02.02.2009

Операторы большой тройки забили болт на регуляторов по персданным

Еще когда только вышел ФЗ-152, а затем и первая версия четверокнижия (сейчас выпущена вторая версия), многие операторы связи (и не только) справедливо возмутились, т.к. для них ФЗ-152 невыполним и надо что-то делать. И вот что-то сделали ;-)

В Ведомостях опубликовали статью, согласно которой Инфокоммуникационный союз выбрал разработчика стандарта для всей телекоммуникационной отрасли. Им стала компания ReignVox, созданная осенью 2008 года двумя интеграторами - Bell Integrator и РНТ.

Эта очень интересная новость и вот почему:
  1. По словам представителя Инфокоммуникационного союза ReignVox выбрали по совокупности параметров - наличие лицензий, опыт работы и квалификция персонала. Какой опыт может быть у компании, созданной осенью прошлого года, непонятно. Или точнее все понятно ;-(
  2. По словам представителя Инфокоммуникационного союза поучаствовать в разработке стандарта предложили компаниям, специализирующимся на защите ПДн. Правда Информзащита, Infowatch, LETA, Perimetrix и др. таких предложений не получали. Кто же тогда у нас специализируется на защите?
  3. Разработка стандарта начнется с обследования МТС, Мегафона и Вымпелкома. Цена контракта - около 500000 долларов. Есть за что бороться и становится понятно, почему был выбран абсолютный новичок на рынке, а не серьезная компания.
  4. ReignVox будет разрабатывать технический стандарт, который видимо заменит шестикнижие ФСТЭК/ФСБ, но только для операторов связи. Остальным заказчикам по-прежнему придется работать с текущими творениями регуляторов.
Очень интересная ситуация возникает. Вместо того, чтобы поменять документы ФСТЭК, операторы будут использовать свой стандарт. Понимая, что поменять что-то в такой структуре, как ФСТЭК, невозможно, они решили пойти своим путем, повторив опыт ЦБ, РЖД, Газпрома, которые забили на документы ФСТЭК и стали делать собственные стандарты и нормативные документы по ИБ. Решение может и правильное, но показывает в какой ... находятся у нас законодатели по ИБ.

ЗЫ. В Ведомостях есть комментарий от представителя LETA-IT, который говорит, что т.к. сегодня операторы вынуждены получать письменное согласие от каждого абонента то, якобы, новый стандарт позволит обойти эту проблему. Но... ReignVox разрабатывает технический стандарт, а требование получения письменного согласия прописано в ФЗ-152, которое пока никто менять не собирается.

25 коммент.:

Nikita Rrrr комментирует...

хмм... распилят бабки и в лучшем случае переведут какой-нибудь западный стандарт.

swan комментирует...

Спасибо за комментарии - вчера только хотел Вас просить прокомментировать )))
Мне например кажется что только дополнения к ФЗ могут внести изменения и только через силовые структуры...
Новость действительно выглядит как в названии про болт - как бы не оказались выброшенными эти деньги...
Во всяком случае сделают для операторов регламенты и все...

Ригель комментирует...

Предпоследний абзац (про то, что технический стандарт спасает от федерального закона) полностью дискредитирует для меня все остальные.
Надо подождать какого-то более вменяемого сообщения.

Алексей Лукацкий комментирует...

Ну предпоследний абзац - это высказывание гендиректора интегратора, а не регулятора или оператора.

Quiet Zone комментирует...

"Представители [...] говорят, что приглашений от ИКС не поступало. Менеджер Infowatch [...] от комментариев отказался", "представители сотовых компаний не раскрывают стоимость контрактов", "Представитель ФСБ отказался от комментариев"...Партизанщина какая-то, ей богу. Вот где настоящая безопасность! По крайней мере в части обеспечения конфиденциальности междусобойчика:)

Ригель комментирует...

2 Pleasure Dome:

Раз открытого тендера не проводилось, то молчанка вполне логичная. Почему не проводилось - это все-таки другой разговор.

Анонимный комментирует...

Звонит чел из ведомостей - вас приглашали на конкурс? Нет, говорю, мы программы пишем, а не стандарты разрабатываем. Как вы это прокомментируете? Никак, я даже не в курсе, кто выиграл :). Для общего развития, я, конечно, интересуюсь событиями на рынке ИБ, но в этом конкретном случае, событие из пальца высосано - это не госторги, выбрали операторы за свои деньги себе писателя стандарта, который никому не близок и работает пток лет со всеми сотовыми операторами в области ИБ. Форма собственности и дата регистрации вообще не при чем - писать стандарт будут конкретные люди, если, чтобы оплатить их труд, нужно, чтобы они работали в одной компании - получите.

AndrewZ комментирует...

ФСТЭК, допустим, они понятно как заткнут - разработают свою модель угроз. Но как они собираются обойти требования 152-ФЗ - большой вопрос.

manaraq комментирует...

to AndrewZ:
Не получится так ФСТЭК заткнуть. Как минимум операторам в конце свою систему аттестовать придется, а это для них все равно немыслимые затраты.
И не надо говорить что т.к. нет порядка классификации специальных систем, то и аттестовывать их не надо. Я уверен, что в одном из следующих обновлений тетралогии это упущение будет исправлено. И тогда этим операторам не поможет их "стандарт".
Честно говоря вообще непонятно зачем он им нужен - это как быка красной тряпкой дразнить. Лучше бы сами разработали по-тихому свой стандарт. Не знаю как МТС и Мегафон, но для Вымпелком это плевое дело.

AndrewZ комментирует...

to manaraq:
Согласно книжечкам ФСТЭК аттестации подлежат типовые ИСПДн 1 и 2 классов. Основная идея стандарта забить на всякие классы.

Alexey комментирует...
Этот комментарий был удален автором.
manaraq комментирует...

to AndrewZ:
Вы же понимаете, что "забитие" на классы с юридической точки зрения означает несоблюдение федерального закона. Думаю не нужно объяснять какие риски это влечет за собой для любой из сотовых компаний. Я понимаю, если бы создание собственного стандарта освобождало от необходимости выполнения требований ФСТЭК. Ан нет!
Согласно книжечкам ФСТЭК аттестации подлежат ИСПДн 1-го и 2-го классов, и нигде не указано что аттестация касается только типовых ИСПДн.

Вообще же, мне кажется что эта новость - утка.

Алексей Лукацкий комментирует...

Это не утка

manaraq комментирует...

to Алексей Лукацкий:
Но выглядит очень странно :)

AdnrewZ комментирует...

to manaraq:
Согласен, неточно выразился.
781 постановление правительства гласит:
"Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации". Ключевой участник здесь - последний, поскольку свое слово он еще не сказал. Исторически Министерство информационных технологий плотно связано с ​Инфокоммуникационным союзом, который инициировал тему с собственым стандартом. Поэтому я полагаю, там все продумано.

Алексей Лукацкий комментирует...

Минкомсвязь свое слово уже сказал. Оно называется Постановление 687

AndrewZ комментирует...

to Алексей Лукацкий:
Сошлись ведь во мнении, что 687 не о том, о чем мечтали большевики. Думаю Минкомсвязь решила забирать хоть небольшой кусочек пирога у регуляторов. А вот другие отрасли защищать очевидно никто не будет.

manaraq комментирует...

Сейчас у меня на столе лежит брошюра по защите ПДн от ReignVox, причем брошюра качественная - видно, что они этой теме уделяют много внимания. Есть конечно глупости типа уголовной ответственности за незаконную предпринимательскую деятельность (как будто ТЗКИ ей является). Но в целом очень даже гуд. Так что я погорячился насчет утки.
to AndrewZ:
Он свое слово сказал в совместном приказе ФСБ, ФСТЭК и МИТ. Не думаю, что МИТ имеет полномочия самостоятельно издавать приказы по классификации ИСПДн или определению перечня организаций на которых закон не действует.

Алексей Лукацкий комментирует...

Незаконная предпринимательская деятельность - это как раз оттуда, кстати.

19.20 КоАП - Осуществление деятельности без лицензии или с нарушением ее условий

171 УК - Осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий.

Исходим из того, что 504 постановление правительства действует.

AndrewZ комментирует...

to manaraq:
Речи не идет о том, что МИТ имеет полномочия что-то перекроить в огороде ФСТЭК. Просто, как тут уже говорилось, были преценденты, когда при наличии обоснованной алтернативной схемы - принималась именно она.
зы. о чем вообще брошюра?

manaraq комментирует...

to Алексей Лукацкий:
Если Банк оператор обеспечивает защиту своих персональных данных, то ему нужна лицензия на ТЗКИ. С этим я не спорю - это следует из 504 ПП и документов ФСТЭК. Однако Банк при этом не занимается предпринимательской деятельность, т.к. не получает прибыли. Поэтому ст. 171 УК к нему не применима. З.Ы. На всякий случай сходил к юристу - она сходу не ответила, но обещала выяснить.
to AndrewZ:
Брошюра с одной стороны объясняет что такое ПДн, почему их нужно защищать, что будет если не защищать и т.п. А с другой, рекламирует ReignVox, представляя его услуги в этой и не только этой областях. В общем, все стандартно для брошюр такого типа, но выполнено на 5 баллов. Еще бы сайт нормальный сделали и люди бы к ним потянулись.

Анонимный комментирует...

Газпром не забил на ФСТЭК, а сделал проще - купил институт при головном институте ФСТЭКа в Воронеже....а вы говорите забил.. - пол СБ Газпрома выходцы из ФСТЭКа

Алексей Лукацкий комментирует...

Отчасти забили - стали свои правила под себя ваять. ФСТЭК только визу на них ставит.

mtrx комментирует...

Вот выдержка из ответа компании ReignVox об участии в конкурсе на построение и аттестацию ИСПДн для оператора связи:
"1. Основная часть работ по конкурсу не является профильной для нашей компании (лицензирование, сертификация)"

участвовать в конкурсе они отказались.

Алексей Лукацкий комментирует...

Так они действительно именно этими видами и не занимаются