Не прошло и двух лет, как ситуация стала меняться ;-) Уже и ФСТЭК сменил свои требования на более адекватные. Вот и интеграторы стали публично рассказывать, как оптимизировать свои усилия по приведению себя в соответствие с четверокнижиями, трехкнижиями и другими ...книжиями. Один из последних примеров - рекомендации Информзащиты по снижению "классности" ИСПДн. В целом ничего нового (все это можно найти у меня в блоге на протяжении последних пары лет), но важен сам факт признания такой возможности от одного из воротил рынка ПДн, который к тому же еще и лицензиат ФСТЭК.
Но в целом это закономерно. Сегодня запугивать кого-то и играть на незнании и отсутствии информации уже поздно. Хотя бы потому, что уже появляются не просто отдельные факты о том, что при проверках регуляторы отходят от своих же официальных рекомендаций и, например, соглашаются с отказом не использовать классы К1-К4, а целые отраслевые рекомендации, согласованные с регуляторами. Например, рабочая группа ЦБ/АРБ, в которую вхожу и я, опубликовала на сайте АРБ эти документы в свободном доступе:
- РС БР ИББС-2.3 Требования по обеспечению безопасности ПДн
- Методические рекомендации по выполнению законодательных требований
- СТО БР ИББС-1.0-20хх
- Методика оценки соответствия
- РС БР ИББС-2.4 Отраслевая модель угроз ПДн.
12 коммент.:
К сожалению "Методика оценки соответствия" - битая ссылка на документ. Есть другая ссылка?
Алексей,не знаете для энергетики, а именно для энергосбытовой отрасли никто не удосужился такую работу провести???
Я тут недавно пытался софтлайновский вебинар пытался слушать по теме. После всякой чуши про необходимость лицензии для защиты я выключил нафиг. Продолжается этот цЫрк з коняме.
A: Завтра будут последние версии проектов.
Aleks305: Не знаю.
http://ruscrypto.ru/netcat_files/File/ruscrypto.2010.005.zip -- тем временем на ruscrypto читают вот такие доклады ;-)
Ждем последних версий проектов БР. А вот по поводу снятия сливок Вы не правы - банки ждали как раз рекомендаций БР, теперь интеграторы начнут окучивать Банки на соответствие, а разрабатываемых и внедряемых документов там очень много (38 в рекомендациях с криптозащитой). Конечно разумности добавилось, но рамки отмененного 4-х книжия дают о себе знать. :-)
Не надо торописсса - посмотрите раздаточный материал сегодняшей конференции в Leta, сама Лета, Рейнвокс и другие бульбуляторы-интеграторы - аттестация, аттестация, аттестация... Бла-бла-бла. У некоторых и цены есть 1,2 млн за 2 месяца - это адекватная цена? В обмен на это дадут энное количество бумажек из базы шаблонов, за мои же деньги их "СОГЛАСУЮТ" с эфемерным регулятором - ну и что? Так что самые жирные сливки еще впереди.
Алексей Т.: Окучивать на соответствие могут не все интеграторы, а "допущенные" ;-) Те, которые в ABISS входят. И учитывая тесные контакты банков с ЦБ, вариантов "срубить бабла" за содействие в согласовании с регулятором теперь будет гораздо меньше. Потому что вот оно ГУБЗИ, вот его руководство... Всегда можно спросить, что и как. Да и АРБ еще есть. Никаких непоняток, как и с кем общаться (как с ФСТЭК) нет.
Alex: Это из запасников материалы, напечатанные еще ДО 58-го приказа. У нас (в Cisco) тоже такие есть (только в электронном виде) ;-) Правда, мы их уже не раздаем.
Сам процесс "снятия сливок" на мой взгляд связано с формулой, в которую входят:
- наличие источника(как правило бюджет)
- наличие структуры (людей которые могут организовать "утечку" из источника)
- наличие "ширмы" демонстрирующей "бурную деятельность"
- наличие причины/условия для начала процесса.
При этом чем менее социально значимы условия, или чем они мутнее - тем вероятность "утечек" выше...
Ну и в том же духе...
Подходит ли к концу процесс снятия сливок ?! Скорее прошла первая волна - вкусненькая. А по второму разу стричь как то неприлично...
Соглашусь с Родыгиным - сливки остались до сих пор, конечно процесс "снятия" затруднился и ограничивается допущенными (входящими в Abiss и т.д.). В общем БР использует 152 ФЗ для продвижения СТО БР (посмотрим, выйдет ли это дешевле, чем формальное выполнение требований 152-ФЗ) и посмотрим, насколько реализация СУИБ и проведение аудита повысит защищенность ИСПДн банков. :-) Кстати, откуда информация о "содействии в согласование с Регуляторами"? По-моему такими вещами уже давно никто не занимается понимая, что согласовывать не обязательно.
Снятие "тех" сливок кончилось. Теперь придется работать ;-) А про согласование в регионах часто говорят.
Боюсь Алексей, что "работать" в отрасли разучились. :-)
Отправить комментарий