понедельник, 1 августа 2011 г.

Кормушкин двор. Часть 1.


Не далее как пару недель назад, "стараниями" законотворцев, профессиональное сообщество разделилось на два лагеря: сторонников и противников поправок к закону "О персональных данных", которые вот-вот готовы были накинуться друг на друга с перьями и бумагами, дисками и железками. Точка кипения была достигнута в момент публикации открытого письма президенту - именно тогда и начались открытые боевые действия по всем канонам информационной войны: с "троллингом", провокациями, сфабрикованными утечками и массовой истерией. Сейчас, как мы видим, все подутихло, "сторонники" отпраздновали победу, "противники" зализали раны и готовятся вести партизанскую борьбу.

Из всего многообразия ярких эпитетов и красочных словосочетаний, оставшихся на поле брани, можно выделить три направления, в которых летела наиболее ядовитая слюна: это сертификация средств защиты информации, лицензирование деятельности по технической защите конфиденциальной информации и аттестация автоматизированных систем, обрабатывающих ПДн. "Противники" с пеной у рта утверждали, что напор "толкателей" явно свидетельствует о том, что, в конечном счете, именно к обязательной реализации этих "коррупционных" требований и сведется защита ПДн, а на деле ни о какой "защите" не может быть и речи. "Сторонники", плюясь ядом, возражали - дескать, все это надумано больными воспаленными мозгами и в законе ничего такого нет, да и что плохого в сертификации, аттестации и лицензировании - наоборот, одна польза, а "непрозрачность схем" и "дороговизна" - от лукавого. Оставим и тех, и других в покое до поры, а сами попытаемся окинуть ситуацию трезвым взором знакомого с содержанием 261-ФЗ стороннего наблюдателя.

Итак, сертификация. Все мы помним Постановление правительства РФ за номером 781, в котором говорилось буквально следующее:

п. 5: Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
п. 18: Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
п. 20: Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Получается, что поправки внесли определенную долю либерализма: правительство РФ лишилось полномочий устанавливать требования к автоматизированной обработке ПДн в целом, и поэтому ПП-781 кануло в лету вместе с пунктами 18 и 20, весьма недвусмысленно "намекавшими" на обязательную сертификацию средств защиты информации. Пункт 5 - напротив, остался жить, перейдя на совершенно новый качественный уровень Федерального закона 152-ФЗ:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

Всем, что связано с оценкой соответствия, ведает Федеральный закон «О техническом регулировании» № 184-ФЗ от 27.12.2002 г., в котором говорится:

Ст. 2: Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту.
Ст. 7 п. 3: Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
Ст. 20. Формы подтверждения соответствия:
  1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
  2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
  3. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия); обязательной сертификации.
Таким образом, "обязательная сертификация" - это по-прежнему всего лишь одна из подформ "оценки соответствия" - "подтверждения соответствия" объекта оценки требованиям, изложенным в соответствующем техническом регламенте. О техрегламенте говорит все тот же 184-ФЗ:

Ст. 7 п. 3: Технический регламент должен содержать перечень и (или) описание объектов технического регулирования, требования к этим объектам и правила их идентификации в целях применения технического регламента. Технический регламент должен содержать правила и формы оценки соответствия...

Вот только техрегламентов для средств защиты информации до сих пор не придумано, а значит:

Ст. 46 п. 2: До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами.
Ст. 5 п. 1: В отношении … продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации…

Стало быть, все по-прежнему решают ФСТЭК и ФСБ, и технические регламенты им в этом не помеха: как только появится такой техрегламент, эти службы могут "выкатить" свои "обязательные требования", такие, что мама не горюй - проще будет СЗИ "обязательно" сертифицировать. Тут же на ум приходит Постановление Правительства РФ от 15 мая 2010 г. № 330, в котором между "оценкой соответствия" и "обязательной сертификацией" поставлен знак равенства. Правда, в силу наличия ограничительного грифа "для служебного пользования", недоступности для большинства операторов и отсутствия регистрации в Минюсте, оно не является легитимным:

Ст. 4 152-ФЗ. Законодательство Российской Федерации в области персональных данных
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее – нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

Казалось бы - чего тут такого, сними гриф, зарегистрируй в Минюсте, опубликуй, и дело в шляпе! Ан нет - есть еще пара моментов. Прежде всего - недавний указ президента РФ, обеспечивающий участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность. Министерство экономического развития теперь может проводить экспертизу действующих актов, а Министерство юстиции теперь вправе требовать от ведомств их отмены или корректировки. Второй момент заключается в Постановлении правительства РФ от 1 декабря 2009 г. № 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии", точнее - в отсутствии в этом самом перечне продукции, каким-либо образом относящейся к "средствам защиты информации".

Поэтому "толкателям" обязательной сертификации необходимо преодолеть несколько преград: снять гриф с ПП330-2010 (или разработать что-то похожее), "протащить" через МЭР, Минюст и опубликовать его, и для полного счастья внести изменения в ПП-982 и включить СЗИ в перечень продукции, подлежащей обязательной сертификации. Учитывая "напор", я полагаю, силы у "толкателей" есть, стало быть - наблюдаем за этой интересной интригой.

Для того, чтобы не перегружать пост большим объемом текстовых данных, про остальные два "тренда" - завтра ;)

37 комментариев :

  1. Про 982 - не надо. Как раз для пятой статьи из 184-ФЗ есть исключение в этом постановлении.

    ОтветитьУдалить
  2. Точно - смотрю в книгу, вижу фигу :)

    ПП-982 п. 4: Настоящее постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании".

    ОтветитьУдалить
  3. Они уже заранее это сделали. Это еще раз подтверждает серьезность их намерений. И у меня почему-то нет никаких сомнений, что своей цели они достигнут.

    ОтветитьУдалить
  4. А в чем их цель? Сомневаюсь, что они так уж пекутся о субъекте. Если срубить бабла, то оно конечно, хотя если перегнуть палку, то эффект будет противоположный.

    ОтветитьУдалить
  5. Цель следует из названия поста :)

    ОтветитьУдалить
  6. Вихорев1.8.11

    Алексей, с законами надо быть вежливыми и точными. Не надо передергивать и вырывать куски! Не все читают сами законы. Кто-то надеется на Ваше мнение. Так что надо быть точным.
    В части 1 ст. 5 Закона "О техническом регулировании" сказано: "1. В отношении ОБОРОННОЙ ПРОДУКЦИИ (работ, услуг), поставляемой по ГОСУДАРСТВЕННОМУ ОБОРННОМУ ЗАКАЗУ; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа..." Вы в своей цитате опустили самое главное: 5-я статья распространяется только на ОБОРННУЮ продукцию, апоставлемую по оборнному заказу. Все! Точка. В даном случае для защиты Пдн она не применима.

    Но в целом, Закон "О техническом регулировании" для целей оценки соотвествия СЗИ для ПДн - прменим, я об этом говорил на Инфобез-2010.
    Начинать надо со ст. 1 Там опрелены ТРИ области применения закона: (1) разработке ... и исполнении обязательных требований к продукции ...;(2)разработке.. и исполнении на добровольной основе требований к продукции ...; и(3) ОЦЕНКЕ СООТВЕТСТВИЯ. Эти облас ти самостоятельны и для нас важна именно третья область применения закона. А вот дальше совершенно првильно сделать отсыл к ст. 7 Закона и сказать, что есть 2 формы оценки соотвествия: в ходе подтверждения соотвествия и в ходе приемо-сдаточных испытаний. В первом случае это сертификация или декларирование, во тором случае - это порядок проведения приемосдаточных испытаний в соотвествии, например, с ГОСТ 34.601-90, определяющими порядок сдачи-приёмки и ввода в эксплуатацию ИС.
    И ни о каких технических регламентах для СЗИ речи быть не может, так как в соответствии с Законом О Техническом регулировании (ст. 7 часть 1) указано только 12 видов безопасности для которых разрабатываются регламенты...

    ОтветитьУдалить
  7. Вихорев комментирует...
    В части 1 ст. 5 Закона "О техническом регулировании" сказано: "1. В отношении ОБОРОННОЙ ПРОДУКЦИИ (работ, услуг), поставляемой по ГОСУДАРСТВЕННОМУ ОБОРННОМУ ЗАКАЗУ; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа..." Вы в своей цитате опустили самое главное: 5-я статья распространяется только на ОБОРННУЮ продукцию, апоставлемую по оборнному заказу. Все!

    Еще раз помотрите на Вашу цитату. После Гособоронзаказа стоит тчксзпт => далее идет другой пункт перечисления

    ОтветитьУдалить
  8. Спасибо, Александр, я только хотел написать то же самое :) Задам второй вопрос относительно второго абзаца тирады:

    > Не надо передергивать и вырывать куски!
    > есть 2 формы оценки соотвествия: в ходе подтверждения соотвествия и в ходе приемо-сдаточных испытаний.

    Здесь Вы противоречите сами себе, так как совершенно необоснованно вырвали все остальное, что касается оценки соответствия.

    > И ни о каких технических регламентах для СЗИ речи быть не может

    На это ответит Евгений Родыгин - его вотчина.

    > ГОСТ 34.601-90, определяющими порядок сдачи-приёмки и ввода в эксплуатацию ИС.

    Это вообще приплетено не понятно к чему, так как СЗИ и ИС суть разные вещи.

    ОтветитьУдалить
  9. Вообще над техрегламентами для СЗИ в начале 200х работали серьезные специалисты но пока... Вероятность появления не высока, но вполне могут появиться в узких сферах Минатома, Роскосмоса...

    ОтветитьУдалить
  10. Будь здоров и счастлив, дорогой :)

    Выходит, работали-то зря :)))

    ОтветитьУдалить
  11. Вихорев1.8.11

    toparenko: Батенька, еще раз говорю: к заекону надо подходить с пиетитом! Чтайте внимательно текст закона (по ссылке, приведенной А. Волковым выше (http://www.rg.ru/2002/12/27/tehreglament-dok.html) "...обязательными являются требования к продукции, ее характеристикам и требования к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные федеральными органами исполнительной власти, ЯВЛЯЮЩИМИСЯ в пределах своей компетенции ГОСУДАРСВЕННЫМИ ЗАКАЗЧИКАМИ ОБОРННОГО ДАКАЗА, и (или) государственным контрактом". И КТО является ГОСУДАРСТВЕННЫМ заказчиком СЗИ для ПДн?

    А. Волкову на: "Здесь Вы противоречите сами себе, так как совершенно необоснованно вырвали все остальное, что касается оценки соответствия."

    Да, нет, Алексей, Вы привели достаточно точную цитату, я просто из экономии места взял только самое главное....

    А. Волкову на: "И ни о каких технических регламентах для СЗИ речи быть не может. На это ответит Евгений Родыгин - его вотчина."

    Не спорю, но, опять к "Марксу": ст. 6, часть 2 Закона "О техническом регулировании": "...Принятие технических регламентов в иных целях не допускается..."

    А вот про ГОСТ, Вы, батенька, заблуждаетесь ...

    ОтветитьУдалить
  12. Вы, как это не прискорбно, опять делаете то же самое, а именно:

    > Не надо передергивать и вырывать куски!

    По порядку.

    Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

    То есть статья 5 распространяется ТОЛЬКО на оборонку и гостайну. При чем здесь ПДн? Да и потом - закон писАлся в 2002 году, тогда их и в помине не было.

    Далее.

    Статья 6. Цели принятия технических регламентов

    1. Технические регламенты принимаются в целях: защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
    охраны окружающей среды, жизни или здоровья животных и растений; предупреждения действий, вводящих в заблуждение приобретателей.
    2. Принятие технических регламентов в иных целях не допускается.

    Языком регуляторов: "Разве нарушение КЦД ПДн вследствие установки несертифицированного СЗИ не может привести к событиям, нарушающим определения, приведенные в части 1? Включая "заблуждение приобретателей"? :))

    > А вот про ГОСТ, Вы, батенька, заблуждаетесь ...

    Я вообще не про ГОСТ, а про то, что ИС и СЗИ суть разные вещи. СЗИ сертифицируются, ИС (точнее АС) - аттестуются. Здесь речь идет про СЗИ.

    ОтветитьУдалить
  13. "СЗИ сертифицируются, ИС (точнее АС) - аттестуются."
    АС - так же сертифицируются... и я провел достаточное число сертификаций по линии ФСТЭК по РД АС различных классов. ФСТЭК прекратил сертификации по РД АС (мы кстати были последними кто такие испытания проводил), однако в других системах сертификации АС нормально идут! Отсутствие например конкретных людей компенсируется ОРД...
    Алексей: - очень приятный блог! Сиди жди неточностей и комментируй ))) Все разбираются но не до конца ;) Поэтому хотелось бы намекнуть, что твой блог все таки "приручил" некоторое число людей доверяющих - уже надо помнить о тех кого приручили...

    ОтветитьУдалить
  14. Да, и еще, в дополнение о "выдергивании" вами кусков:

    > И ни о каких технических регламентах для СЗИ речи быть не может, так как в соответствии с Законом О Техническом регулировании (ст. 7 часть 1) указано только 12 видов безопасности для которых разрабатываются регламенты...

    Опять привожу статью полностью:

    Статья 7. Содержание и применение технических регламентов
    1. Технические регламенты с учетом степени риска причинения вреда устанавливают минимально необходимые требования, обеспечивающие: безопасность излучений;
    биологическую безопасность; взрывобезопасность;
    механическую безопасность; пожарную безопасность;
    промышленную безопасность;
    термическую безопасность;
    химическую безопасность;
    электрическую безопасность;
    ядерную и радиационную безопасность;
    электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования;
    единство измерений.


    Итого: 11 видов безопасности, и то, что выделено жирным шрифтом. Оно как раз нас и касается.

    ОтветитьУдалить
  15. > АС - так же сертифицируются...
    > ФСТЭК прекратил сертификации по РД АС

    Ну, я это и имел в виду, прошу прощения - ляпнул в запале :)

    > уже надо помнить о тех кого приручили...

    Я помню, но во-первых я не истина в последней инстанции (и в отличие от некоторых не претендую), а во-вторых - блог для того и предназначен. И честно сказать, в этом посте кроме указанного тобой и Лукацким, я неточностей пока не увидел.

    ОтветитьУдалить
  16. Ну что цитаты да цитаты
    читаем полностью...
    http://www.consultant.ru/popular/techreg/45_2.html#p161
    "единство измерений;
    другие виды безопасности в целях, соответствующих пункту 1 статьи 6 настоящего Федерального закона.
    (абзац введен Федеральным законом от 01.05.2007 N 65-ФЗ)"
    имуществом могут быть и данные )))
    ну и вот...
    http://www.consultant.ru/popular/techreg/45_4.html#p462
    Статья 18 о чем то говорит....
    Вообще это мой любимый ФЗ...

    ОтветитьУдалить
  17. Статья 21. Добровольное подтверждение соответствия

    1. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.
    - то есть не только техрегламентам... Понимаете к чему клоню...

    ОтветитьУдалить
  18. Ай, молодца :) Вот я же говорю - блог для ЭТОГО и предназначен. И вообще - первое правило блогочтения: почитал пост - глянь комментарии. А блог приятный потому, что мы все его сообща и пишем, и приходим к общему мнению. А мнение у каждого свое, я никому ничего не навязываю.

    ОтветитьУдалить
  19. Вихорев1.8.11

    А Волкову, Е. Родыгину.

    Конечно. блог - приятный. Но дело не в том, мне больше импонирует идея о том, что здесь рождается истина. И я об том же. Только надо все делать "чистыми руками". Не надо передергивать в угоду себе фомулиовками закона и прочее.

    А. Волкову на "Разве нарушение КЦД ПДн вследствие установки несертифицированного СЗИ не может привести к событиям, нарушающим определения, приведенные в части 1? Включая "заблуждение приобретателей"? :))"

    Конечно нет! Какие действияпои использовании НЕ СЕРТИФИЦИРОВАННЫХ СЗИ могут привети к нарушению защиты жизни или здоровья граждан, причинению вреда имуществу физических или юридических лиц, государственного или муниципального имущества;
    нарушению охраны окружающей среды, жизни или здоровья животных и растений; нарушению предупреждения действий, вводящих в заблуждение приобретателей? Приведите пример, я буду рад!

    А. Волкову на: "...другие виды безопасности в целях, соответствующих пункту 1 статьи 6 настоящего Федерального закона.
    (абзац введен Федеральным законом от 01.05.2007 N 65-ФЗ)..." - Слава Богу! Алексей. Есть прогесс. Вы начали внимательнее читать законы. Простите меня за провокацию, но если Вы внимательно прочтете закон о теническом регулировании в последней редакции, то Вы увидите много нового! Я специально дал ссылки на Вашу ссылку - она немного устарела. Это только свидетельствует о Вашем не достаочно четком отношении к формулировкам ДЕЙСТВУЮЩЕГО законодательства. Если Вы посмотрите редакцию акона от 28.09.2010 г.(N 243-ФЗ) с учетом более раних поправок, то Вы увидете в ст. 5 части 1 "... требованиями НАРЯДУ с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности ...". Это более свежая редакция. И она, в принципе, не отвергает того, что это требования идут в дополнение к регламентам. Это и понятно. В регламенте, обеспечивающем электробезопасность могут быть и требования по ИБ.

    Теперь по поводу электромагнитной совместимости (ЭМС). Не надо себе преписыватьб чужие лавры. Проблеме ЭМС лет 30 с хвостиком (Вы, наверное столько не живете). Этому посвящены столько ГОСТОв и прочая, что лучше сюда не соваться. Главное, что если средства ЭВТ соответствуют требованияям МЕЖДУНАРОДНОГО стандарта FCC по классу "В", то этого достаточно для выполнения требований по безопасноти ИБ (и ФСТЭК это признает), даже в понятиях СТР-К. Поэтому и ЭМС и единство измерений для ИБ (конфиденциальной) - не актуально. Не вводите людей в заблуд.

    А на счет неточностей ... Может их и не много, но комментарии - это много!

    ОтветитьУдалить
  20. > Конечно нет! Приведите пример, я буду рад!

    И я так думаю. Давайте дождемся, чтобы так же думали регуляторы, и требований по использованию исключительно обязательно сертифицированных СЗИ для защиты ПДн в конечном счете не появилось.

    > И ни о каких технических регламентах для СЗИ речи быть не может
    > Простите меня за провокацию

    Ах, так это была провокация :)))))) Что ж, в моем полку "провокаторов" прибыло. Интересно, сказали бы Вы это, если бы Евгений не дал ссылку на более свежую редакцию? Мне думается вряд ли, так как на все остальное никаких возражений не последовало :))))))

    > Не надо себе преписыватьб чужие лавры.
    > Не вводите людей в заблуд.

    Знаете, кому как, но мне давно понятна Ваша стратегия: найти зацепку, надуть от важности щеки, жестко на грани перехода на личности обвинить в дилетанстве, на ложном авторитете развести флуд на пол-страницы и потом водить читающий народ вокруг да около, ни на один из конкретно поставленных вопросов четко не отвечая (особенно когда зацепка рассыпается), и петляя, словно заяц на снегу. Это мы все уже видели - не ново, можете и дальше стараться, но впечатления не производит. Слишком мало конструктива - но только потому что он местами есть (я полагаю в силу Вашего жизненного опыта) и исключительно из-за уважения к старшим, я с удовольствием с Вами общаюсь. Полагаю, Вы не зря выбрали именно этот блог - надеюсь, это идет лично Вам и Вашей компании на пользу :)))

    ОтветитьУдалить
  21. Резюмируя вчерашний день, скажу простую истину: Сергей Викторович, будьте проще, и к Вам потянутся люди. Так же, как и в этот блог. А "поддевки" и излишний пафос - это лучше оставить. истину ведь можно найти и без них. Ну или давайте будем считать, что у вас такой "фирменный" стиль общения (только в такую фирму я бы не пошел) :)))

    ОтветитьУдалить
  22. Вихорев2.8.11

    А. Волкову.
    Алексей, Вы опять скатываетесь на личности (наверне это Ваш конек). Вы меня упрекаете в том, что это так, но в моих комментариях вы вряд ли найдете что-то похожее, в отличие от ваших комментариев по принципу" А я тебя обосру!" Может это и новый метотд дискуссии, но он, как Вы правльно заметили - не конструктивный. По поводу того, что мои предложения не конструктивны, конечно, Бог вам судья, но УЖЕ в 2010 году я предложил способ использования Закона о Техническом регулировании для целей ПДн и, самое интересное, применил его на практике с положительными результатами. Я придерживаюсь принципа, что законы писать, как и писАть надо тогда, когда уже не в мочь. А в остальных случаях надо искать пути применения существующих законов для достижения поставленных целей ( в том числе и смежных - надо использовать принцип правовой защиты на полную катушку). Вы же пытаетесь навести критику или выступать в роли кассндры. Хочу напомнить замечательную русскую пословицу: не буди лихо, пока оно тихо.

    А Вас лично, я в дилетанстве не обвиняю (и, главное, не собирался, да и права не имею), но, когда вижу некие "маневры" с формулировками - меня это коробит. И я имею право выступить против этого. Давайте лучше бодаться на кокретные темы КАК помочь субъекту и, может быть оператору, а не заниматься софиситкой....

    Извините заранее за эмоции - не сдержался...

    P.S. По поводу меня и моей Компании. Если бы я выступал от имени Компании, то я бы и подписывался как заместитель Генрального директора по развитию, а так, я пописвываюсь, как Вы могли заметить, как частное лицо. Еще раз прошу: не надо переходить на Вы...

    ОтветитьУдалить
  23. "А. Волкову на: "...другие виды безопасности в целях, соответствующих пункту 1 статьи 6 настоящего Федерального закона."
    Ну например ограничение доступа к системам управления:
    - оружием
    - атомными установками
    - АСУ ТП всякими
    - системам связи
    ну в общем критическими системами
    потому про минатом и намекал...
    а про версии ФЗ помнится неделю спорил с одним военпредом имея на руках разные версии документов...

    ОтветитьУдалить
  24. Вихорев2.8.11

    Е. Родыгину. Про ситемы управления оружием, атомными установками и прочая - вы совершенно правы. Но причем здесь ПДн? Поясните.

    ОтветитьУдалить
  25. > Алексей, Вы опять скатываетесь на личности (наверне это Ваш конек)

    Ну вот, опять диалоговая трансференция.

    > Вы же пытаетесь навести критику.

    И не только я, а и все мои коллеги. И не пытаемся, а наводим.

    > И я имею право выступить против этого.

    И выступления, увы, хоть и начинаются бурно, но заканчиваются ничем. Из всего того, что Вы понаписали, я согласился с неправильно указанной статьей в письме (признаю, это был конкретный технический косяк) ну и пожалуй сейчас, со статьей 5, хотя я склонен полагать, что здесь имеет место быть двойное толкование (лучше перебдеть). Вы же в массе комментариев так и не дали ответы на поставленные вопросы по вашей точке зрения, и считаете людей, приводящих веские аргументы (в том числе с ипользованием противоречий в Ваших суждениях) почему-то "обсирающими" и переходящими на личности. Бог Вам судья.

    > Давайте лучше бодаться на кокретные темы КАК помочь субъекту и, может быть оператору, а не заниматься софиситкой....

    Я еще раз повторюсь: это мой ПЕРСОНАЛЬНЫЙ блог. Я излагаю свое видение, отчасти подтверждаемое мнением моих коллег, читатели меня поправляют, и вместе мы пытаемся отыскать истину. Я не боюсь признать свои ошибки и недочеты, не боюсь исправлять неточности и не фильтрую ни одного комментария. Но пишу я в своем блоге все, что САМ хочу. Хотите - бодайтесь, хотите - нет. И на этом фоне вот это

    > не буди лихо, пока оно тихо

    выглядит совершенно нелепо.

    ОтветитьУдалить
  26. Алексей, ну зачем же так на СВВ. Несмотря на то, что большинство его суждений вызывают, мягко говоря, недоумение, согласитесь, он оживил Ваш блог.

    ОтветитьУдалить
  27. Анонимный2.8.11

    To Евгений Родыгин
    "АС - так же сертифицируются... и я провел достаточное число сертификаций по линии ФСТЭК по РД АС различных классов. ФСТЭК прекратил сертификации по РД АС (мы кстати были последними кто такие испытания проводил), однако в других системах сертификации АС нормально идут!"
    и to Алексей Волков
    "Ну, я это и имел в виду, прошу прощения - ляпнул в запале :)"
    Объясните, пожалуйста, каким образом и на соответствие каким документам производится СЕРТИФИКАЦИЯ АС?
    Дмитрий

    ОтветитьУдалить
  28. Дмитрий:
    http://wikisec.ru - видите справа требования к классам 1Г - 1Б вот зайдите и посмотрите...
    Каким образом - формируются программы, методики, формируются испытательные стенды и поехали...

    ОтветитьУдалить
  29. Сергею: не соглашусь, потому как и без него было "живо" благодаря другими читателям. Да и о "живости" я уже сказал выше. Единственное, с чем соглашусь - с тем, что он и его коллеги, выступающие "анонимами", периодически провоцируют и вынуждают иногда "балансировать" на грани эмоционального срыва :))). Вот это действительно реальная польза с точки зрения психологической закалки. Жаль, что только для меня, потому как во всем остальном для читателей нет почти никакого толку.

    ОтветитьУдалить
  30. Дмитрию: Евгений говорит о сертификации АС по линии ФСТЭК, сейчас это не происходит, т.к. применяется СТР-К и соотв. аттестация. Но есть и другие системы сертификации, в которых по-прежнему АС (точнее ИС) может быть сертифицирована. О них по старой доброй традиции лучше Евгений расскажет :)

    ОтветитьУдалить
  31. Анонимный2.8.11

    "http://wikisec.ru - видите справа требования к классам 1Г - 1Б вот зайдите и посмотрите..."
    Зашел и вижу там требования к классам, переписанные из РД-АС. Вижу ещё и ссылку "порядок проведения сертификации", где описывается порядок проведения сертификации средств защиты информации. Даже примеры есть. Сертификации АС не вижу.
    "Но есть и другие системы сертификации, в которых по-прежнему АС (точнее ИС) может быть сертифицирована. О них по старой доброй традиции лучше Евгений расскажет"
    Пусть расскажет, будет интересно послушать :)
    Дмитрий

    ОтветитьУдалить
  32. Дмитрий - сертификации АС невидите - Вы спрашивали на соответствие каким документам... документы указал. ФСТЭК сертификацию АС не проводит, МО РФ проводит...
    Что Вы хотите конкретно узнать...

    ОтветитьУдалить
  33. Что касается лицензии на ТЗКИ, а является ли исполнение требований 152-ФЗ таковой деятельностью? Раньше в статье 7, ФЗ-152 было прописано:
    " 1.Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных..."
    Теперь сей пункт был удален, и к нему вопросы:
    1) Персональные данные = конфиденциальная информация? На основании чего?
    2) Для осуществления деятельности по защите ПДн, нужна ли нам в таком случае лицензия по ТЗКИ?

    ОтветитьУдалить
  34. ПДн - это охраняемая законом информация конфиденциального характера на основание указа 188. Если Вы оказываете услуги или выполняете работы по техзащите (ОРД не в счет) в интересах операторов и за это вам платят деньги - то нужна. Если все делаете сами - то нет.

    ОтветитьУдалить
  35. Спасибо! А то я долго не мог найти обоснование называть ПД конфиденциальной информацией.

    ОтветитьУдалить
  36. А Вы посмотрите вот эту презентацию - там много чего интересного http://anvolkov.blogspot.com/2011/03/blog-post_22.html

    ОтветитьУдалить