Жизненный цикл по ИБ

Интересная ситуация сегодня возникла на круглом столе по безопасности. Возник вопрос «каков жизненный цикл системы защиты и сколько он длится?» Казалось бы вопрос тривиальный, ан нет. Ответы на него ярко показали три совершенно разных точки зрения на эту тему. Итак, ответ первый, прозвучал из уст представителя Microsoft. Жизненный цикл системы защиты определяется сроком ее актуальности и нестарения. Как только она устаревает и появляется новая версия, жизненный цикл заканчивается. Логично, в общем.

Вторая версия была озвучена представителем «Инфотекс» — «жизненный цикл системы защиты определяется сроком действия ее сертификата, т.е. 5 лет». Тоже логчиная позиция. Т.к. без сертификата почти ни одна СЗИ не может существовать, то срок ее жизни определяется сроком действия сертификата.

Третья версия была озвучена мной. «Жизненный цикл СЗИ определяется бухгалтерией заказчика и согласно российским финансовым требованиям составляет 7 лет или 3 года (если используется ускоренная амортизация)». Моя позиция тоже логична.

Кстати, интересное различие в позициях. Две рассматривают цикл с точки зрения производителя, одна — с точки зрения заказчика. Отчасти это действительно так, но в любом случае жизненный цикл все-таки должен зависеть немного от других критериев и, в первую очередь, от потребностей организации и ее задач, а не от каких-либо внешних факторов (хотя их тоже нужно учитывать).

ЗЫ. На Западе такой проблемы, кстати нет 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Kastusik in Seattle

    Алексей, как начинающему в области ИБ, подскажите пожалуйста, здесь под сертификатом на СЗИ понимается документальное подтверждение соответствия СЗИ определенным требованиям (ГОСТам)?

    Ответить
  2. Алексей Лукацкий

    Да, но не ГОСТам

    Ответить
  3. Kastusik in Seattle

    Если не гостам — тогда чему? Международным стандартам?

    Ответить
  4. Алексей Лукацкий

    Требованиям отечественных регуляторов, которые могут соотноситься, а могут и не соотноситься с международными стандартами.

    Ответить
  5. Артемий

    Я думаю у продукта должен быть цикл который отражает его жизнедеятельность (а не формальные признаки как вы думаете). В часности для для ИБ вообще не льзя сказать что он есть так как это состояние. А для СЗИ это этапы: 1 создания: проектирование-реализация проекта-испытания(тестирование)-внедрение; 2 Эксплуатация: там плановые проверки; 3 Модернизация (апгрейд апдейт); 4 Вывод из эксплуатации (замена).

    Ответить