03.08.2011

Парафраз об аттестации в свете нового ФЗ-152

В новом старом ФЗ-152, в ст.19 есть такая защитная мера как "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных". Можно долго и упорно спорить, что это такое, но зная, что реализовывать эту меру нужно будет по требованиям ФСТЭК, я с вероятностью 85-90% предположу, что это так называется аттестация объекта информатизации по требованиям безопасности.

Противники открытого письма Президенту мне возразят (как это было в этом посте), что я притягиваю все за уши и регуляторы у нас белые и пушистые и не имеют ни одной мысли о дополнительных обременениях рядовых операторов ПДн. В доказательство они опять начнут играть словами об обязательности и добровольности аттестации. Мол, по старому документу (еще Гостехкомиссии) обязательная аттестация применяется только к объектам, обрабатывающим гостайну и экологически опасным объектам, а все остальное делается на сугубо добровольной основе. Но все сразу вспомнят эпопею с первой версией четверокнижия, в которой аттестация была обязательной для ИСПДн К1/К2 (для К3 было прописано декларирование соответствия).

И вспомнились мне вдруг мои заметки, опубликованные 20-го и 21-го декабря прошлого года. В них как раз описывались планы одного из регуляторов по выпуску новых документов, по обязательной аттестации объектов не только для гостайны. И чтобы не слыть ретроградами и не смешивать аттестацию гостайны и конфиденциалки и родился такой канцеляризм, как "оценка эффективности принимаемых мер по обеспечению безопасности <вид конфиденциальной информации> до ввода в эксплуатацию информационной системы". Помня те грабли, на которые регуляторы наступили в прошлый раз, сейчас они такой ошибки могут уже и не допустить ;-(

24 коммент.:

Tomas комментирует...

Алексей, аттестация - доходное мероприятие, но аттестовать всех явно не получится, интеграторов столько в РФ нет, чтоб все эти миллионы операторов аттестовать.

Baevsky комментирует...

И не надо всех. Свою копеечку они поднимут, пока все не опомнятся...

Алексей Т. комментирует...

Опять Вы Алексей нам помогаете. :-) А еще открещивались от своей роли "запугивателя Операторов". Конечно, лучше добровольной аттестации ничего нет!!! Отличная система оценки эффективности реализованной системы защиты. Или Вы знаете лучше, открытее и честнее системы оценки эффективности? Поделитесь такой информацией.

toparenko комментирует...

Алексей Т.пишет...
>Или Вы знаете лучше, открытее и честнее системы оценки эффективности?

Пытались реализовать "лучше, открытее и честнее систему оценки эффективности" в СТО БР ИББС - но сейчас (19-й статьей измененного ЗоПД) вся эта работа пошла "ф топку"

Сергей комментирует...

Может мы зря обвиняем регуляторов во всех смертных. Если исходить из "кому выгодно" - то помимо регуляторов и интеграторов это прежде всего крупные игроки любого рынка, которые могут себе позволить и аттестацию, и сертификацию и проча и проча. А мелочь раздавить руками государства, чтоб не путались под ногами.

Mihail комментирует...

Так все таки аттестация нужна получается в обязательном порядке по новому ФЗ,или нет? Или же стоит уточнить такую инфу у консультационного центра?!

Алексей Волков комментирует...

Алексею Т: оценка эффективности должна проводиться на постоянной основе. То, что предлагается - это, извините, бред. http://anvolkov.blogspot.com/2011/08/2.html

ZZubra комментирует...

Алексей!

Подскажите, пожалуйста, по нашему с Вами спору про действительность старой редакции для старых отношений Вы не спрашивали у своих юристов? Что они ответили?

Алексей Т. комментирует...

2 А.Волков. В своей статье вы почему то не отметили "могущих повлиять на характеристики безопасности". Я чувствую, Вы на одной стороне с Лукацким. ;-) А ведь в этой фразе и есть смысл - установить характеристики, изменение которых влияет на безопасности и только в этом случае переаттестовывать. Продолжайте в том же духе, работы очень много...

Алексей Волков комментирует...

Алексею Т.: конечно на одной :)

Изменения бизнес-логики однозначно затрагивают характеристики безопасности, поскольку требуют оперативного внесения изменений в матрицу разграничения доступа для устранения избыточных и конфликтных полномочий. Но если под безопасностью понимать то, что понимают регуляторы, то конечно - бизнес-логика здесь совершенно не при чем :)

Алексей Волков комментирует...

Зато новые версии, патчи и апдейты - как раз такой случай :)))

toparenko комментирует...

Сергей пишет...
>помимо регуляторов и интеграторов это прежде всего крупные игроки любого рынка, которые могут себе позволить и аттестацию, и сертификацию и проча и проча.

Не-а
Не могут они себе позволить ждать по несколко месяцев сертификации обновлений. У них у всех информационные системы завязаны на Интернет.

Аттестацию можно себе позволить только на отключенной от внешнего мира сети (что вполне нормально для ГТ)...

Алексей Т. комментирует...

2 А.Волков. Неохота спорить, но я Вас уверяю, что если грамотно написать "Регламент внесения изменений в ИСПДн" и расписать, какие изменения Оператор может сам делать, а какие потребуют переаттестации, то аттестат вполне будет работоспособен. Например, вызов органа по аттестации требуется в случаях: замены СЗИ на другие (не обновления), изменение категорий ПДн, класса, замена оборудования, реализующего функции по защите. А корректировка матрицы доступа, обновления ПО и т.д. могут осуществляться самостоятельно и при условии соблюдения требований документации защищенность при этом не снижается.

Алексей Волков комментирует...

Алексею Т: Да мы вроде и не спорим. Просто я-то "оператор", и далеко не 1Ски. И потому Ваши бы слова, да ИМ в уши :)))

Алексей Т. комментирует...

2 А.Волков. Кому ИМ? Им так же все равно, как Вы будете аттестовывать - хотите аттестуйте, хотите нет. Согласен, что Операторов сейчас разводят, но в этмо виноваты на 80 процентов сами Операторы, а не регуляторы...

Алексей Т. комментирует...

Уточню: многих Операторов разводят, но далеко не всех и не все.

Алексей Волков комментирует...

Алексею Т.: пока разводят - это одно дело. Но что делать, если эти требования станут обязательными? Вот о чем речь. И мы с Лукацким видим реальную угрозу. Может и напрасно, но "хочешь мира - готовься к войне".

Алексей Т. комментирует...

А вы все-таки задумайтесь о последствиях таких "подготовок к войне" - в итоге вы запугиваете Операторов посильнее регуляторов. Говорю открыто, не допуская мысли о коррысти в вашем поведении. ;-) Нужно все-таки более позитивно смотреть на жисть и регуляторов. ))))

Сергей комментирует...

Если бы еще и регуляторы более позитивно смотрели на операторов. Посмотрите существующие подзаконные, особенно ФСТЭКовские или трехглавый. Полный неадекват.
Или лицензирование, ну объясните мне, бестолковому, почему лицензия для СКЗИ для собственных нужд не нужна, а для СЗИ нужна? Почему затраты для ФСБшных лицензий (кроме производства) небольшие и вполне подъемные, а для ТЗКИ (оборудование) - миллионы? Почему от ФСТЭК нельзя получить нормального ответа на поставленный вопрос (см. ответ Минздраву по вопросу лицензирования)- сплошное цитирование - спасибо, читать я еще в детском саду научился. На семинарах то же самое.

Алексей Волков комментирует...

Алексею Т.: да уж какая корысть, помилосердствуйте... Что касается запугивания - так это спасибо регуляторам, благодаря молчанию которых и рождаются такие мысли. А Сергей отлично сказал про позитив :)

Евгений комментирует...

Вот постоянно в обсуждениях по ФЗ-152 поминают интеграторов, причем в нехорошем ключе. А по мне так вполне нормальная рыночная ситуация - компании, пользуясь законодательной базой, зарабатывают деньги. Это плохо??

Или нормально - это когда банки, не сообщают скрытые комиссии по кредитам, всеми возможностями обирают клиентов-физлиц, страховые компании задирают через законодательство обязательные страховые платежи, причем сами по страховым случаям не торопятся платить, платные медучреждения готовы человеку вылечить "все" за все его деньги и т.п. - а вот если тем же самым занялись интеграторы, то сразу попадают в "силы зла"???

Согласен, малый бизнес не потянет, но ведь его никто и не будет особо притеснять, раз нечего взять, а с указанных выше игроков, сам бог велел постричь бабла. :)

Не согласны?

Сергей комментирует...

Евгений, не согласен, указанных выше игроков постричь не получится, сами постригут всех, и ГД, и СФ, и правительство с президентом. Кто девушку кормит, тот ее и танцует. А обдирать как раз и будут малый и средний - с миру по нитке...

Алексей Волков комментирует...

Евгению: вот Вы удачно привели в пример банки. И ведь интеграторы как банки, всякие есть: есть разводилы такие, что мама не горюй, а есть - другие, честные. Первых видно, как на ладони, и это сначала смешно, потом противно. Я - за последних.

toparenko комментирует...

Евгений
>а с указанных выше игроков, сам бог велел постричь бабла. :)
>Не согласны?

Святая простота (с)

Не с них будут стричь бабло, а с Вас. Они всего лишь вложат в цены на товары и услуги все то бабло, что состригут с них (и еще добавят за "моральный ущерб") - т.ч. платить прийдется Вам лично... И платить на коженном углу и по каждому чиху...