Что должен знать ИТ-директор об ИБ… в России — 2

Раз уж я упомянул сегодня статью в ДИС, то приведу и ссылки на него:
часть 1 — о понятии ИБ и исторических предпосылках развития ИБ в России
часть 2 — о регуляторах и их требованиях
часть 3 — о цене защиты, призраке холодной войны, закрытых нормативных актах и отказах от международных стандартов
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. doom

    Ни в одной стране мира нет такого количества регуляторов в области ИБ, как в России. У нас их шесть…

    А я бы поспорил… Если в США посчитать все их департаменты, комитеты и прочее, то даже больше получится. То, что зоны ответственности разные — но и у нас вряд ли пересекаются СВР и ФСО, например.

    Ответить
  2. doom

    Опять не удержусь…
    И даже больше: имея перед глазами десять абсолютно одинаковых систем Cisco ASA 5585-X (выпущенных в один день с одного завода и имеющих одинаковые контрольные суммы ПО), вы можете столкнуться с тем, что девять из них будут сертифицированы, а одна — нет. А все только потому, что на девяти наклеена голограмма, а на одной — нет.
    Ох, открыли бы вы уже стандартное "производство" сертифицированных IOS'ов и не было бы такой проблемы… Ведь сертифицировать достаточно только софтовую часть ASA или IPS — железка (чисто формально) может быть произвольной. И если бы можно было купить (пусть даже в другой компании — типа СИСа) сертифицированный Cisco IOS, то люди были бы просто счастливы — сейчас сертификация цискиной железки обходится где-то в 10% от стоимости, причем железку надо физически предоставить ИЛ — это еще дополнительные расходы + сложность сертификации имеющегося оборудования.

    Ответить
  3. Алексей Лукацкий

    В США есть регуляторы, не спорю, но у них действия согласованы между собой и нет такого количества требований по оценке соответствия и лицензированию не для госов

    Ответить
  4. Алексей Лукацкий

    Сертификация — это тема отдельная. Меньше 10% на сертификат даже у MS не получается 😉 А у них просто софт.

    Что касается "открыли бы производство", то я про это напишу в конце недели. Это не вам не фунт изюма 😉 Чтобы в России открыть производство нужно потратить больще, чем будет отдача. Да еще и при постоянно сменяющихся и непрозрачных правилах игры ;-(

    Ответить
  5. doom

    В США есть регуляторы, не спорю, но у них действия согласованы между собой и нет такого количества требований по оценке соответствия и лицензированию не для госов
    А еще у них система управления нормальная, спрашивают за результат и много чего еще 🙂
    Действия наших регуляторов такие какие они есть, в первую очередь, из-за отсутствия каких-то явных целей и нормально контроля их деятельности.

    Меньше 10% на сертификат даже у MS не получается 😉 А у них просто софт.
    Если бы сертифицированное "производство" болванок открыла бы сама компания Microsoft, то цена могла бы быть другой. А так — посредникам тоже надо как-то окупать свою деятельность.

    Symantec тоже сказали, что они даже не знают сколько стоит их сертифицированная болванка — потому что все деньги идут в карман тому дистрибьютору (или кто там подсуетился), кто смог организовать сертификацию — если бы этим занимался Symantec, то они могли бы продавать свои сертифицированные болванки за те же 40 баксов, что и обычные.
    Здесь самый удачный пример — Касперский. Лишняя 1000 рублей и антивирус становится волшебным образом сертифицированным — сумма, фактически, символическая.

    А вы-то, насколько я понимаю, хотите вовсе не фиктивное производство сертифицированных болванок открывать, а именно сборку оборудования со всеми вытекающими — тут да, сложностей слишком много.

    Ответить
  6. Алексей Лукацкий

    Западная компания в России не может сама ничего сертифицировать. По законодательству должна быть испытательная лаборатория и орган по сертификации. А они все есть хотят 😉

    Ответить