2010-й год уже идет полным ходом. Один месяц уже прошел и начался второй. Осталось всего 11 месяцев до момента, когда все информационные системы персональных данных должны будут соответствовать требованиям 152-ФЗ (если точнее, то требованиям РД-4 ФСТЭК РФ). А что изменилось? Ну сняли требование в 152-ФЗ по использованию криптографических средств, но оно до сих пор имеется в Положении (постановления 781). Требования по использованию сертифицированных средств защиты не снято, требования по обязательной сертификации (аттестованию) ИСПД К1 и К2 и декларированию К3 тоже не отменены. Многие вопросы пока все также не ясны. А время-то течет, и течет быстро и незаметно. Снова операторы остались один на один?
Даже не знаю. Но вот на сайте ФСТЭК РФ появился проект интересного приказа, утверждающего Положение (проект пока еще) о методах и способах защиты информации в ИСПД. Что это будет за документ? Пока еще не удосужился с ним ознакомиться, но есть подозрения, что этот документ либо заменит знаменитые РД-4, либо закрепит их обязательность. Первый вариант был бы более предпочтительным для всех. Все же проще работать с единым документом, чем рыскать по нескольким в поисках какого-то одного конкретного требования.
В любом случае надо, чтобы регуляторы в корне пересмотрели свои подходы в написании таких документов. Все понимаю, защищать государственную тайну необходимо жестко, но вот зачем же устанавливать практически такие же требования по защите конфиденциальной информации? Ну снимите требования по применению только сертифицированных средств защиты, снимите требование по сертификации К1 и К2 и декларированию К3 и все сразу станет легче выполнимым.
Кроме того, непонятно требование по защите от НСД, ну нет сейчас сертифицированных таких средств, которые бы реально обеспечивали защиту от съема информации при получении злоумышленником физического доступа к системному блоку. Ну не смог я обнаружить такое средство защиты. Что толку защищать запуск ОС, если злоумышленнику достаточно вынуть жесткий диск и снять с него всю информацию? Да, реально здесь бы помогло использование криптографических средств, но ведь и их раз два и обчелся, да и не ахти какие они хорошие, а реально удобные и универсальные применять нельзя, не сертифицированные они. Или же совсем абсурдный подход с мертвым привинчиванием системного блока к полу (потолку, стенам и т.д.), мертвым привариванием жестких дисков и разъемов к ним. Тогда да, даже если и будет доступ к системному блоку, но реально получить доступ к информации будет слишком проблематично, хотя и не невозможно. Но ведь это абсурд. Есть, правда, системы, которые делают примерно то, что я сейчас написал, но стоят они не мало, да и среди сертифицированных средств они отсутствуют.
Так что, вне зависимости от того, перенесли сроки или нет, приведения в соответствие с требованиями законодательства, а воз все равно и ныне там же, где и был до этого. Только и того, что отложили сроки экзекуции на некоторое время. Ну а инициативы по внесению изменений в законодательство, если и пройдут, то будут выражать только интересы отдельных групп операторов (банков и операторов мобильной связи), вряд ли кто-то сильно озаботится об учреждениях здравоохранения (вон даже Министерство здравоохранения и то, выпустив рекомендации, ничуть не облегчило задач по технической защите, только и всего, что образцы документов предоставили, но и за это спасибо), школах, ВУЗах, других организациях, в том числе и коммерческих. Что делать владельцу небольшого ресторана? Что делать владельцу киоска или маленького магазинчика? Эх, трудно жить в России, когда ею управляют идиоты, олигархи и люди, которым начхать на народ.
Прошу заметить, что в моей последней фразе нет оскорбительных намеков на конкретных людей, в ней лишь намек на чиновников, многие из которых действительно либо идиоты, либо продались олигархии, либо которым плевать на народ. Ну а один Президент, со всем Правительством и министрами, с этим справится просто не в силах. Да и министры некоторые у нас тоже не ахти какие. Может быть, конечно, со мной кто-то не согласится, что же, буду рад услышать другую точку зрения по этому вопросу.
Комментариев нет:
Отправить комментарий