Такого бурного роста числа компаний резко переквалифицировавшихся из одного рода деятельности в другой и/или расширивших спектр своих услуг не наблюдалось достаточно давно. Ажиотаж, который сейчас творится вокруг проблемы защиты персональных данных способствует этому. Откуда у компаний никогда серьезно не занимавшихся защитой персональных данных резко (я бы даже сказал мгновенно) появляются соответствующие компетенции? И все бы ничего, но в заявлениях маркетинговых служб этих компаний столько недочетов, что начинаешь сомневаться в их (имеется в виду компаний) компетентности. Например, цитата из релиза, опубликованного в http://erpnews.ru/doc4291.html «Известно, что с начала 2010 года все компании, работающие с персональными данными, должны защитить свои информационные системы по обработке персональных данных и пройти аттестацию этих систем в соответствии с Федеральным законом № 152». Где это интересно в 152 ФЗ написано, что компании должны проводиться аттестацию систем? В большинстве случае эту процедуру (аттестацию) проходить и не потребуется. Сначала необходимо оптимизировать систему, смоделировать угрозы и построить модель угроз, а потом при наличии актуальных угроз утечки информации по ПЭМИН принимается решение об аттестации. Аттестация, это 25-й вопрос, до которого еще компании дожить надо.
Конечно, можно все списать на отсутствие соответствующих знаний в области ИБ у маркетологов, но прежде чем выпускать релиз в свет имеет смысл дать его вычитать специалистам на предмет явных косяков…
Сообщения
"а потом при наличии актуальных угроз утечки информации по ПЭМИН принимается решение об аттестации"
ОтветитьУдалитьИгорь, не могли бы Вы пояснить как связана необходимость аттестации, жестко прописанная в Основных мероприятиях для систем 1-го и 2-го классов, и наличие угроз, связанных с ПЭМИН?
Оспаривать требования Основных мероприятий я не собираюсь. По большому счету эту фразу я написал только с той целью, чтобы показать, что аттестация это далеко не главное в построении эффективной системы защиты ПДн. До аттестации необходимо проделать все работы по построению такой системы. Многие операторы говорят, дайте мне аттестат, чтобы я мог его предъявить проверяющему органу и чтобы они от меня отстали. Мы все прекрасно пронимаем, что процедуры аттестации проводятся по большей части формально для отвода глаз. Типа аттестовали одну выделенную машину и формально выполнили требования регуляторов.
ОтветитьУдалитьС точки зрения здравого смысла, зачем аттестовывать ПК, если он находится в пределах контролируемой зоны, даже если там крутятся специальные категории ПДн?
К тому же в основных мероприятих аттестация обязательна для типовых систем К1 и К2. А как мы все знаем, таких систем практически в природе не существует. Поэтому я и написал, что необходимость аттестации определяется только после анализа актуальных угроз.
ОтветитьУдалитьЕсть один очень показательный пример, когда один из уважаемых и известных Федеральных органов исполнительной власти (не буду называть какой) в модели угроз обосновали, что их специальная система тождественна типовой класса К3, хотя в ней имеются специальные категории ПДн (сведения об инвалидах со всей страны!!!) и тем самым избежали аттестации. ФСТЭК, на сколько я знаю, разработанную модель угроз согласовал...