Итак, берем ст.19 нового законопроекта. В п.2 у нас предусмотрено 9 мероприятий по защите. В целом они понятны и дальше я буду их оценивать, но хочу прокомментировать только один пункт - "Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию". Что это как не аттестация ИСПДн?
Список организационных и технических мер из 19-й статьи у нас детализирован в ПП-781 (да и 58-й приказ ФСТЭК и методички ФСБ его повторяют). Это всяческие проверки готовности, ввод в эксплуатацию, обучение персонала, учет носителей, учет лиц, контроль за соблюдением и т.д. Т.к. Правительство делегировало состав и содержание 9-ти пунктов ст.2 ФСТЭК и ФСБ, то мы имеем полное право предположить, что указанные в нормативных документых регуляторов меры останутся теми же. Рекомендуемые типы защитных средств тоже - СЗИ от НСД, МСЭ, сканеры безопасности, системы обнаружения атак, системы управления СЗИ, токены, антивирусы, СКЗИ. Из оргмер - охрана, защита помещений, оценка соответствия, ограничение доступа в помещения и т.д.
Теперь попробуем посчитать во что это все обойдется?
- Стоимость СЗИ для одно ПК - от 3463 рублей (на сертификат для ОС Windows 7; считаем что сама лицензионная ОС уже приобретена) до 8750 рублей (на "Блокхост-Сеть"). Цены на Secret Disk, DALLAS LOCK, Панцирь и Secret Net варьируются в тех же диапазонах - 5-7 тысяч рублей. Нужно также добавить от 15% до 25% на годовую техподдержку. Разумеется при больших внедрениях цена может быть снижена, но я сейчас рассчитываю сценарий для микропредприятий (до 15-ти человек) и индивидуальных предпринимателей, коих по данным Росстата у нас около 4-х миллионов (на конец 2009 года - данных актуальнее я не нашел. Они ни о каких скидках и мечтать не смогут.
- Стоимость СЗИ для одного файлового сервера - от 8900 рублей (на сертификат для ОС Windows Server 2008 R2 Standard Edition) до 35200 рублей (на сервер класса С для Secret Net). Цены на Аккорд, Secret Disk NG и др. вариьируются от 14 до 32 тысяч рублей.
- Стоимость самого дешевого сертифицированного сканера безопасности ("Ревизор Сети") - 9275 рублей на 10 IP-адресов.
- Антивирус (что Касперского, что Dr.Web) обходится примерно в 900-1000 рублей на один ПК. Если брать не Kaspersky Workspace Security, а Total Space Security, то цена вырастет до 4100 рублей на один компьютер.
- Стоимость самого дешевого сертифицированного МСЭ - около 10 тысяч рублей. Это что на UserGate Proxy & Firewall, что на MS ISA Server Standard 2006. При росте числа пользователей цена МСЭ может возрасти и до 1-10 миллионов рублей.
- Стоимость системы обнаружения вторжений я оцениваю примерно тысяч в 15, хотя тут могут быть и гораздо более высокие цифры.
Если компании не повезло и у нее два и более офисов, то она будет вынуждена применять VPN-решения. Стоимость такого решения на два офиса (точка-точка) составит не менее 125 тысяч рублей (для Континента-Мини). На базе ViPNet или ФПСУ-IP цена будет составлять 130-140 тысяч рублей. При защите 10 офисов цена сертифицированного VPN-решения (про функциональность даже пока не заикаюсь) составит минимум 900-1200 тысяч рублей.
Все эти цифры одинаковы, что для ИСПДн 3-го, что для ИСПДн 1-го класса. Единственная разница - для ИСПДн 1-го класса СЗИ должны пройти сертификацию на отсутствие НДВ, а она стоит 750-1200 тысяч рублей (но есть примеры и в 7-8 миллионов рублей). Напомню, что учитывая отсутствие у абсолютного большинства операторов ПДн сертифицированных средств защиты, им придется делать все эти траты с нуля. К слову сказать, на днях был на одном КВО, который еще и гостайну в полный рост обрабатывает. Так вот у них тоже нет сертифицированных СЗИ ;-) Что уж говорить о микро-, малом и среднем бизнесе.
Вы думаете это все? Нет. Дальше у вас пойдут затраты на оргмеры.
- Составление модели угроз. Т.к. ни один здравомыслящий человек не будет использовать "Базовую модель угроз" от ФСТЭК, а ассоциаций и союзов, готовых разработать модель для малого бизнеса нет, то разрабатывать малым предприятиям такие модели придется самим. Сами они не в состоянии; следовательно обязаны будут обратиться к интеграторам. Ценник на такие работы - от 15 до 690 тысяч рублей (из реальных коммерческих предложений).
- Составлению модели угроз всегда предшествует этап обследования информационных систем, включающий сбор информации об используемых ПДн (от 45 до 330 тысяч рублей), категорирование ПДн (от 15 до 150 тысяч рублей), сбор информации об используемой системе защиты (от 60 до 180 тысяч рублей), классификация информационных систем (от 15 до 270 тысяч рублей).
- Обучение трех специалистов - 25-35 тысяч рублей на одного человека. Откуда 3, а не 2? По словам представителей ФСТЭК должно быть три. Два нужно для лицензии. А для составления модели угроз по методике ФСТЭК - три. Экспертов с подтвержденной квалификацией в группе должно быть нечетное количество (т.е. минимум три).
- Аттестация - от 10 до 80 тысяч рублей на один ПК (в зависимости от модели угроз).
- Построению системы защиты должны предшествовать этапы разработки ТЗ и технического проекта по ГОСТ 34 698-90, а также набора инструкций, приказов, положений и т.д. – от 300 до 1200 тысяч рублей.
- Стоимость лицензирования не привожу, т.к. можно обойти либо путем заключения договора с лицензиатом, либо юридической проработкой этого вопроса. Но если вдруг кто-то захочет, то готовьте минимум 2 миллиона рублей.
Резюмируя:
- Стоимость приведения компании с 10-тью компьютерами, одним серверов и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 900 тысяч рублей в год (без стоимости лицензирования).
- Стоимость приведения компании с 100 компьютерами, тремя серверами и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 3 миллионов 915 тысяч рублей в год (без стоимости лицензирования).
- Стоимость приведения компании с 100 компьютерами, тремя серверами и десятью офисами, подключенными через Интернет, в соответствие с требованиями принятых поправок составит не менее 5 миллионов рублей в год (без стоимости лицензирования).
Можно ли сократить эти цифры? Законными методами практически нет. Компании малого и микробизнеса не интересны интеграторам и поставщикам. Интересен сам сегмент этого рынка, но не отдельные его представители. Можно дать скидку Газпрому или Центральному банку. Но давать скидку на защиту для 3-4 компьютеров?..
По VpNEt'у странный расчет вот недавно взяли БизнесМейл + Монитор + 1ВПН связь с головным = 1 тыр на одну связь дополнительную. Сам пакет на 1 машину (БМ + Монитор) = около 3-4 тыр, ну если защищать больше там немного иное решение можно использовать. + От ESET купил инод сертифицированный ФСТЭК обеспечив и FW и Антивирусную защиту...на входе стоит правда не сертифицированный как устройство DLink FW 210
ОтветитьУдалитьПо ViPNet взята стоимость Coordinator + железо для нее + система управления.
ОтветитьУдалитьВполне возможен переход малых предприятий на решения OpenSource, тогда затраты сократятся...
ОтветитьУдалитьПозволю себе пару-тройку комментариев:
ОтветитьУдалить1. Можно вместо ViPNet'a вот этим попробовать обойтись (сертифицированный OpenVPN):
http://www.cryptocom.ru/buy/prices.html
дешевле будет.
2. ViPNet Coordinator иметь общий на несколько компаний.
Еще чуть сэкономить можно.
3. Страшно представить сеть из 100 компьютеров со 100 SecretNet+Соболь комплектами. Из моего скромного опыта - это очень нестабильные программы и железки, которые будут мешать бизнесу. Появятся косвенные потери.
Еще в том году SecretNet не дружил с WinServer 2008. Внедреж тоже может потянуть за собой расходы.
Алексею Лукацкому: Помните, года полтора назад на очередной выставке по ИБ в Экспоцентре прямо в начале подняли подобный вопрос? Из президиума выступило два товарища: один предложил бесплатный метод решения вопроса о защите ПДн с помощью кусачек, а второй - платный с помощью тех вещей, затраты на которые Вы сейчас примерно подсчитали. И затем вышел регулятор! И сказал примерно следующее - вот вам два способа решения проблемы! Нет денег - кусачки в руки! Третий вариант - симбиоз первых двух!
ОтветитьУдалитьДля регуляторов нет ничего нерешаемого...
Like: Да не будет малый бизнес переходить на СПО. Переход требует квалификации и постоянной поддержки. Малому бизнесу проще с виндой работать.
ОтветитьУдалитьДа и стоимость средств защиты не зависят от типа ПО. Вы можете сэкономить только на ОС - ALT Linux вместо Винды. Хотя обе ОС сертифицированы.
rustam'у: Мы же говорим про site-to-site VPN. OpenVPN-ГОСТ нелегитимен с точки зрения ФСб ;-)
ОтветитьУдалитьКто будет делить Coordinator между несколькими компаниями? Стремно.
Ну а про SN вопрос отдельный. Мы же не говорим о работоспособности решений, а только о цене обязательных требований.
Вадим: Так у регуляторов всегда такой подход. На одном из круглых столов ФСБ вообще заявила, что не хотите выполнять требования, переходите на активную обработку бумаг вместо компьютеров.
ОтветитьУдалитьДык это.. пора уже меры противодействия этому беспределу начинать продумывать)
ОтветитьУдалитьКакие выходы то?
Бюджетный вариант..
Доки пишем сами или берем написанные другими..
Т.е. показываем проверяющим, что работа ведется. Если пришел проверять только РКН, то техсторона вообще не смотрится.
Если со фстэком - пишут предписание.. выполняем, что можем, докладываем..
Ежели они снова недовольны - впишут вам штраф.. Сумма то его все равно не сравнимая с приведенными здесь затратами, ибо наказания ведь никак не изменили!
Про приостановление деятельности - прецедентов ведь нет и говорить об этом как об риске имхо пока смысла нет. Вот как то так )
Учитывая, сколько лет гнобили ФСТЭК, они могут попробовать воспользоваться приостановлением деятельности, как наказанием. Суды скорее всего их пошлют, но право у ФСТЭК такое есть.
ОтветитьУдалитьИ проблема не с ФСТЭК, а с ФСБ. А те не очень бояться отстаивать свою правоту. Да и спорить с ними мало кто хочет
Алексей,
ОтветитьУдалитьт.е. сточки:
"...
Сертификат ФСБ
ПК "МагПро КриптоТуннель" является надстройкой над сертифицированным СКЗИ "МагПро КриптоПакет" и не требует отдельной сертификации.
СКЗИ "МагПро КриптоПакет" сертифицирован ФСБ России по классу КС1 (Cертификат ФСБ N СФ/114-1298 от 14 мая 2009г.) и по классу КС2 (Cертификат ФСБ N СФ/124-1299 от 14 мая 2009г. ).
..."
ничего не значат для VPN решения?
Алексею Лукацкому
ОтветитьУдалить"6.Стоимость системы обнаружения вторжений я оцениваю примерно тысяч в 15, хотя тут могут быть и гораздо более высокие цифры."
Прошу пояснить откуда оптимистичные 15 тр? Имхо, цены по сертифицированным решениям на порядок выше.
"Кто будет делить Coordinator между несколькими компаниями? Стремно."
Как только появится экономическая целесообразность это может сделать любой лицензиат.
В регионах для ОВ это уже создается.
rustam: В разъяснениях ФСБ прописано, что при встраивании сертифицированных криптоядер в VPN-решения, необходимо сертифицировать все изделие целиком.
ОтветитьУдалитьКак-то на одной из конференций я приводил такие данные (с учетом покупки компьютера)на основе одного реального проекта:
ОтветитьУдалить1. Цена АРМ на базе клиент-серверной схемы от Microsoft:
Компьютер 8 000 руб.
ОС (Windows или Linux) 5 600 руб.
Лицензия на доступ к серверу 900 руб.
Лицензия на терминальный доступ Не требуется
AVP (ПО «Антивирус Касперского®») 1 200 руб.
VPN-агент (ПО «ЗАСТАВА®-Клиент») 2 808 руб.
СКЗИ (ПО «КриптоПРО CSP») 1 800 руб.
Идентификатор (Смарт-карта + считыватель) 1 000 руб.
СЗИ от НСД (ПО «Аккорд-АМДЗ» ver.5.5) 11 400 руб.
ПО «Data Protection Manager 2007» 900 руб.
ПО «Operation Manager 2007» 950 руб.
ИТОГО за 1 АРМ 34 558 руб.
2.Цена АРМ на базе терминала на базе Microsoft:
Компьютер 8 000 руб.
ОС (Windows или Linux) 2 500 руб.
Лицензия на доступ к серверу 900 руб.
Лицензия на терминальный доступ 2 700 руб.
AVP (ПО «Антивирус Касперского®») 1 200 руб.
VPN-агент (ПО «ЗАСТАВА®-Клиент») 2 808 руб.
СКЗИ (ПО «КриптоПРО CSP») 1 800 руб.
Идентификатор (Смарт-карта + считыватель) 1 000
СЗИ от НСД (ПО «Аккорд-АМДЗ» ver.5.5) Не требуется
ПО «Data Protection Manager 2007» Не требуется
ПО «Operation Manager 2007» 950 руб.
ИТОГО за 1 АРМ 21 858 руб.
3.Цена АРМ на базе тонкого клиента
(терминал на базе СПО Linux):
Компьютер 8 000 руб.
ОС (Windows или Linux) 300 руб.
Лицензия на доступ к серверу Не требуется
Лицензия на терминальный доступ Не требуется
AVP (ПО «Антивирус Касперского®») Не требуется
VPN-агент (ПО «ЗАСТАВА®-Клиент») 2 808 руб.
СКЗИ (ПО «КриптоПРО CSP») 1 800 руб.
Идентификатор (Смарт-карта + считыватель) 1 000 руб.
СЗИ от НСД (ПО «Аккорд-АМДЗ» ver.5.5) Не требуется
ПО «Data Protection Manager 2007» Не требуется
ПО «Operation Manager 2007» Не требуется
ИТОГО за 1 АРМ 13 908 руб.
С терминальными решениями на базе Linux это только с виду всё красиво.
ОтветитьУдалитьА на самом деле, взять типовую организацию у которой уже все технологические процессы выстроены на базе клиент-серверных систем Windows, то миграция её на терминальное решение на базе Linux будет стоить гораздо дороже 900 000 руб.
Серверы безопасности у Secret Net используются для сбора данных с агентов в домене.
ОтветитьУдалитьВ регионах то, что касается услуг, гораздо дешевле.
ОтветитьУдалитьДля усредненной малой организации с 10 компьютерами и ИСПДн класса К3
можно уложиться в 250000 (ОРД + средства защиты+установка и настройка) без аттестации.
А ещё надо сертифицированное серверное терминальное решение - которое будет разграничивать права и т.п.
ОтветитьУдалитьА среди Unix систем - я знаю только сертифицированный SunRay и стоит он очень недешево.
> В регионах то, что касается услуг, гораздо дешевле.
ОтветитьУдалитьВ регионах, что касается оборотов и зарплат, гораздо ниже. Так что для усредненной компании в 10 компьютеров 250 тыщ нужно еще постараться заработать - затраты-то идут из чистой прибыли.
Некоторые озвученные выше в комметариях СЗИ не сертифицированы, а для некоторых при такой схеме использования не будет соблюдаться ТУ по эксплуатации.
ОтветитьУдалитьТерминальное решение на базе Linux не является дорогим удовольствием. Но вопрос сертификации и выполнения всех требований по защите будет стоять остро.
Да и вообще дела с защитой Linux в соответствии со ВСЕМИ требованиями регуляторов обстоят печально...
> Теперь попробуем посчитать во что это все обойдется
ОтветитьУдалитьА водку производить еще тяжелей: 50 рублей с каждой поллитры стране отдай, а она тебе за них ничего ))
Ну вы даете, Алексей. Зачем всегда делать из мухи слона!!!
ОтветитьУдалитьИ преувеличивать все что можно в десятки раз!!!
Кто вам такие цены на орг. меры предложил. Посмотрите в интеренете. Позвоните конторам. Документы для защиты разработают максимум за 20-ку. А вы пишите модель угроз за 15-ку -бред полный!
Ригелю: при том, что себестоимость производства 1Л спирта составляет 18 руб - я думаю это нормально :)
ОтветитьУдалитьТысячей больше, тысячей меньше. Как игнорировались все требования, так и будут игнорироваться. Дешевле откупиться и ничего неделать под лозунгом: "Всех не проверят!"
ОтветитьУдалитьВ госбюджеде деньги не заложены - будут продолжать создавать видимость.
В итоге, базы как утекали, так и будут утекать.
Проблемы как в законе, так и в существующей системе сертификации.
Пусть и не от Гаранта, но на открытое письмо ответ всё-таки появился
ОтветитьУдалитьhttp://www.ispdn.ru/publications/vihorev.pdf
А. Влокову:
ОтветитьУдалить"...затраты-то идут из чистой прибыли..."
Это неверное утверждение. Затраты на защиту ПДн списываются по статье "Общехозяйственные расходы" и относятся на себестоимость продкуции...
Пара комментариев:
ОтветитьУдалить1. СЗИ для одного файлового сервера, сервер класса С для Secret Net - это средство для централизованного управления сетевой версией Secret Net, в качестве сзи для файл сервера используется Secret Net "Клиент", ценник как для АРМ.
2. С системами обнаружения вторжений действительно не все так просто либо персональное решение в пределах 3.000 либо корпоративное на пару порядков дороже.
3. для К3/К2 и К1 разница в стоимости решений присутствует и существенная - так сертифицированные ОС MS для К1 не подойдут(цена отличается минимум в 2 раза от СЗИ в меньшую сторону).
4. Ну в пунктике где итоги подводятся, указываются затраты в год, наверное они все-таки единовременные.
Но в целом довольно информативно.
Странные рассуждения. Зачем защищать 10 ПЭВМ. Выделите 1-3, поставьте антивирусник, СЗИ от НСД или сертиф. Windows. Примеры необходимых бумаг накачайте из Интернета и доработайте. Потом задекларируйте своей бумагой, что у Вас все ОК!
ОтветитьУдалитьНе надо делать из мухи слона!!!
ОтветитьУдалитьЦены увеличены в разы!
Позвоните в фирмы. Документы по защите вам составят за 20-ку. А вы пишите что только на модель угроз 15-ку надо потратить.
полный бред!!! извините Алексей
Остальное даже коментировать не надо!
Алексей
ОтветитьУдалитьВзял конечно "жирно" основной перегиб по сертификации НДВ 4 от 150 т.р. Но она не всем нужна!
И второй перегиб - ты указываешь цены и решения ВЛОБ и они все таки оптимизируются для большинства!
При таких прогнозах хорошо работают граничные варианты: минимум 1 защищенный арм на одного обработчика с навесным СрЗИ. Ну и так далее.
С учетом того, что защитить технически все ПДн на сто процентов невозможно никаких денег не хватит было бы интересно сравнить стоимость реализации технических мер и стоимость затрат на защиту ПРАВ СУБЪЕКТОВ! Думаю получиться отношение миллион к одному ?..
И еще мне подумалось - защита прав субъектов = выполнение мер по защите и только? Почему коллегии адвокатов не пишут открытые письма ?..
а что делать муниципалам? там помимо всего прочего нужно "проломить" руководство, которое считает что все это плата за воздух.
ОтветитьУдалитьнеужели нет сертифицированных UTM? (железка где все-в-одном: и firewall и IPS и антивирус)
ОтветитьУдалитьа. нашел. Altell NEO - 400 тыщ рублей всего то. http://shop.linuxrsp.ru/shop/sertified_fstek/firewall_fstek/altell_firewall/altell_neo_300_utm/
ОтветитьУдалитьА давайте теперь кто-нибудь скажет, что это входной билет, отталкивающий от автоматизированной обработки лишних операторов.
ОтветитьУдалитьBDV в той железке сертифицированы только МЭ
ОтветитьУдалить>>И проблема не с ФСТЭК, а с ФСБ. А те не очень бояться отстаивать свою правоту. Да и спорить с ними мало кто хочет
ОтветитьУдалитьДык для этого надо чтоб фсб участвовало в проверке или попасть под отдельную проверку Пдн от фсб.
А сколько фсб проверок запланировано на это год? А регламент проверок фсб есть?
НИКТО (нормальный руководитель)не будет тратить такие деньги (у нас например 10 филиалов 10 северов, 350 пк, так что 5 млн.не обойдешься)при мнимой угрозе проверки от фсб с непонятными последствиями.
2Tiger_66. Желаю Вам оставаться таким оптимистом и далее. А я заглядываю в сводный план проверок предпринимательской деятельности (!) на сайте Генпрокуратуры. Оптимизм отшибает, как не было. С 3августа 2011 г. плановая проверка ФСБ по Камчатскому краю совместно с местным пожарным надзором МЧС. 10 дней. Тема проверки "Соблюдение в процессе осуществления деятельности обязательных требований по обеспечению безопасности персональных данных при их обработке". Прокуратура дала добро. Оптимизма не поубавилось? В том же плане проверок ПДн ФСБ - пара техникумов (сельхоз и молочный) ну т.д.
ОтветитьУдалитьЦены на услуги брались из 4-х коммерческих предложений, которые я видел. По поводу цены "ВЛОБ", т.к. они таковыми и будут. На стоимости СЗИ не сэкономишь. На стоимости услуг может быть и можно сэкономить (в части разработки бумажек), но не уверен, что очень сильно. Если закон примут и регуляторы почувствуют вкус крови, то и лицензиатам нет смысла сильно снижать ценники. Бизнес есть бизнес.
ОтветитьУдалитьАлексей, немного странные у вас конечно цены... их, как правило, у производителя запрашивают...
ОтветитьУдалитьНапример, тот-же Блокхост-сеть стоит от 4000 за автономную РС, если сеть из нескольких ПК и сервера, то стоимость рабочей станции 4900, сервера 10800.
У каждого же свои потребности...
Причем стоит помнить и о том, что продавцы предоставляют скидки в зависимости от количества.
Многие производители предлагают специальные комплексные решения для предприятий среднего и малого бизнеса.
Так что, на мой взгляд, вы рубите с плеча, не разобравшись до конца в сути проблемы защиты перс данных для СМБ.
Любовь, меня часто обвиняют в том, что цифры взяты с потолка. Но я оперирую вполне конкретными цифрами, получеными от разных компаний. Т.е. цифры перепроверены по 3-м прайс-листам.
ОтветитьУдалитьПо скидкам я уже ответил выше, что на 3-5 компьютеров (и даже на 10) скидки мало кто дает. Это же не 1000 и даже не 100 компов. При таких количествах маржа и так маленькая; какая уж тут скидка.
честно говоря не знаю где вы берете тогда эти прайс листы, раз уж вас многие обвиняют в неверности информации о ценах.
ОтветитьУдалитьпри таких малых количествах АРМ разумнее всего использовать типовые решения по защите перс данных. именно они как раз и включают в себя необходимый набор программно-технических средств и имеют преимущество в цене.
к тому же, насколько мне известно, многие организации, понимая что бюджет у компании-Заказчика ограничен, готовы идти на встречу предлагая или альтернативные решения или делая существенные скидки.
К тому же важно понимать: что, кто и как обрабатывает. никто не отменял сегментирование ИС, которое позволяет значительно сократить расходы на защиту информации. и ведь для многих это действительно решение насущной проблемы.
Любовь, к сожалению, большинство малых и микропредприятий не в состоянии самостоятельно эффективно снизить свои затраты. Чтобы получить рекомендации о сегментации и т.д. надо заплатить интегратору. И вся возможная скидка на СЗИ будет съедена этими затратами.
ОтветитьУдалитьИ насчет неправильных цен, я пока не увидел "много" обвинений. Если честно, только одно ;-)
По поводу сегментирования и других сценариев оптимизации... я вообще могу привести сценарий, когда мне не понадобится тратить НИ ОДНОГО РУБЛЯ на выполнение требований закона, т.к. могу доказать, что я НЕ ОПЕРАТОР и никогда им не являлся. А раз так, то делать мне ничего не надо, т.к. все обязанности по защите лежат на операторе. Но это я ;-) А многие ли знают такой сценарий и могут по нему пойти. И готовы ли по нему пойти?
2 Алексей
ОтветитьУдалитьЕсли компания имеет 100 компьютеров, очевидно, что они сформируют сегмент из 2-3х для обработки а не будут использовать все!
Тем не менее копая глубже мы придем к фразе "бывает по разному" и на этом закончится.
К тому же нужно учитывать, что многие даже специалисты не понимают что зачем и почему, а для руководства достаточно выполнить шаги приводящие к состоянию при котором проверка закончится формулировкой "ООО $$$ не выполняет все требования ФЗ однако, основные базовые мероприятия выполняются. С учетом принятых мер и проведении текущих работ по доработке, можно ограничиться замечанием...
А когда возможно решать "на усмотрение" так оно и будет...
Просматривается какаято аналогия с пожаркой, только риска для совести меньше потому что "лошадь не захромает"...
ну на счет много взято с ваших же слов.
ОтветитьУдалить"Чтобы получить рекомендации о сегментации и т.д. надо..." просто заинтересоваться данной темой и даже не специалист разберется...
многие такие сценарии знают, но далеко не все на них могут пойти... в силу разных обстоятельств: классов ИСПДН, совести и отвественности.
Любовь, тут мне в пору вас обвинять в том, что вы не разобрались в специфике защиты в малом бизнесе. Я сегодня около часа объяснял техническому директору одного оператора связи, что такое классификация ИСПДн и как ее правильно организовать. ТЕХНИЧЕСКОМУ ДИРЕКТОРУ - человеку, который должен понимать технику. Общение же с журналистами в последние пару недель показали, что очень мало кто понимает всю проблематику и сложность решения простой на первый взгляд задачи. А вы хотите, чтобы владелец пекарни, парикмахерской или даже Интернет-магазина стал вникать САМ в эту проблему?
ОтветитьУдалитьЖеня, вот именно ;-) Все делается не по уму, и не по закону, а так, чтобы устроило проверяющих и проверяемых - хорошие меню, баня, девки ;-( О чем тогда вообще говорить...
ОтветитьУдалить>>ТЕХНИЧЕСКОМУ ДИРЕКТОРУ - человеку, который должен понимать технику.
ОтветитьУдалитьБугага) Бывает такой человек очень далек от техники.
Это я могу сказать , например про своего технического директора.. одного из операторов связи)
..
Евгений очень даже прав в своем последнем посте, именно к этому будет стремиться руководство в существующих условиях
2 Алексей
ОтветитьУдалитьМда... Все же с Блокхостом промашка вышла - все цены так-то на сайте производителя есть...
А в общую оценку можно еще смело добавить затраты на физическую безопасность - ФСБшники могут затребовать и отдельную сигнализацию в помещении с СКЗИ, и решетки на окна и еще всякие замечательные вещи в духе 152-го приказа.
Ну и вся эта прорва журналов учета может потребовать взять дополнительную девочку (либо сильно загрузить секретаря) - тоже затраты.
А выхлоп - как у операторов связи (например, мне тут знакомый сказал, что пресловутый СОРМ у них больше даже не ФСБшникам нужен, а все тому же РКНу - который придет и стребует, чтобы все документы были в порядке, а там их тоже хватает, но эти СОРМы, скрепя зубами, операторам таки пришлось закупить внедрить и сейчас тратить деньги на их сопровождение :( ).
2 Автор:
ОтветитьУдалитьАлексей, я все больше убеждаюсь, что Вы не просто на стороне "плохих" Интеграторов, но даже возглавляете их. Сначала был пост про "страшные правки ФЗ-152", благодаря которым все испугались и бросились к интеграторам, теперь эти странные расчеты.
1. сертифицированная ОС стоит 1350 для Windows XP. Про сертифицированные серверы промолчим, их целесообразность необходимо выяснять.
2. МЭ, антивирусы, крипто, обнаружения вторжений - с каких это пор Вы противник использования средств защиты? неужели эти средства не нужны в сети из 3-4 компьютеров и тем более из 100??? А проблема в том, что у большинства Операторов их нет, потому что бюджеты им не дают.
3. Аттестация - пропустим, я думаю каждый может почитать Ваши посты про декларирование, самооценку и т.д. и каждый сможет для себя решить, что ему нужно. Причем я как раз сторонник "разумной" аттестации.
4. Ну и модели, акты, ОРД и т.д. - неужели нет необходимости повысить уровень грамотности наших технических специалистов, которым Вы несколько часов про классификацию рассказывали? Да, не самая лучшая методика моделирования угроз, не самая актуальная классификация, не самые лучшие требования, но это лучше, чем было НИЧЕГО до этого...
А вообще, Алексей, продолжайте в том же духе, Вы несете полезное просвещение и запугивание в ряды Операторов. Чувствую, работать и работать после Ваших постов....
doom: Не буду про Блокхост спорить - я брал цены из прайс-листа одного из региональных небольших интеграторов.
ОтветитьУдалитьАлексею Т.: Ну зачем подменять понятия ;-)
ОтветитьУдалитьЯ не против средств защиты - я за. Я против необоснованного требования их сертификации. Даже не так. Я за сертификацию. Но не такую, как в России, когда сертифицируется конкретный экземпляр.
По поводу сертификации Windows цены взяты из ОФИЦИАЛЬНОГО прайслиста доверенного поставщика сертифицированных ОС компании Microsoft - компании "СИС". MS работает только с ним - поэтому их ценам я верю ;-)
А почему мы пропускаем аттестацию? Это раньше с ней было все решено. А теперь все не так радужно. Ибо формулировки 19-й статьи у меня не оставляют сомнений в том, что будет подразумеваться под оценкой до ввода в эксплуатацию.
Уровень грамотности специалистов повышать надо. Только вот в микробизнесе и, зачастую, в малом бизнесе этих специалистов нет.
Я раскрою тайну - большинство отечественныъ ИТ-директоров даже крупных предприятий ни фига не понимает в российской ИБ. Именно российской. Они знают, как выстроить процессы, какие средства надо применять и для чего. Но они не знают, каким требованиям они должны соответствовать - ФСТЭК или ФСБ. Они не знают ничего о схеме сертификации СЗИ. Они не знают ничего о лицензировании и аттестации. И я их понимаю - это все бред; в том виде, как это реализуется регуляторами для коммерческого рынка.
Еще раз посмотрите в прайсы СИС. Повторяю - пакет сертификации ХР стоит от 1350, 7-ки - в районе 1,5 тысячи ;-)
ОтветитьУдалитьПо поводу "подразумевается" и так далее - зачем домысливать за ФСТЭК и ФСБ. Хоть одна проверка была? Хотя бы одного Оператора наказали? Хотя бы однажды сказали - выкиньте свои несертифицированные СЗИ и поставьте Панцирь? Так что давайте без пессимизма и нагнетания страстей.
Алексей, ваши полторы тысячи учитывают саму лицензионную ОС? Или мы считаем, что у потребителя она уже есть именно лицензионная?
ОтветитьУдалитьЧто касается проверок, то ваш вопрос некорректен, т.к. закон еще не принят и проверок по нему не было. И потом это опять лукавство. Нет, не значит не может быть. Почему я должен рассчитывать на то, что регулятор от меня не потребует аттестации, ссылаясь на свои внутренние документы. Проходили это уже неоднократно. Закон не должен допускать двойственных толкований, иначе это прямой путь к коррупции ;-(
2 Алексей.
ОтветитьУдалитьЧитаем пост "считаем что лицензионная ОС уже приобретена". Кто лукавит, Алексей? Пост вчера написан, а Вы уже забыли. ;-) Если уж говорить про Операторов, у которых даже ОС нелицензионная, то Вы пиратов защищаете? Они так скоро нелицензионные Cisco использовать начнут.
А по поводу проверок - ну не надо наговаривать на регуляторов, грамотный юрист разобъет их в пух и прах. Но всегда должен быть оптимальный вариант - Оператор реализует защиту насколько может и понимает соответствуя требованиям, а регулятор в случае претензий их высказывает. Коррупция в ИБ в нашей стране не самая страшная коррупция. А основная мысль, которую я пытаюсь донести - пользы в виде стимулирования ИБ в отрасли больше, чем вреда от регуляторов. Но Вы продолжайте, я же говорю, тут даже на рекламу тратитсья не надо после Ваших постов. :-)
Все, я понял нестыковку по ценам. Я смотрю Полный, а не базовый пакет + программа контроля сертифированной версии. Токен не считал ;-)
ОтветитьУдалитьЧто касается "грамотный юрист разобьет в пух и прах" - согласен на все 100. Только вот малый бизнес не в состоянии нанять его; да и нет у нас столько юристов по данной тематике.
ОтветитьУдалитьНу а соглашаться с тем, что в ИБ коррупция лучше других отраслей... Мне и 7 миллионам операторов от этого не легче
2 Алексей Т.
ОтветитьУдалить1500 р. стоит минимальный пакет, который не содержит лицензию на программу XP_Check - а это творение надо приобретать на каждую рабочую станцию. Вот и выйдет озвученный ценник.
Кстати, еще замечу нюанс с сертифицированной Windows - невозможно сертифицировать имеющиеся OEM версии Windows - а у всех небольших компаний легальная Windows только OEM (вряд ли кто-то берет коробки, а уж EA таким компаниям и не снился).
ОтветитьУдалитьНу и психологически тяжело отдавать деньги, по сути, ни за что.
Чувствую себя защитником СИС и Альтекса :-))))) 1,5 т.р. включает в себя XP Check! OEM ные версии тоже сертифицируются. ;-)
ОтветитьУдалитьВам и 7 млн Операторов в виде сотрудников служб ИБ ФЗ 152 очень сильно помог проявить свою значимость, важность и выбить деньги на ИБ. Где была сейчас бы отрасль после 2008 года?
Чтобы проявить свою значимость не нужны параноидальные требования ;-)
ОтветитьУдалитьАлексей Т.
ОтветитьУдалитьОткуда у вас такая интересная информация?!? o_O
Мы в некоторых проектах вынуждены были закладывать что-то навесное только по причине OEMной винды - неужели что-то изменилось? А ведь тоже мы тогда долго пытались хоть как-то договориться...
И XP_Check тоже - сколько раз этот вопрос с СИСом обсуждали - они всегда настаивали на том, что его надо включать отдельной позицией (кстати, вопреки тому, что написано на их сайте).
Лукацкий мягко говоря сгущает краски.
ОтветитьУдалить1)Стоимость защиты зависит не только от числа раб. Мест, а прежде всего от категории ИСПдн, которая определяется из кол-ва и типа перс. данных, обрабатываемых в ИС.
2) ИСПДн малого бизнеса относится к 4 и 3 категории, 4 категорию защищать не надо.
3) Не нужно защищать перс. данные обрабатываемые в рамках ТК.
4) К 3 категории требования по защите невысокие
5) Есть куча способов сократить расходы на защиту, например переход на терминальный доступ
6) Организации-операторы проверяются Роскомнадзором по плану, который публикуется на сайте. При нынешней скорости проверок все предприятия будут проверены через несколько тысяч лет.
7) Развести ген. Дира малого предприятия на такие деньги не получится: он налоги не платит, софт ворованный, зарплаты черные, а тут какой-то новый очередной закон, чихать он хотел...
на днях был на одном КВО, который еще и гостайну в полный рост обрабатывает. Так вот у них тоже нет сертифицированных СЗИ ;-)
ОтветитьУдалитьАй-Яй! Зря Вы так не разобравшись. В резервациях сегмент по всем правилам.
В смысле, не разобравшись. Вы же не знаете, какой КВО я посещал.
ОтветитьУдалитьВ смысле, не разобравшись. Вы же не знаете, какой КВО я посещал
ОтветитьУдалитьПросто МОЙ точно посещали. И надеюсь еще посетите. По некоторым моим проектам ФСТЭК готов на персональные решения
Ваш посещал ;-) И надеюсь еще посетить. Но писал не о Вашем ;-)
ОтветитьУдалитьto vladimir1972
ОтветитьУдалить3) Не нужно защищать перс. данные обрабатываемые в рамках ТК.
Защищать надо, не надо уведомлять РКН.