31.3.08

Жизненный цикл по ИБ

Интересная ситуация сегодня возникла на круглом столе по безопасности. Возник вопрос "каков жизненный цикл системы защиты и сколько он длится?" Казалось бы вопрос тривиальный, ан нет. Ответы на него ярко показали три совершенно разных точки зрения на эту тему. Итак, ответ первый, прозвучал из уст представителя Microsoft. Жизненный цикл системы защиты определяется сроком ее актуальности и нестарения. Как только она устаревает и появляется новая версия, жизненный цикл заканчивается. Логично, в общем.

Вторая версия была озвучена представителем "Инфотекс" - "жизненный цикл системы защиты определяется сроком действия ее сертификата, т.е. 5 лет". Тоже логчиная позиция. Т.к. без сертификата почти ни одна СЗИ не может существовать, то срок ее жизни определяется сроком действия сертификата.

Третья версия была озвучена мной. "Жизненный цикл СЗИ определяется бухгалтерией заказчика и согласно российским финансовым требованиям составляет 7 лет или 3 года (если используется ускоренная амортизация)". Моя позиция тоже логична.

Кстати, интересное различие в позициях. Две рассматривают цикл с точки зрения производителя, одна - с точки зрения заказчика. Отчасти это действительно так, но в любом случае жизненный цикл все-таки должен зависеть немного от других критериев и, в первую очередь, от потребностей организации и ее задач, а не от каких-либо внешних факторов (хотя их тоже нужно учитывать).

ЗЫ. На Западе такой проблемы, кстати нет ;-)

5 коммент.:

Kastusik in Seattle комментирует...

Алексей, как начинающему в области ИБ, подскажите пожалуйста, здесь под сертификатом на СЗИ понимается документальное подтверждение соответствия СЗИ определенным требованиям (ГОСТам)?

Алексей Лукацкий комментирует...

Да, но не ГОСТам

Kastusik in Seattle комментирует...

Если не гостам - тогда чему? Международным стандартам?

Алексей Лукацкий комментирует...

Требованиям отечественных регуляторов, которые могут соотноситься, а могут и не соотноситься с международными стандартами.

Артемий комментирует...

Я думаю у продукта должен быть цикл который отражает его жизнедеятельность (а не формальные признаки как вы думаете). В часности для для ИБ вообще не льзя сказать что он есть так как это состояние. А для СЗИ это этапы: 1 создания: проектирование-реализация проекта-испытания(тестирование)-внедрение; 2 Эксплуатация: там плановые проверки; 3 Модернизация (апгрейд апдейт); 4 Вывод из эксплуатации (замена).