Постулирую очевидную вещь - на каждую тему существует несколько точек зрения и каждая из них будет правильной! Информационная безопасность и ее подмножества не исключение. Можно сколь угодно долго говорить, что запрет на использование несертифицированной криптографии - это плохо, но это точно зрения потребителя (и то не каждого) и вендора (преимущественно зарубежного). Для регулятора в лице ФСБ криптография может быть только сертифицированной и даже если они сами на своем GOV-CERT применяют PGP, то это еще ничего не значит. Для российского производителя криптография может быть тоже только сертифицированной. Иную он не может делать (лицензия не разрешает); да и без бумажки он никому не нужен, т.к. конкурировать с бесплатными VPN в сетевом оборудовании или МСЭ он не в состоянии. Интегратору тоже сертифицированная выгоднее - она тупо дороже бесплатной.
И так по каждому направлению, особенно в части трактовок требований нормативных актов регуляторов или законодателей. Достаточно вспомнить тему "оценки соответствия", "биометрических ПДн", "лицензирование деятельности по ТЗКИ", "собственные нужды" и т.п. Даже при однозначной на первой взгляд трактовке всегда найдется кто-то, кто предложит свой вариант толкования того или иного требования. Не то, чтобы это новость, но про это часто забывают, рассуждая о чем-либо.
ЗЫ. Ну и если забраться совсем высоко, то хочу лишний раз напомнить, что понятия "интересы государства", "интересы общества", "интересы бизнеса" и "интересы гражданина" не равнозначны и даже малость противоположны друг другу. Не стоит думать, что государство (даже если убрать личную заинтересованность отдельных его радетелей) заботится о гражданах так, как того хотели бы граждане. И бизнес глядит на помощь государства совсем не так, как эту помощь видит государство. Нет единых для всех интересов, нет и единой точки зрения. Истины и правды, кстати, тоже нет :-)
И так по каждому направлению, особенно в части трактовок требований нормативных актов регуляторов или законодателей. Достаточно вспомнить тему "оценки соответствия", "биометрических ПДн", "лицензирование деятельности по ТЗКИ", "собственные нужды" и т.п. Даже при однозначной на первой взгляд трактовке всегда найдется кто-то, кто предложит свой вариант толкования того или иного требования. Не то, чтобы это новость, но про это часто забывают, рассуждая о чем-либо.
1 коммент.:
"бесплатный VPN в сетевом оборудовании" - цена встроенного VPN встроена в общую стоимость решения. Бесплатный сыр ... в free software :)
"...бизнес глядит на помощь государства..." - это не помощь, а требования, вполне себе разумные, на мой взгляд, но не во всех случаях, а в определенных, и проблема у нас в том, что те самые определенные случаи использования сертифицированных СКЗИ не определены.
Контроль встраивания - это тоже разумная мера, ОСОБЕННО для иностранных вендоров, внедряющих сертифицированные СКЗИ, которые потом могут легитимно использоваться на важных гос.объектах.
Ст.л-т очевидность :)
Отправить комментарий