tag:blogger.com,1999:blog-4065770693499115314.post4384069249352811192..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: У американцев будет свой ЦИБ ФСБ ;-)Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-4065770693499115314.post-25589774149801178712013-04-18T00:10:57.198+04:002013-04-18T00:10:57.198+04:00уууу... от наших мыслей очень много )))) Только вс...уууу... от наших мыслей очень много )))) Только все равно практически вся нормативка не исполняется.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77442045070639310252013-04-17T21:19:33.944+04:002013-04-17T21:19:33.944+04:00Значит не зря пробовал. Две мысли из одного нормат...Значит не зря пробовал. Две мысли из одного нормативного акта на иностранном языке - это хорошо. Можешь ли ты похвастаться тем же, читая наши законы?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84741478159106952192013-04-17T09:17:23.166+04:002013-04-17T09:17:23.166+04:00Но из попытки я вынес 2 интереснейших наблюдения:
...Но из попытки я вынес 2 интереснейших наблюдения:<br />1. Нумерация строк - это граната, которая почему-то не приходит в голову нашим законодателям, хотя идея лежит на поверхности.<br />2. Нумерация перечислений в тексте - это ядерная бомба!!! Пример (за уши, но главное суть):<br /><br />1. Настоящим Федеральным законом регулируются отношения, (1) связанные с обработкой персональных данных, (а) осуществляемой федеральными органами государственной власти, (б) органами государственной власти субъектов Российской Федерации, (в) иными государственными органами (далее - государственные органы), (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), (д) юридическими лицами, (е) физическими лицами (2) с использованием средств автоматизации или (3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.<br /><br />преобразуется в:<br />1. Настоящим Федеральным законом регулируются отношения, <br />(1) связанные с обработкой персональных данных, <br /> (а) осуществляемой федеральными органами государственной власти, <br /> (б) органами государственной власти субъектов Российской Федерации, <br /> (в) иными государственными органами (далее - государственные органы), <br /> (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), <br /> (д) юридическими лицами, <br /> (е) физическими лицами <br />(2) с использованием средств автоматизации или <br />(3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.<br /><br />1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, (1) осуществляемой федеральными органами государственной власти, (2) органами государственной власти субъектов Российской Федерации, (3) иными государственными органами (далее - государственные органы), (4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), (5) юридическими лицами, (6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.<br /><br />преобразуется в:<br />1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, <br />(1) осуществляемой федеральными органами государственной власти, <br />(2) органами государственной власти субъектов Российской Федерации, <br />(3) иными государственными органами (далее - государственные органы), <br />(4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), <br />(5) юридическими лицами, <br />(6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.<br /><br />Сравните смысл последних двух вариантов. А? Каково? <br />Эдак можно передавать дух и смысл законов, а не порождать многотолкование и бардак!!! <br />Жаль что эти схемы НЕПРИВЫЧНЫ русскому языку.<br /><br />P.S. Не сказать, что эти моменты я увидел впервые, но именно сейчас сложилось в мыслю.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25246986615670280362013-04-17T09:16:57.919+04:002013-04-17T09:16:57.919+04:00Уважаемый Алексей!
Честно пытался прочитать - но ...Уважаемый Алексей!<br /><br />Честно пытался прочитать - но языковой барьер ломает ноги. Частично я понимаю о чем документ, но в целом, особенно с отсылками - в голове сюжет не откладывается. К сожалению, английский - это серьезное препятствие для, наверно, большинства "специалистов" по безопасности в РФ. Особенно не в Москве (((( Это же скорее всего и основное препятствие при внедрении офигенных импортных документов (CMMI, COBIT, PMBOK, PRINCE2, и многих других) транслирующих опыт ненаступания на грабли.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79391860605048681772013-04-17T01:08:34.682+04:002013-04-17T01:08:34.682+04:00Ну так прочитай - он короткий, а ссылку я привелНу так прочитай - он короткий, а ссылку я привелАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32121262036767138742013-04-16T23:49:18.723+04:002013-04-16T23:49:18.723+04:00Нет, конечно )))) Только по написанному и из опыта...Нет, конечно )))) Только по написанному и из опыта ))))) Очень хотелось подробностей...ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59116035661450709202013-04-16T17:00:22.097+04:002013-04-16T17:00:22.097+04:00Ты сам законороект читал?Ты сам законороект читал?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24963588917519140672013-04-16T15:04:02.636+04:002013-04-16T15:04:02.636+04:00>>Провозглашается риск-ориентированный подхо...>>Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.<br /><br />ээээ. А раньше какой у них был подход?<br /><br />>>Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).<br /><br />Ну это утопия. Как сделать так (НЕ заставить!), чтобы такое огромное количество людей вдруг концептуально изменила свои взгляды и свои ДЕЙСТВИЯ?! <br /><br />>>В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.<br /><br />1. Дирехтор по ИБ в каждом федеральном, областном, муниципальном и местном органе исполнительной власти - это КРУТО! Интересно, кого они решили сократить, чтобы не менять штатки и не раздувать бюджеты? Ведь директора по ИБ стоят колоссальных денег.<br />2. Работа такого человека напрямую с организацией по стандартизации - это бесконечно здорово.<br />3. А кому он будет подчиняться? Тем кому отчитывается, "ФЦР на инцинденты ИБ" или тому кто платит зарплату? Ведь усидеть даже на 2-х стульях могут единицы, а на трех... Скорее всего дали руководителям лишние рабочие руки, а ИБ - подождет.<br /><br />>>Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).<br /><br />Очень сложная подчиненность. Руководство хочет скрыть инциденты (и в США - вон все фильмы ихние про это), а помощь в расследовании и реагировании - это явное раскрытие. Конфликт на лицо. Или в США ВСЕ руководители сознательные и рассматривают свою деятельность в контексте национальной безопасности? <br /><br />>>Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А.Тут никакой статический чеклист не поможет - нужен непрерывный процесс. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами<br /><br />1. Ага!!! Значит и у них ЕСТЬ аттестация!!! ;)<br />2. "Чеклист" и "процесс" - что ближе, понимательнее и интуитивнее для человеческого разума? Это как зомбировать надо людя, чтобы он процессами думать начал?! Утопия. Все скатиться к новым чеклистам. А менять их часто никто не даст - нефиг бизнесу/госуслуге мешать изменениями.<br />3. Человек, как ток, идет по пути наименьшего сопротивления. Решение о самостоятельном выборе СЗИ это как перед ослом положить две одинаковых кучи сена. Народ (в массе) не поймет (но каждый по отдельности - реальный спец). Недавно столкнулись с аналогичной ситуацией:<br />- ряд организаций по наводке специалистов по ИБ своих головных организаций из Москвы не хотят ставить определенные СЗИ и аттестовывать (федеральный ресурс, доступ к которому имеют частные организации)<br />- с ними согласились, чтобы они сами выбрали (правда и не пресовали - это заранее ор был)<br />- предложили выполнить все требования и сообщить о выполнении нормативки, взяв на себя ответственность за их исполнение<br />- они пришли спрашивать что им теперь выбрать, чтобы точно все заработало<br />- они пришли спрашивать какие документы должны быть<br />- они пришли спрашивать как им подтверждать, что у них все соответствует, если не аттестовывать.<br /><br />се ля ви...<br /><br /><br />ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.com