Многие, наверное, читали или слышали про нововведения в 99-ФЗ "О лицензировании отдельных видов деятельности", посвященные возможности подачи документом на получение лицензий в электронном виде. Не знаю, много ли лиц прошли эту процедуру, но я подумал, что эта здравая идея (коль скоро у нас власти заявляют о работающих СМЭВ, портале госуслуг и, вообще, информатизации всей страны) может быть развита и дальше, особенно в области действия "наших" традиционных регуляторов - ФСТЭК и ФСБ; причем последней в первую очередь.
О чем идет речь? Ну, во-первых, коль скоро у нас ФСБ (а именно 8-й центр) активно занимается темой защиты персональных данных, то неплохо было бы привести и свой сайт в полном соответствие с законом и своими же методическими документами. А то получается забавная ситуация, которая неплохо описана у Михаила Брауде-Золотарева. Ее можно описать перефразированными словами Оруэлла из "Скотного двора" "все операторы ПДн равны, но некоторые равнее других". И эти некоторые - это госорганы, которых фиг заставишь выполнять обязанности по защите прав граждан, как субъектов персональных данных. Я про это уже писал. Про реальные действия основного защитника прав субъектов ПДн также написано немало. Так что то самая простейшая тема по защите ПДн при обращении в госорган нашими регуляторами реализуется из рук вон плохо (чего уж ждать от тех, кто в этой теме только гость).
Вторая тема связана с сертификатами на средства защиты, выдаваемые ФСБ и ФСТЭК. Ну чего проще - выкладывать на сайт регулятора не только выписки из сертификатов (кому выдан и на что), но и сканы самих сертификатов соответствия, а также контрольные суммы сертифицированных продуктов, номера голограмм и серийные номера сертифицированных изделий. Ведь в чем одна из проблем, которая возникает у потребителя средств защиты - удостовериться, что ему продают сертифицированный экземпляр. А он сейчас проверить этого не может до момента покупки. А в процессе эксплуатации, когда обновления на средства защиты ставятся пачками, он тем более уже не в состоянии ответить на вопрос: "Установленное обновление сертифицировано или нет?" А ведь без этого потребитель рискует попасть на нарушение статьи 13.12 КоАП об использовании несертифицированных СЗИ (аккурат сегодня будет обсуждать законопроект об увеличении штрафов по этой статье).
Да и целостность самого реестра сертификатов, который то в формате Excel, то в формате PDF, неплохо бы удостоверять чем-то похожим на электронную подпись, хотя бы и простую. А можно и вовсе пофантазировать и представить, что и сами сертификаты у нас выдаются в электронном виде и потребителю не приходится ждать неделю, две, пять, пока "Почта России" не доставит сертификат и сопутствующие документы.
ФСТЭК сейчас планирует менять положение о сертификации средств защиты информации и вводить дифференцированный режим в зависимости от типа обновления (сигнатуры атак и вирусов, патчи для уязвимостей, обновление, не влияющее на функциональность защиты и т.д.). И вот тут в полный рост встанет задача оперативного доведения до потребителя информации о том, что средство защиты, обновленное после установки патча, по-прежнему обладает сертификатом ФСТЭК, который был перевыписан тогда-то и контрольные суммы в сопутствующих документах такие-то. Если ждать, когда традиционным путем сертификат из ФСТЭК попадет в испытательную лабораторию, потом производителю, потом поставщику, а потом и потребителю, то пройти может много времени. А если в этот момент придет проверка или начнется аттестация?..
Что у нас дальше можно автоматизировать? Ну в идеале было бы неплохо автоматизировать взаимодействие с гражданами. Но не просто путем выдачи сообщения после нажатия кнопки "Отправить" в незащищенной Web-форме, а путем присваивания уникального номера моему запросу и возможности отслеживания его состояния с возможностью эскалации начальству, если какое-либо звено тормозит и не выдерживает установленные сроки ответа. Это была бы вершина автоматизации наших регуляторов, которым по статусу положено быть впереди всех остальных по части информатизации (может быть, исключая Минкомсвязи и его подведомственные структуры).
Но увы... Регулятор у нас по-прежнему оффлайн и зеленый свет зажжется, видимо, не скоро.
ЗЫ. Можно рассматривать этот пост как пожелания регуляторам; и не только ФСБ и ФСТЭК ;-)
О чем идет речь? Ну, во-первых, коль скоро у нас ФСБ (а именно 8-й центр) активно занимается темой защиты персональных данных, то неплохо было бы привести и свой сайт в полном соответствие с законом и своими же методическими документами. А то получается забавная ситуация, которая неплохо описана у Михаила Брауде-Золотарева. Ее можно описать перефразированными словами Оруэлла из "Скотного двора" "все операторы ПДн равны, но некоторые равнее других". И эти некоторые - это госорганы, которых фиг заставишь выполнять обязанности по защите прав граждан, как субъектов персональных данных. Я про это уже писал. Про реальные действия основного защитника прав субъектов ПДн также написано немало. Так что то самая простейшая тема по защите ПДн при обращении в госорган нашими регуляторами реализуется из рук вон плохо (чего уж ждать от тех, кто в этой теме только гость).
Вторая тема связана с сертификатами на средства защиты, выдаваемые ФСБ и ФСТЭК. Ну чего проще - выкладывать на сайт регулятора не только выписки из сертификатов (кому выдан и на что), но и сканы самих сертификатов соответствия, а также контрольные суммы сертифицированных продуктов, номера голограмм и серийные номера сертифицированных изделий. Ведь в чем одна из проблем, которая возникает у потребителя средств защиты - удостовериться, что ему продают сертифицированный экземпляр. А он сейчас проверить этого не может до момента покупки. А в процессе эксплуатации, когда обновления на средства защиты ставятся пачками, он тем более уже не в состоянии ответить на вопрос: "Установленное обновление сертифицировано или нет?" А ведь без этого потребитель рискует попасть на нарушение статьи 13.12 КоАП об использовании несертифицированных СЗИ (аккурат сегодня будет обсуждать законопроект об увеличении штрафов по этой статье).
Да и целостность самого реестра сертификатов, который то в формате Excel, то в формате PDF, неплохо бы удостоверять чем-то похожим на электронную подпись, хотя бы и простую. А можно и вовсе пофантазировать и представить, что и сами сертификаты у нас выдаются в электронном виде и потребителю не приходится ждать неделю, две, пять, пока "Почта России" не доставит сертификат и сопутствующие документы.
ФСТЭК сейчас планирует менять положение о сертификации средств защиты информации и вводить дифференцированный режим в зависимости от типа обновления (сигнатуры атак и вирусов, патчи для уязвимостей, обновление, не влияющее на функциональность защиты и т.д.). И вот тут в полный рост встанет задача оперативного доведения до потребителя информации о том, что средство защиты, обновленное после установки патча, по-прежнему обладает сертификатом ФСТЭК, который был перевыписан тогда-то и контрольные суммы в сопутствующих документах такие-то. Если ждать, когда традиционным путем сертификат из ФСТЭК попадет в испытательную лабораторию, потом производителю, потом поставщику, а потом и потребителю, то пройти может много времени. А если в этот момент придет проверка или начнется аттестация?..
Что у нас дальше можно автоматизировать? Ну в идеале было бы неплохо автоматизировать взаимодействие с гражданами. Но не просто путем выдачи сообщения после нажатия кнопки "Отправить" в незащищенной Web-форме, а путем присваивания уникального номера моему запросу и возможности отслеживания его состояния с возможностью эскалации начальству, если какое-либо звено тормозит и не выдерживает установленные сроки ответа. Это была бы вершина автоматизации наших регуляторов, которым по статусу положено быть впереди всех остальных по части информатизации (может быть, исключая Минкомсвязи и его подведомственные структуры).
Но увы... Регулятор у нас по-прежнему оффлайн и зеленый свет зажжется, видимо, не скоро.
ЗЫ. Можно рассматривать этот пост как пожелания регуляторам; и не только ФСБ и ФСТЭК ;-)
Ежегодно в декабре все юрики с замиранием сердца ищут себя в Планах проверок, только почему-то План проверок ФСБ появляется только в марте. Жираф конечно большой, но не настолько же.
ОтветитьУдалитьНе в тему, но важно ))) В теме http://lukatsky.blogspot.ru/2013/03/1.html я был не прав! Прочитав ВЕСЬ текст проекта приказа становится ясно, что речь шла именно об организациях-заказчиках обучения. Это кошмар. Замечания написал по линии минобра (если вообще дойдут), но если кто узнает о проведении антикоррупционной экспертизы - приму в ней участие (минюст может срежет такую формулировку).
ОтветитьУдалитьАлексей, когда все станет так красиво, как тут написано, то бумажные сертификаты будут и вовсе рудиментом :) (это к вопросу - что бы еще поавтоматизировать).
ОтветитьУдалитьО да, это станет следующим небольшим шажком
ОтветитьУдалить