В Ведомостях опубликовали статью, согласно которой Инфокоммуникационный союз выбрал разработчика стандарта для всей телекоммуникационной отрасли. Им стала компания ReignVox, созданная осенью 2008 года двумя интеграторами - Bell Integrator и РНТ.
Эта очень интересная новость и вот почему:
- По словам представителя Инфокоммуникационного союза ReignVox выбрали по совокупности параметров - наличие лицензий, опыт работы и квалификция персонала. Какой опыт может быть у компании, созданной осенью прошлого года, непонятно. Или точнее все понятно ;-(
- По словам представителя Инфокоммуникационного союза поучаствовать в разработке стандарта предложили компаниям, специализирующимся на защите ПДн. Правда Информзащита, Infowatch, LETA, Perimetrix и др. таких предложений не получали. Кто же тогда у нас специализируется на защите?
- Разработка стандарта начнется с обследования МТС, Мегафона и Вымпелкома. Цена контракта - около 500000 долларов. Есть за что бороться и становится понятно, почему был выбран абсолютный новичок на рынке, а не серьезная компания.
- ReignVox будет разрабатывать технический стандарт, который видимо заменит шестикнижие ФСТЭК/ФСБ, но только для операторов связи. Остальным заказчикам по-прежнему придется работать с текущими творениями регуляторов.
ЗЫ. В Ведомостях есть комментарий от представителя LETA-IT, который говорит, что т.к. сегодня операторы вынуждены получать письменное согласие от каждого абонента то, якобы, новый стандарт позволит обойти эту проблему. Но... ReignVox разрабатывает технический стандарт, а требование получения письменного согласия прописано в ФЗ-152, которое пока никто менять не собирается.
25 коммент.:
хмм... распилят бабки и в лучшем случае переведут какой-нибудь западный стандарт.
Спасибо за комментарии - вчера только хотел Вас просить прокомментировать )))
Мне например кажется что только дополнения к ФЗ могут внести изменения и только через силовые структуры...
Новость действительно выглядит как в названии про болт - как бы не оказались выброшенными эти деньги...
Во всяком случае сделают для операторов регламенты и все...
Предпоследний абзац (про то, что технический стандарт спасает от федерального закона) полностью дискредитирует для меня все остальные.
Надо подождать какого-то более вменяемого сообщения.
Ну предпоследний абзац - это высказывание гендиректора интегратора, а не регулятора или оператора.
"Представители [...] говорят, что приглашений от ИКС не поступало. Менеджер Infowatch [...] от комментариев отказался", "представители сотовых компаний не раскрывают стоимость контрактов", "Представитель ФСБ отказался от комментариев"...Партизанщина какая-то, ей богу. Вот где настоящая безопасность! По крайней мере в части обеспечения конфиденциальности междусобойчика:)
2 Pleasure Dome:
Раз открытого тендера не проводилось, то молчанка вполне логичная. Почему не проводилось - это все-таки другой разговор.
Звонит чел из ведомостей - вас приглашали на конкурс? Нет, говорю, мы программы пишем, а не стандарты разрабатываем. Как вы это прокомментируете? Никак, я даже не в курсе, кто выиграл :). Для общего развития, я, конечно, интересуюсь событиями на рынке ИБ, но в этом конкретном случае, событие из пальца высосано - это не госторги, выбрали операторы за свои деньги себе писателя стандарта, который никому не близок и работает пток лет со всеми сотовыми операторами в области ИБ. Форма собственности и дата регистрации вообще не при чем - писать стандарт будут конкретные люди, если, чтобы оплатить их труд, нужно, чтобы они работали в одной компании - получите.
ФСТЭК, допустим, они понятно как заткнут - разработают свою модель угроз. Но как они собираются обойти требования 152-ФЗ - большой вопрос.
to AndrewZ:
Не получится так ФСТЭК заткнуть. Как минимум операторам в конце свою систему аттестовать придется, а это для них все равно немыслимые затраты.
И не надо говорить что т.к. нет порядка классификации специальных систем, то и аттестовывать их не надо. Я уверен, что в одном из следующих обновлений тетралогии это упущение будет исправлено. И тогда этим операторам не поможет их "стандарт".
Честно говоря вообще непонятно зачем он им нужен - это как быка красной тряпкой дразнить. Лучше бы сами разработали по-тихому свой стандарт. Не знаю как МТС и Мегафон, но для Вымпелком это плевое дело.
to manaraq:
Согласно книжечкам ФСТЭК аттестации подлежат типовые ИСПДн 1 и 2 классов. Основная идея стандарта забить на всякие классы.
to AndrewZ:
Вы же понимаете, что "забитие" на классы с юридической точки зрения означает несоблюдение федерального закона. Думаю не нужно объяснять какие риски это влечет за собой для любой из сотовых компаний. Я понимаю, если бы создание собственного стандарта освобождало от необходимости выполнения требований ФСТЭК. Ан нет!
Согласно книжечкам ФСТЭК аттестации подлежат ИСПДн 1-го и 2-го классов, и нигде не указано что аттестация касается только типовых ИСПДн.
Вообще же, мне кажется что эта новость - утка.
Это не утка
to Алексей Лукацкий:
Но выглядит очень странно :)
to manaraq:
Согласен, неточно выразился.
781 постановление правительства гласит:
"Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации". Ключевой участник здесь - последний, поскольку свое слово он еще не сказал. Исторически Министерство информационных технологий плотно связано с Инфокоммуникационным союзом, который инициировал тему с собственым стандартом. Поэтому я полагаю, там все продумано.
Минкомсвязь свое слово уже сказал. Оно называется Постановление 687
to Алексей Лукацкий:
Сошлись ведь во мнении, что 687 не о том, о чем мечтали большевики. Думаю Минкомсвязь решила забирать хоть небольшой кусочек пирога у регуляторов. А вот другие отрасли защищать очевидно никто не будет.
Сейчас у меня на столе лежит брошюра по защите ПДн от ReignVox, причем брошюра качественная - видно, что они этой теме уделяют много внимания. Есть конечно глупости типа уголовной ответственности за незаконную предпринимательскую деятельность (как будто ТЗКИ ей является). Но в целом очень даже гуд. Так что я погорячился насчет утки.
to AndrewZ:
Он свое слово сказал в совместном приказе ФСБ, ФСТЭК и МИТ. Не думаю, что МИТ имеет полномочия самостоятельно издавать приказы по классификации ИСПДн или определению перечня организаций на которых закон не действует.
Незаконная предпринимательская деятельность - это как раз оттуда, кстати.
19.20 КоАП - Осуществление деятельности без лицензии или с нарушением ее условий
171 УК - Осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий.
Исходим из того, что 504 постановление правительства действует.
to manaraq:
Речи не идет о том, что МИТ имеет полномочия что-то перекроить в огороде ФСТЭК. Просто, как тут уже говорилось, были преценденты, когда при наличии обоснованной алтернативной схемы - принималась именно она.
зы. о чем вообще брошюра?
to Алексей Лукацкий:
Если Банк оператор обеспечивает защиту своих персональных данных, то ему нужна лицензия на ТЗКИ. С этим я не спорю - это следует из 504 ПП и документов ФСТЭК. Однако Банк при этом не занимается предпринимательской деятельность, т.к. не получает прибыли. Поэтому ст. 171 УК к нему не применима. З.Ы. На всякий случай сходил к юристу - она сходу не ответила, но обещала выяснить.
to AndrewZ:
Брошюра с одной стороны объясняет что такое ПДн, почему их нужно защищать, что будет если не защищать и т.п. А с другой, рекламирует ReignVox, представляя его услуги в этой и не только этой областях. В общем, все стандартно для брошюр такого типа, но выполнено на 5 баллов. Еще бы сайт нормальный сделали и люди бы к ним потянулись.
Газпром не забил на ФСТЭК, а сделал проще - купил институт при головном институте ФСТЭКа в Воронеже....а вы говорите забил.. - пол СБ Газпрома выходцы из ФСТЭКа
Отчасти забили - стали свои правила под себя ваять. ФСТЭК только визу на них ставит.
Вот выдержка из ответа компании ReignVox об участии в конкурсе на построение и аттестацию ИСПДн для оператора связи:
"1. Основная часть работ по конкурсу не является профильной для нашей компании (лицензирование, сертификация)"
участвовать в конкурсе они отказались.
Так они действительно именно этими видами и не занимаются
Отправить комментарий