tag:blogger.com,1999:blog-4065770693499115314.post79076051356037839..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Аттестация и ФЗ-152: мнение ФСТЭКАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger12125tag:blogger.com,1999:blog-4065770693499115314.post-67902079292867539112012-06-16T23:01:47.519+04:002012-06-16T23:01:47.519+04:00"Все", вы имеете ввиду российские? Так о..."Все", вы имеете ввиду российские? Так они занимают меньше половины доли российского рынкаАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-80345887219679389162012-06-15T22:53:27.445+04:002012-06-15T22:53:27.445+04:00Стоп, стоп, Алексей!
Вы слышали про такую схему се...Стоп, стоп, Алексей!<br />Вы слышали про такую схему сертификации, как "серийное производство"?<br />Все СЗИ по этой схеме сертифицированы.<br />Что касается АТТЕСТАЦИИ, то технические каналы утечки информации у каждого объекта индивидуальны.<br />Законы физики, видите-ли...Ledokolhttps://www.blogger.com/profile/13724790485335010910noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17982475103199396842012-06-13T20:43:54.930+04:002012-06-13T20:43:54.930+04:00Вот когда средства защиты будут сертифицировать ка...Вот когда средства защиты будут сертифицировать как телефоны или продукты питания, т.е. по наименованию, а не по штучно, то тогда и вопросов не будет.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47255631885481114082012-06-12T00:01:59.101+04:002012-06-12T00:01:59.101+04:00Ради власти?
Непродуманное и недальновидное утверж...Ради власти?<br />Непродуманное и недальновидное утверждение. Вот объясните мне - почему мы предпочитаем покупать сертифицированные телефоны, продукты питания и т.п., а когда речь заходит про средства защиты информации, то некоторые "защитники информации" тут же ищут коррупцию и проявляют пофигизм (пардон за мой французский) в этом вопросе?<br />Аттестация для госструктур всегда была обязательна, аттестация для коммерческих организаций - рекомендована (см. СТР-К, там все понятно изложено). Но вопрос в другом - ЗАЧЕМ ИЗОБРЕТАТЬ ВЕЛОСИПЕД?<br />Если есть правила, по которым играет регулятор, зачем придумывать свои? Чтобы как китайские комсомольцы преодолевать трудности, которые сами же и придумали?<br />Да и, как здесь уже отметили, требования ФЗ-152 письмом регионального управления ФСТЭК нельзя отменить.<br />Кстати, кто докажет, что ПДн не относятся к государственным информресурсам?Ledokolhttps://www.blogger.com/profile/13724790485335010910noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-8851028854051645282012-06-09T12:14:47.043+04:002012-06-09T12:14:47.043+04:00Аттестация и сертификация позволяет управлять рынк...Аттестация и сертификация позволяет управлять рынком и отдельными участниками. Это ради власти.Викторhttps://www.blogger.com/profile/11865371770327462013noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59466092069853102052012-06-09T12:12:43.510+04:002012-06-09T12:12:43.510+04:00"Национальная безопасность" - это их все..."Национальная безопасность" - это их все. Почитай стратегию нацбезопасности и доктрину ИБ - там все написано, чего они боятся и почему они продвигают оценку соответствия в разных формахАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15646299098220166502012-06-09T12:07:00.434+04:002012-06-09T12:07:00.434+04:00Интересно, а кто нибудь анализировал, почему регул...Интересно, а кто нибудь анализировал, почему регуляторы так настойчиво продавливают аттестацию и сертификацию? Кому это выгодно? Сильно сомневаюсь в их бескорыстной заботе о ПДн наших граждан. Деньги немалые, и получают их коммерческие структуры. А вот проследить бы цепочку до конечного получателя.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76866375881030861282012-06-09T11:44:59.895+04:002012-06-09T11:44:59.895+04:00Данный ответ повторяет ответ ФСТЭК по ЦФО двухлетн...Данный ответ повторяет ответ ФСТЭК по ЦФО двухлетней давности<br />http://zalil.ru/33415282<br />... ничего не меняетсяSvyazisthttps://www.blogger.com/profile/03966149491358587577noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48220755345252766442012-06-09T11:40:19.443+04:002012-06-09T11:40:19.443+04:00Который раз уже обсуждается эта тема и трактовка о...Который раз уже обсуждается эта тема и трактовка о самостоятельном определении мер. На мой взгляд, все куда проще - у операторов есть документы, в соответствии с которыми они определяют УЗ (ранее - класс), есть набор требований, которые являются минимальными необходимыми в целом (ФЗ и ПП) и по УЗ/классу (приказы), а далее, в соответствии с ФЗ, они могут сами выбирать меры, необходимые и достаточные для реализации этих требований. Если есть необходимость и желание - могут сами же определить и выполнять больший набот мер.<br />Как пример - есть требование учета машинных носителей - пожалуйста, выбирайте - можно вести электронную библиотеку, можно бумажную, можно ещё как-то. Есть требования по предотвращению несанкционированного физического доступа - выбираем замки, систему наблюдения, сигнализации, решетки на окнах и т.д.<br />Но в данном письме получается странной подача, как бы в противовес - для госов нужна аттестация, <b>а</b> коммерсы выбирают режим сами. Что же тогда подразумевается под этим режимом (с мерами защиты-то все понятно), который коммерсы выбирают сами, а, судя по стилю написанного, госы не могут сами выбрать? Определение УЗ-то для всех одинаково. Соответственно, и требования по УЗ для всех будут равны по идее.Roninhttps://www.blogger.com/profile/02898838967362730044noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17774694495797877192012-06-09T11:06:48.224+04:002012-06-09T11:06:48.224+04:00уровень да, ну а в письме то "режим защиты и ...уровень да, ну а в письме то "режим защиты и перечень мер". Так что не конфета, а пустой фантик :)Д.Никитинhttps://www.blogger.com/profile/11725091884499227247noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-62470357665067130512012-06-09T10:54:01.345+04:002012-06-09T10:54:01.345+04:00Открытие Америки. А можно было просто СТР-К почита...Открытие Америки. А можно было просто СТР-К почитать внимательно.<br /><br />Тоже касается "конфеты операторам" - что раньше, что сейчас уровень защиты они устанавливают сами, но в соответствии с методиками.Викторhttps://www.blogger.com/profile/11865371770327462013noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84979149535820087352012-06-09T10:41:16.113+04:002012-06-09T10:41:16.113+04:00Получит это региональное управление по шапке от ЦА...Получит это региональное управление по шапке от ЦА за конфету коммерческим операторам ПДн, т.к. письмо противоречит требованиям новой редакции ФЗ-152 и уж никак не может их ослабитьД.Никитинhttps://www.blogger.com/profile/11725091884499227247noreply@blogger.com