Я уже писал про Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России, датированную 92-м годом. И вот, разгребая библиотеку, наткнулся на очередное описание того, как все должно было быть. Статья Игоря Алексеевича Калайды датирована 2005-м годом. На тот момент он был зам.начальника отдела ФСТЭК и поэтому в статье описано видение этого ведомства в области нормотворчества "изнутри".
Статья расположена здесь, а сюда я вставлю только иллюстрацию из нее. Вот так должна была выглядеть система нормативно-методических документов ФСТЭК. Красным выделены уже принятые документы. Интересно, что с тех пор ничего так и не было принято. Видимо ФСТЭК (и выпуск документов по ПДн косвенно это подтверждает) покинули все квалифицированные кадры, способные довести до ума этот план и принять уже разработанные документы.
Статья расположена здесь, а сюда я вставлю только иллюстрацию из нее. Вот так должна была выглядеть система нормативно-методических документов ФСТЭК. Красным выделены уже принятые документы. Интересно, что с тех пор ничего так и не было принято. Видимо ФСТЭК (и выпуск документов по ПДн косвенно это подтверждает) покинули все квалифицированные кадры, способные довести до ума этот план и принять уже разработанные документы.
5 коммент.:
да не нужно это никому. дезинтеграция имхо налицо. вопрос стоит скорее, как начать интеграцию
Да, посмотрите на картинку, затем сравните с тем, что есть сейчас и станет вам грустно.
может зарплаты там маленькие, что специалисты уходят?
Проблемы скорее не во ФСТЭКе на самом деле. Перевести ОК это одно, разработать руководства тоже несложно, а вот заставить всю страну переходить на язык ОК сложно. Вообще тяжело воспринимаются термины ОК и громоздкость стандарта. Если бы кто-нибудь смог доказать хотя бы соответствие требований из ОК требованиям действующих РД (СВТ, АС), то все было бы хорошо. И на самом деле не все заглохло, работы идут и надежды есть, хотя и слабые.
Ну вообще-то требования ОК совершенно не в той плоскости разработаны, что и требования старых РД. Вторые определяют скорее требования к функционалу СЗИ, а первые - требования к разработке этой СЗИ.
И проблема с ОК не во ФСТЭК, а в СовБезе, который так и не принял решения о принятии международных сертификатов. Ну и ФСТЭК виновата, что не смогла свои сертификационные лаборатории сподвигнуть на переход на ОК.
Отправить комментарий