15.4.10

Время снятия сливок на поляне ПДн кончилось?

Многие, кто следит за этим блогом, сталкивались с моим мнением, что интеграторы (не все, но многие) в 2008-2009-м годах активно запугивали своих клиентов страшилками про кару небесную за невыполнение требований ФСТЭК в области защиты ПДн. Клиенты, купившиеся на это, обращались к интеграторам и следовали всем их рекомендациям, даже не удосужившись подумать, а стоит ли выполнять все то, что так рекламируют интеграторы. Может быть стоит творчески подойти к ключевым вопросам защиты ПДн - классификации, обезличиванию, уходу по 687-е постановление и т.п.

Не прошло и двух лет, как ситуация стала меняться ;-) Уже и ФСТЭК сменил свои требования на более адекватные. Вот и интеграторы стали публично рассказывать, как оптимизировать свои усилия по приведению себя в соответствие с четверокнижиями, трехкнижиями и другими ...книжиями. Один из последних примеров - рекомендации Информзащиты по снижению "классности" ИСПДн. В целом ничего нового (все это можно найти у меня в блоге на протяжении последних  пары лет), но важен сам факт признания такой возможности от одного из воротил рынка ПДн, который к тому же еще и лицензиат ФСТЭК.

Но в целом это закономерно. Сегодня запугивать кого-то и играть на незнании и отсутствии информации уже поздно. Хотя бы потому, что уже появляются не просто отдельные факты о том, что при проверках регуляторы отходят от своих же официальных рекомендаций и, например, соглашаются с отказом не использовать классы К1-К4, а целые отраслевые рекомендации, согласованные с регуляторами. Например, рабочая группа ЦБ/АРБ, в которую вхожу и я, опубликовала на сайте АРБ эти документы в свободном доступе:
Аналогичные по сути (но в бОльшем количестве) документы были разработаны в рамках НИР "Тритон". Они также согласованы с регуляторами и облегчают жизнь операторам связи в деле защиты ПДн.

    12 коммент.:

    A комментирует...

    К сожалению "Методика оценки соответствия" - битая ссылка на документ. Есть другая ссылка?

    Aleks305 комментирует...

    Алексей,не знаете для энергетики, а именно для энергосбытовой отрасли никто не удосужился такую работу провести???

    Анонимный комментирует...

    Я тут недавно пытался софтлайновский вебинар пытался слушать по теме. После всякой чуши про необходимость лицензии для защиты я выключил нафиг. Продолжается этот цЫрк з коняме.

    Алексей Лукацкий комментирует...

    A: Завтра будут последние версии проектов.

    Aleks305: Не знаю.

    arkanoid комментирует...

    http://ruscrypto.ru/netcat_files/File/ruscrypto.2010.005.zip -- тем временем на ruscrypto читают вот такие доклады ;-)

    Алексей Т. комментирует...

    Ждем последних версий проектов БР. А вот по поводу снятия сливок Вы не правы - банки ждали как раз рекомендаций БР, теперь интеграторы начнут окучивать Банки на соответствие, а разрабатываемых и внедряемых документов там очень много (38 в рекомендациях с криптозащитой). Конечно разумности добавилось, но рамки отмененного 4-х книжия дают о себе знать. :-)

    Unknown комментирует...

    Не надо торописсса - посмотрите раздаточный материал сегодняшей конференции в Leta, сама Лета, Рейнвокс и другие бульбуляторы-интеграторы - аттестация, аттестация, аттестация... Бла-бла-бла. У некоторых и цены есть 1,2 млн за 2 месяца - это адекватная цена? В обмен на это дадут энное количество бумажек из базы шаблонов, за мои же деньги их "СОГЛАСУЮТ" с эфемерным регулятором - ну и что? Так что самые жирные сливки еще впереди.

    Алексей Лукацкий комментирует...

    Алексей Т.: Окучивать на соответствие могут не все интеграторы, а "допущенные" ;-) Те, которые в ABISS входят. И учитывая тесные контакты банков с ЦБ, вариантов "срубить бабла" за содействие в согласовании с регулятором теперь будет гораздо меньше. Потому что вот оно ГУБЗИ, вот его руководство... Всегда можно спросить, что и как. Да и АРБ еще есть. Никаких непоняток, как и с кем общаться (как с ФСТЭК) нет.

    Alex: Это из запасников материалы, напечатанные еще ДО 58-го приказа. У нас (в Cisco) тоже такие есть (только в электронном виде) ;-) Правда, мы их уже не раздаем.

    Анонимный комментирует...

    Сам процесс "снятия сливок" на мой взгляд связано с формулой, в которую входят:
    - наличие источника(как правило бюджет)
    - наличие структуры (людей которые могут организовать "утечку" из источника)
    - наличие "ширмы" демонстрирующей "бурную деятельность"
    - наличие причины/условия для начала процесса.

    При этом чем менее социально значимы условия, или чем они мутнее - тем вероятность "утечек" выше...

    Ну и в том же духе...
    Подходит ли к концу процесс снятия сливок ?! Скорее прошла первая волна - вкусненькая. А по второму разу стричь как то неприлично...

    Алексей Т. комментирует...

    Соглашусь с Родыгиным - сливки остались до сих пор, конечно процесс "снятия" затруднился и ограничивается допущенными (входящими в Abiss и т.д.). В общем БР использует 152 ФЗ для продвижения СТО БР (посмотрим, выйдет ли это дешевле, чем формальное выполнение требований 152-ФЗ) и посмотрим, насколько реализация СУИБ и проведение аудита повысит защищенность ИСПДн банков. :-) Кстати, откуда информация о "содействии в согласование с Регуляторами"? По-моему такими вещами уже давно никто не занимается понимая, что согласовывать не обязательно.

    Алексей Лукацкий комментирует...

    Снятие "тех" сливок кончилось. Теперь придется работать ;-) А про согласование в регионах часто говорят.

    Алексей Т. комментирует...

    Боюсь Алексей, что "работать" в отрасли разучились. :-)