23.8.11

Что должен знать ИТ-директор об ИБ... в России - 2

Раз уж я упомянул сегодня статью в ДИС, то приведу и ссылки на него:
- часть 1 - о понятии ИБ и исторических предпосылках развития ИБ в России
- часть 2 - о регуляторах и их требованиях
- часть 3 - о цене защиты, призраке холодной войны, закрытых нормативных актах и отказах от международных стандартов

6 коммент.:

doom комментирует...

Ни в одной стране мира нет такого количества регуляторов в области ИБ, как в России. У нас их шесть...

А я бы поспорил... Если в США посчитать все их департаменты, комитеты и прочее, то даже больше получится. То, что зоны ответственности разные - но и у нас вряд ли пересекаются СВР и ФСО, например.

doom комментирует...

Опять не удержусь...
И даже больше: имея перед глазами десять абсолютно одинаковых систем Cisco ASA 5585-X (выпущенных в один день с одного завода и имеющих одинаковые контрольные суммы ПО), вы можете столкнуться с тем, что девять из них будут сертифицированы, а одна — нет. А все только потому, что на девяти наклеена голограмма, а на одной — нет.
Ох, открыли бы вы уже стандартное "производство" сертифицированных IOS'ов и не было бы такой проблемы... Ведь сертифицировать достаточно только софтовую часть ASA или IPS - железка (чисто формально) может быть произвольной. И если бы можно было купить (пусть даже в другой компании - типа СИСа) сертифицированный Cisco IOS, то люди были бы просто счастливы - сейчас сертификация цискиной железки обходится где-то в 10% от стоимости, причем железку надо физически предоставить ИЛ - это еще дополнительные расходы + сложность сертификации имеющегося оборудования.

Алексей Лукацкий комментирует...

В США есть регуляторы, не спорю, но у них действия согласованы между собой и нет такого количества требований по оценке соответствия и лицензированию не для госов

Алексей Лукацкий комментирует...

Сертификация - это тема отдельная. Меньше 10% на сертификат даже у MS не получается ;-) А у них просто софт.

Что касается "открыли бы производство", то я про это напишу в конце недели. Это не вам не фунт изюма ;-) Чтобы в России открыть производство нужно потратить больще, чем будет отдача. Да еще и при постоянно сменяющихся и непрозрачных правилах игры ;-(

doom комментирует...

В США есть регуляторы, не спорю, но у них действия согласованы между собой и нет такого количества требований по оценке соответствия и лицензированию не для госов
А еще у них система управления нормальная, спрашивают за результат и много чего еще :)
Действия наших регуляторов такие какие они есть, в первую очередь, из-за отсутствия каких-то явных целей и нормально контроля их деятельности.

Меньше 10% на сертификат даже у MS не получается ;-) А у них просто софт.
Если бы сертифицированное "производство" болванок открыла бы сама компания Microsoft, то цена могла бы быть другой. А так - посредникам тоже надо как-то окупать свою деятельность.

Symantec тоже сказали, что они даже не знают сколько стоит их сертифицированная болванка - потому что все деньги идут в карман тому дистрибьютору (или кто там подсуетился), кто смог организовать сертификацию - если бы этим занимался Symantec, то они могли бы продавать свои сертифицированные болванки за те же 40 баксов, что и обычные.
Здесь самый удачный пример - Касперский. Лишняя 1000 рублей и антивирус становится волшебным образом сертифицированным - сумма, фактически, символическая.

А вы-то, насколько я понимаю, хотите вовсе не фиктивное производство сертифицированных болванок открывать, а именно сборку оборудования со всеми вытекающими - тут да, сложностей слишком много.

Алексей Лукацкий комментирует...

Западная компания в России не может сама ничего сертифицировать. По законодательству должна быть испытательная лаборатория и орган по сертификации. А они все есть хотят ;-)