинар пытался слушать по теме. После всякой чуши про необходимость лицензии для защиты я выключил нафиг. Продолжается этот цЫрк з коняме.
A: Завтра будут последние версии проектов.
Aleks305: Не знаю.
http://ruscrypto.ru/netcat_files/File/ruscrypto.2010.005.zip — тем временем на ruscrypto читают вот такие доклады 😉
Ждем последних версий проектов БР. А вот по поводу снятия сливок Вы не правы — банки ждали как раз рекомендаций БР, теперь интеграторы начнут окучивать Банки на соответствие, а разрабатываемых и внедряемых документов там очень много (38 в рекомендациях с криптозащитой). Конечно разумности добавилось, но рамки отмененного 4-х книжия дают о себе знать. 🙂
Не надо торописсса — посмотрите раздаточный материал сегодняшей конференции в Leta, сама Лета, Рейнвокс и другие бульбуляторы-интеграторы — аттестация, аттестация, аттестация… Бла-бла-бла. У некоторых и цены есть 1,2 млн за 2 месяца — это адекватная цена? В обмен на это дадут энное количество бумажек из базы шаблонов, за мои же деньги их "СОГЛАСУЮТ" с эфемерным регулятором — ну и что? Так что самые жирные сливки еще впереди.
Алексей Т.: Окучивать на соответствие могут не все интеграторы, а "допущенные" 😉 Те, которые в ABISS входят. И учитывая тесные контакты банков с ЦБ, вариантов "срубить бабла" за содействие в согласовании с регулятором теперь будет гораздо меньше. Потому что вот оно ГУБЗИ, вот его руководство… Всегда можно спросить, что и как. Да и АРБ еще есть. Никаких непоняток, как и с кем общаться (как с ФСТЭК) нет.
Alex: Это из запасников материалы, напечатанные еще ДО 58-го приказа. У нас (в Cisco) тоже такие есть (только в электронном виде) 😉 Правда, мы их уже не раздаем.
Сам процесс "снятия сливок" на мой взгляд связано с формулой, в которую входят:
— наличие источника(как правило бюджет)
— наличие структуры (людей которые могут организовать "утечку" из источника)
— наличие "ширмы" демонстрирующей "бурную деятельность"
— наличие причины/условия для начала процесса.
При этом чем менее социально значимы условия, или чем они мутнее — тем вероятность "утечек" выше…
Ну и в том же духе…
Подходит ли к концу процесс снятия сливок ?! Скорее прошла первая волна — вкусненькая. А по второму разу стричь как то неприлично…
Соглашусь с Родыгиным — сливки остались до сих пор, конечно процесс "снятия" затруднился и ограничивается допущенными (входящими в Abiss и т.д.). В общем БР использует 152 ФЗ для продвижения СТО БР (посмотрим, выйдет ли это дешевле, чем формальное выполнение требований 152-ФЗ) и посмотрим, насколько реализация СУИБ и проведение аудита повысит защищенность ИСПДн банков. 🙂 Кстати, откуда информация о "содействии в согласование с Регуляторами"? По-моему такими вещами уже давно никто не занимается понимая, что согласовывать не обязательно.
Снятие "тех" сливок кончилось. Теперь придется работать 😉 А про согласование в регионах часто говорят.
Боюсь Алексей, что "работать" в отрасли разучились. 🙂