вторник, 28 июня 2011 г.

Палки рубят - щепки летят


Народная мудрость говорит о том, что никаких мер, обеспечивающих безопасность актива, в России предприниматься не будет до тех пор, пока не наступит определенное событие, явным образом ставящее защищаемый актив "на четвереньки". Именно поэтому большинство ИБ-шников считают инцидентом событие, попавшее в "пятую точку": так проще "срубить палку" и показать важность своей работы для бизнеса, который, в свою очередь, находится в дремучем информационнонебезопасном лесу.

И вместо того, чтобы стать проводником по выходу бизнеса из бурелома, увлекая его за собой постоянными объяснениями о том, что там, снаружи, мир давно изменился, что ИТ - это важнейший инструмент для бизнеса, а информация, как неотъемлемая часть ИТ в частности и бизнес-процессов в общем, требует такого же бережного к себе отношения, как его (бизнеса) любимый Лексус, ИБ-шник берет незаточенный топор и начинает рубить стоящий вокруг сухостой. Долго, нудно и неэффективно, но зато у всех на виду, в "поте лица" и с очевидным результатом.

Наконец (о, счастье!) увесистая палка падает и больно ударяет бизнес по голове: случается утечка. И сразу грамоты, премии, почет и уважение и деньги на проект. И к топору покупают числовое программное управление: теперь ИБ-шник, махая, может видеть скорость движения, глубину вхождения лезвия и силу сопротивления древесины. Так появляются новые показатели его деятельности, а частота их предоставления руководству возрастает втрое. При этом топор, как был, так и остался тупым топором, ИБ-шник приобрел небывалую уверенность в собственной значимости, а бизнес, как сидел в буреломе - так в нем и сидит...

Кем ты себя возомнил, Волков? У тебя что - все круто и здорово? Нет, конечно, хотелось бы лучше. Но я совершенно точно знаю, что 80% этого самого "лучше" зависит прежде всего от НАС и НАШЕГО отношения к делу. Мало написать документ и поставить железку - необходимо еще убедить (а не заставить) людей (и прежде всего руководство) в том, что нужно делать именно так, как там написано. А для этого нужно долго и настойчиво разговаривать с бизнесом на одном, понятном ему, языке.

Поэтому прежде, чем пенять на бизнес и сетовать на отсутствие финансирования - просто необходимо заглянуть "внутрь" себя и честно самому себе ответить на вопрос: а все ли я сделал для того, чтобы переломить ситуацию? И я искренне, от всей души желаю нам с вами, коллеги, чтоб мы ложились спать относительно спокойно, с чувством выполненного долга и некоторой (само)уверенностью в том, что сделали все от нас зависящее.

ЗЫ. Этим постом я завершаю трилогию (предыдущие посты здесь и здесь), подготовленную по мотивам 4 межотраслевого форума директоров по ИБ (эк меня торкнуло).

19 комментариев :

  1. Веселая у нас страна!
    Например, юристы нашей организации никак не признают СТР-К. А что? Их понять можно: штрафы по 50 тысяч за "излишние" требования, например про сертифицированные СЗИ, при котировках никто платить не хочет. Вот я оказался зажат с двух сторон: снимать требование по сертификации нельзя - ФСТЭК обидится, а устанавливать такое требование не дают юристы... Веселая у нас страна... :)))

    ОтветитьУдалить
  2. Как-то мы по этому поводу общались с моим уважаемым коллегой toparenko, и вот к чему пришли.

    Для защиты служебной тайны гос-ы обязаны использовать сертифицированные СЗИ по СТР-К и ГОСТам (см. их статус в ветке http://a-datum.ru/forum/viewtopic.php?f=27&t=18 )
    Кроме того гос-ы обязаны использовать сертифицированные СЗИ в информационных системах выходящих в ССОП (см. там же Указ Президента) для любой информации, в том числе не требующей обеспечения конфиденциальности

    Увы, закон о служебной тайне так и не двигается дальше 1-го чтения. Но гос-ам требуется выполнять ПП1233-1994 года (Постановление Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" ). Вот то самое ДСП и есть служебная тайна гос. органов, которую все никак не введут законом во исполнение требований трехглавого закона.

    Т.ч. если на счет аттестации еще можно спорить, то на счет сертифицированных СЗИ спорить будет бесполезно - это должно было быть выполнено еще в 2001 году (тогда ГОСТы были еще обязательны) и поддерживаться согласно вначале согласно 611 Указа 2004 года, а затем согласно 351 Указа 2008 года.

    ОтветитьУдалить
  3. Ну а дла неГОС-ов СТР-К - это не документ. Даже если лицензиат, то документ лишь отчасти.

    ОтветитьУдалить
  4. В ПП 1233 о сертификации ни слова. СТР-К юристы не признают по известной причине - не прохождения его регистрации в Минюсте. ГОСТы тоже не катят по той же причине.

    Алексей, с кем будет спорить бесполезно? Со ФСТЭКом? Это понятно. Но ведь спорить больше приходится со своими родными сотрудниками (юристами), не помогают они, а больше больше боятся штрафов. Примеры имеются :(

    ОтветитьУдалить
  5. Со ФСТЭКом можно и нужно спорить. И если не получается - обращаться в суд. И юристы ваши правы, и молодцы, если отстоят эту позицию. Только вот спросите их - готовы ли они, в случае чего, судиться? Спросите в письменной форме и затребуйте письменный ответ ;)

    ОтветитьУдалить
  6. Спорить со ФСТЭКом можно, но не в каждой ситуации. Кто проходил проверку ФСТЭК в госструктурах или в больших организациях знают, что есть такие понятия, как установка проверки, договоренности и т.п.
    По мелочам спорить можно, но доводить до суда в такой ситуации чревато. Многое зависит от руководства и от фактических целей проверки...

    ОтветитьУдалить
  7. Мое мнение, если ГОС - бесполезно. Если нет - спорить нужно, и быть готовым идти до конца. если уж с налоговой спорят (а налоговое законодательство куда круче) и десятки миллионов отсуживают, то со ФСТЭК-ом то чего бояться? Потому и не судятся они.

    ОтветитьУдалить
  8. У ФСТЭКа сейчас 12:31 28.06.2011 сайт упал :)

    ОтветитьУдалить
  9. А это компетентные органы выяснят :)))

    ОтветитьУдалить
  10. А что - такие появились? :)

    ОтветитьУдалить
  11. Алексей, мне страшно за Вас, они не дремлют!

    ОтветитьУдалить
  12. О, сайт ФСТЭК поднялся! Надо же, я так вовремя попал...

    ОтветитьУдалить
  13. Не бойтесь - я всего лишь маленький червяк, не представляющий никакой угрозы для госбезопасности :)

    ОтветитьУдалить
  14. Понятно, творчество Алексея Вишни коснулось и Вас тоже :)

    ОтветитьУдалить
  15. Клянусь - не знаю кто это такой, и с творчеством его не знаком.

    ОтветитьУдалить
  16. Да ладно, у него есть песенка "Я - червяк", 1985 года выпуска из альбома "Танцы на битом стекле"...

    ОтветитьУдалить
  17. Ну, значит мы с ним солидарны :)

    ОтветитьУдалить
  18. Анонимный30.6.11

    http://a-datum.ru/forum/viewtopic.php?f=27&t=18
    нет такого

    ОтветитьУдалить