воскресенье, 13 сентября 2009 г.

Спрос порождает предложение или откуда на рынке появилось так много защитников персональных данных?


  Такого бурного роста числа компаний резко переквалифицировавшихся из одного рода деятельности в другой и/или расширивших спектр своих услуг не наблюдалось достаточно давно. Ажиотаж, который сейчас творится вокруг проблемы защиты персональных данных способствует этому. Откуда у компаний никогда серьезно не занимавшихся защитой персональных данных резко (я бы даже сказал мгновенно) появляются соответствующие компетенции? И все бы ничего, но в заявлениях маркетинговых служб этих компаний столько недочетов, что начинаешь сомневаться в их (имеется в виду компаний) компетентности. Например, цитата из релиза, опубликованного в http://erpnews.ru/doc4291.html «Известно, что с начала 2010 года все компании, работающие с персональными данными, должны защитить свои информационные системы по обработке персональных данных и пройти аттестацию этих систем в соответствии с Федеральным законом № 152». Где это интересно в 152 ФЗ написано, что компании должны проводиться аттестацию систем? В большинстве случае эту процедуру (аттестацию) проходить и не потребуется. Сначала необходимо оптимизировать систему, смоделировать угрозы и построить модель угроз, а потом при наличии актуальных угроз утечки информации по ПЭМИН принимается решение об аттестации. Аттестация, это 25-й вопрос, до которого еще компании дожить надо.
  Конечно, можно все списать на отсутствие соответствующих знаний в области ИБ у маркетологов, но прежде чем выпускать релиз в свет имеет смысл дать его вычитать специалистам на предмет явных косяков…

3 комментария:

  1. "а потом при наличии актуальных угроз утечки информации по ПЭМИН принимается решение об аттестации"
    Игорь, не могли бы Вы пояснить как связана необходимость аттестации, жестко прописанная в Основных мероприятиях для систем 1-го и 2-го классов, и наличие угроз, связанных с ПЭМИН?

    ОтветитьУдалить
  2. Оспаривать требования Основных мероприятий я не собираюсь. По большому счету эту фразу я написал только с той целью, чтобы показать, что аттестация это далеко не главное в построении эффективной системы защиты ПДн. До аттестации необходимо проделать все работы по построению такой системы. Многие операторы говорят, дайте мне аттестат, чтобы я мог его предъявить проверяющему органу и чтобы они от меня отстали. Мы все прекрасно пронимаем, что процедуры аттестации проводятся по большей части формально для отвода глаз. Типа аттестовали одну выделенную машину и формально выполнили требования регуляторов.
    С точки зрения здравого смысла, зачем аттестовывать ПК, если он находится в пределах контролируемой зоны, даже если там крутятся специальные категории ПДн?

    ОтветитьУдалить
  3. К тому же в основных мероприятих аттестация обязательна для типовых систем К1 и К2. А как мы все знаем, таких систем практически в природе не существует. Поэтому я и написал, что необходимость аттестации определяется только после анализа актуальных угроз.
    Есть один очень показательный пример, когда один из уважаемых и известных Федеральных органов исполнительной власти (не буду называть какой) в модели угроз обосновали, что их специальная система тождественна типовой класса К3, хотя в ней имеются специальные категории ПДн (сведения об инвалидах со всей страны!!!) и тем самым избежали аттестации. ФСТЭК, на сколько я знаю, разработанную модель угроз согласовал...

    ОтветитьУдалить