Недавно пристыдили, что бросил следить за сериалом «Гора продолжает рожать приказ о СКЗИ в ИСПДн». Ну, что: туча, конечно, сгустилась – это есть, но вообще страшное произошло не вчера, и ФСБ ситуацию только усугубила (а то прямо кто-то полагал, что она наоборот поступит?).
Обречен сам подход, при котором каждый оператор должен решить систему уравнений из 261-ФЗ, 1119-ПП, обоих приказов и пристегнутых к ним ПКЗ-2005 с Базовой моделью / Методикой ОАУ 2008. И не потому что он ее в массе своей правильно не решит, а потому что половина и решать не будет (а когда одни не будут, то и другие не будут – знаете же, как мусор бросают, где набросано, и на забитый перекресток выезжают). И вытянуть это порками нереально: тут не народ злонамеренный, а система чересчур мозголомная.
Шансы были бы, если все написать естественными парами «доступная для народа посылка – доступный для народа вывод», типа такого:
Представим, что повысилась в стране и мире сейсмическая опасность, и вообще маленько в этой теме от просвещенной Европы отстали – возникла задача поднять сейсмическую защиту общественных зданий. И падает на всех универсальный талмуд, по которому можно АЭС на Камчатке и небоскреб в Саянах проектировать, и приходит тот в сельский клуб с секцией пилатеса. Формально все хорошо: никто же не заставляет сельский клуб до уровня небоскреба демпфировать, нужно просто правильно оценить геологические условия и вообще понимать, что происходит при взаимодействии строительных объектов с трясущимся основанием - просто посчитайте на своих данных и все получится. Угу.
Для КСИИ/КВО это уместный подход: там операторы могут изыскать необходимые ресурсы, даже если не хочется, а в обработке персданных мелких операторов миллионы. По-хорошему, их надо было 1119-ым постановлением аккуратно в 4-ый уровень отсечь и прописать для того защиту практически по мироощущению, но нет. Больше того, сейчас серьезный оператор (свыше 100 тыс. не работников) обосновывает 3 тип актуальных угроз, ибо режимные меры, и купленная коробочка с российским софтом на полке лежит, и счастлив со своим 3 уровнем, а комп в турфирме (седьмая винда, приходящий админ, данные меньше 100 тыс. не работников шлются аутлуком гостиницам/авиаперевозчикам) начитавшиеся Сноудена запросто к 1 уровню относят. И печатают эти ваши ПКЗ с Базовой моделью, и осиливают несколько страниц, и понимают, что принимают риски проверки уполномоченным органом.
Работает система государственной защиты прав и свобод человека и гражданина при обработке его персональных данных? Смотря какой критерий использовать.
Если два слоя требований не были сформированы в постановлении (или постановлением и приказами), значит нужно было делать это в самих приказах. Один - для операторов, который они прочитают и поймут. Другой - для специалистов, которых тем придется вызвать, если придется. Документы для специалистов вижу. А для операторов где? А они же.
Обречен сам подход, при котором каждый оператор должен решить систему уравнений из 261-ФЗ, 1119-ПП, обоих приказов и пристегнутых к ним ПКЗ-2005 с Базовой моделью / Методикой ОАУ 2008. И не потому что он ее в массе своей правильно не решит, а потому что половина и решать не будет (а когда одни не будут, то и другие не будут – знаете же, как мусор бросают, где набросано, и на забитый перекресток выезжают). И вытянуть это порками нереально: тут не народ злонамеренный, а система чересчур мозголомная.
Шансы были бы, если все написать естественными парами «доступная для народа посылка – доступный для народа вывод», типа такого:
- обрабатываешь спецкатегории – защиту должен строить лицензиат;
- распределенная ИС – штатный специалист, прослушавший сто часов;
- не хочешь кормить отечественных авторов ПО – будешь кормить отечественных авторов СрЗИ;
- ходишь через Интернет – двойная аутентификация;
- пароль без звездочек – отдельное помещение;
- несертифицированная ось – плюс 2 класса к криптосредству;
- и т.п.
Представим, что повысилась в стране и мире сейсмическая опасность, и вообще маленько в этой теме от просвещенной Европы отстали – возникла задача поднять сейсмическую защиту общественных зданий. И падает на всех универсальный талмуд, по которому можно АЭС на Камчатке и небоскреб в Саянах проектировать, и приходит тот в сельский клуб с секцией пилатеса. Формально все хорошо: никто же не заставляет сельский клуб до уровня небоскреба демпфировать, нужно просто правильно оценить геологические условия и вообще понимать, что происходит при взаимодействии строительных объектов с трясущимся основанием - просто посчитайте на своих данных и все получится. Угу.
Для КСИИ/КВО это уместный подход: там операторы могут изыскать необходимые ресурсы, даже если не хочется, а в обработке персданных мелких операторов миллионы. По-хорошему, их надо было 1119-ым постановлением аккуратно в 4-ый уровень отсечь и прописать для того защиту практически по мироощущению, но нет. Больше того, сейчас серьезный оператор (свыше 100 тыс. не работников) обосновывает 3 тип актуальных угроз, ибо режимные меры, и купленная коробочка с российским софтом на полке лежит, и счастлив со своим 3 уровнем, а комп в турфирме (седьмая винда, приходящий админ, данные меньше 100 тыс. не работников шлются аутлуком гостиницам/авиаперевозчикам) начитавшиеся Сноудена запросто к 1 уровню относят. И печатают эти ваши ПКЗ с Базовой моделью, и осиливают несколько страниц, и понимают, что принимают риски проверки уполномоченным органом.
Работает система государственной защиты прав и свобод человека и гражданина при обработке его персональных данных? Смотря какой критерий использовать.
Если два слоя требований не были сформированы в постановлении (или постановлением и приказами), значит нужно было делать это в самих приказах. Один - для операторов, который они прочитают и поймут. Другой - для специалистов, которых тем придется вызвать, если придется. Документы для специалистов вижу. А для операторов где? А они же.
Комментариев нет:
Отправить комментарий