вторник, 2 августа 2011 г.

Кормушкин двор. Часть 2.


Пока community в очередной раз обсуждает замусоленные до дыр вопросы оценки соответствия и сертификации, мы с вами, дорогие читатели, рассмотрим две оставшихся "темы", первая из которых - лицензирование деятельности по технической защите конфиденциальной информации (ТЗКИ).

Уж сколько раз твердили миру, что нельзя один закон выдернуть из всей правовой системы РФ и, тыча им в физиономию всем, кто самостоятельно пытается поставить пароль на вход в ОС, с пеной у рта доказывать необходимость получения лицензии, так как они проводят мероприятия, связанные с технической защитой конфиденциальной информации. Оно и понятно: лицензирование - мероприятие отнюдь не дешевое, и поголовное лицензирование сулило невероятные "барыши" различным окологосударственным структурам. Тема ПДн для этого подходила как нельзя лучше, и потому в знаменитейших "Основных мероприятиях..." есть пункт 3.14, который как раз и был предназначен для реализации этого коварного плана.

Но время шло, на смену "четверокнижию" пришел 58-й приказ; специалисты поломали немало копий относительно того, считать ли, согласно Гражданского Кодекса, видом деятельности вообще (и деятельности по ТЗКИ в частности) самостоятельное и в своих интересах проведение каких-либо мероприятий, уместно ли рассматривать "собственные нужды" в контексте защиты ПДн и отсутствия законодательного определения термина "конфиденциальная информация" в принципе;  представители ФСТЭК то соглашались с противниками и говорили, что всем подряд получать лицензию не нужно, то не соглашались сами с собой; на смену старому 128-ФЗ "О лицензировании отдельных видов деятельности" пришел новый, 99-ФЗ с таким же названием, но с еще более противоречивым содержанием, так как на деятельность по техническому обслуживанию шифровальных (криптографических) средств, осуществляемую для собственных нужд, лицензию получать стало не нужно, а в отношении ТЗКИ ничего не поменялось... Словом, все как в известной поговорке: закон - что дышло.

Стоит заметить, такое положение вещей было очень удобным: представители регуляторов старались никак не комментировать этот момент, либо давали противоречивые комментарии. Интеграторы, следуя примеру старших товарищей, вели точно такую же игру в "понятия". Тем не менее, где-то с весны этого года сообщество стало замечать, что "игра в понятия" стала сходить "на нет", и представители ФСТЭК в разное время и в разных местах стали делать одинаковые заявления о том, что лицензия на ТЗКИ для собственных нужд все же не нужна. Эти факты свидетельствовали о том, что "внутри" была начата определенная работа над ошибками, и анализ поправок к 152-ФЗ показал, что она таки была проведена.

Судя по всему, позиция "нет прибыли - нет деятельности - нет лицензии", исходя из соображений "лучше потерять часть, но сохранить целое", была негласно принята. Взамен, поправками к 152-ФЗ, операторам было дадено:

Ст. 6 ч. 3. Оператор вправе поручить обработку персональных данных другому лицу ... на основании заключаемого с этим лицом договора , в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора ). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Ст. 6 ч. 5. ... Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. ...

На мой взгляд это совершенно адекватные и логичные требования, означающие, что любое юридическое лицо, осуществляющее обработку ПДн по схеме "аутсорсинга" (в Европе такое лицо называется "обработчик"), обязано не просто соблюдать  "конфиденциальность и безопасность при их обработке", как было ранее, но и реализовать требования по технической защите, указанные нанявшим его оператором в "поручении", которое в общем случае является ни чем иным, как договором гражданско-правового характера на возмездное оказание услуг.

В таком "поручении", конечно же, не должны быть прописаны все без исключения требования статьи 19, а только те, что необходимы оператору, в том числе установленные правительством и регуляторами в зависимости от "уровня защищенности". И поскольку выполнение "аутсорсером" требований по технической защите ПДн является неотъемлемой частью договора, и оказывать услуги по обработке без соблюдения этих требований по закону нельзя, именно здесь и "всплывает" тема лицензирования: в указанном случае "аутсорсер" должен либо сам получить лицензию на ТЗКИ, либо отдать эту деятельность на "субподряд" (без права доступа к ПДн) другому "аутсорсеру" - интегратору, имеющему такую лицензию. И то, и другое не противоречит российскому законодательству.

Несколько сложнее дело обстоит тогда, когда "аутсорсером" является лицо, никаких возмездных услуг не оказывающее, особенно в случае, если таким лицом является государственный или муниципальный орган, вместо договора принимающий некий "соответствующий акт". Вопрос в необходимости получения таким лицом лицензии на ТЗКИ по-прежнему находится в плоскости "что считать деятельностью", но если для реализации  требований по защите привлекается "аутсорсер", то он, как и в предыдущем случае, должен обладать соответствующей лицензией.

Стало быть, ничего принципиально нового в решение вопроса о необходимости лицензирования поправки не внесли, да и не могли внести. Осталась последняя "тема" - аттестация. Древний, времен "четверокнижия" страх возврата к аттестации ИСПДн в глазах операторов появился после прочтения ими пункта 4 части 2 статьи 19, говорящего:

2. Обеспечение безопасности персональных данных достигается, в частности:
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных

Сама по себе "оценка эффективности" является важным и нужным элементом системы управления ИБ. В прадигме PDCA, широко используемой ISO 2700Х и "дочкой" BS10012, этой "оценкой" (с некоторыми допущениями) можно назвать элемент C (check). Тем, кто хоть немного знаком с указанными документами, должно быть хорошо известно, что этот самый Check должен проводиться непрерывно - только так можно оперативно вносить коррективы для соответствия СУИБ меняющимся требованиям, процессам и условиям, и обеспечить постоянное ее совершенствование. Почему же здесь он проводится только на этапе, предшествующем вводу ИСПДн в эксплуатацию?

Почитав внимательно поправки, можно обнаружить, что смысл элемента С, наряду с указанной выше "оценкой эффективности", раскрывается еще в нескольких местах:

Ст. 18.1 ч. 1 п. 4: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
Ст. 19 ч. 2 п. 9: контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных

Практически одно и то же, и видно, что писалось разными людьми и без оглядки друг на друга. Но вернемся к "оценке эффективности". Выходит, что в контексте поправок - это несколько иное, разовое мероприятие, и смысл его реализации не совсем понятен. Если принять за критерий эффективности принимаемых мер безопасности отсутствие утечек или даже (черт с ним) отсутствие предпосылок к их возникновению, то как определить его на неработающей системе? После некоторых размышлений относительно pentesting, на ум приходит один ответ: нужно все перепроверить и убедиться, что система защиты ИСПДн удовлетворяет требованиям безопасности; хорошо бы при этом издать или получить какой-нибудь документ, подтверждающий это самое "удовлетворение".

И вот здесь и всплывает термин "аттестация", поскольку процедура точь-в-точь повторяет написанное выше, а документ, выдаваемый по ее окончании, называется "аттестат соответствия"! Поразительно, но у ФСТЭК даже есть документ, определяющий порядок аттестации - это "Положение по аттестации объектов информатизации по требованиям безопасности информации" 1994 года выпуска (!), вот только касается оно "объектов информатизации". Но не беда - взглянем на определение "объекта информатизации", приведенное в пункте 3.1 ГОСТ 51275-2006, и сразу станет ясно, что ИСПДн - это частный случай такого "объекта". Идем дальше и заглянем в это самое "положение". Это - просто "песня":

1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

Обратите внимание на выделенную фразу: помните предыдущий пост про "оценку соответствия" - "подтверждения соответствия" - "обязательную сертификацию"? Здесь налицо то же самое: "оценка эффективности" - "подтверждение эффективности" - "обязательная аттестация". И точно так же, аттестация не является обязательной, ПОКА не внесли изменения в этот документ или не разработали новый, по типу ПП330-2010. Далее:

3.8.4. "Аттестат соответствия" выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
3.8.5. В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

Вопрос о том, какой в этом смысл, если ИСПДн через сутки после ввода в эксплуатацию может быть переконфигурирована из-за сменившихся бизнес-требований (установленных патчей,  обновлений и т.д.), по-прежнему остается без ответа. Таким образом, как и в случае с оценкой соответствия и обязательной сертификацией, мы с вами, дорогие читатели, будем следить за интересной интригой под названием "оценка эффективности и обязательная аттестация".

24 комментария :

  1. Александр М.2.8.11

    Я однажды при изучении НПА по защите ПДн, очень сильно разозлился на все предъявляемые требования, набрался смелости и позвонил в центральный аппарат ФСТЭК с надеждой поговорить чисто по человечески и спросить что они думают насчет аттестации, ПЭМИНа, лицензии. Номер телефона, я получил у дежурного и человек ответивший по этому номеру оказался адекватным, я конечно же не надеялся получить офиц. ответа, но на вопросы которые у меня скопились я хотел услышать от представителей надзора. На счет ПЭМИНа он ответил совсем просто, меня это даже смутило. Он ответил какому идиоту взбредет в голову снимать побочные излучения с использ. спец. аппаратуры, ему проще купить вашего админа, так что незаморачивайтесь пишите в МУ неактуален в связи с неадекватными предъявляемыми требованиями, тем более пункты 58 приказа не являются обязат., а применяются исходя из акт-х угроз без-ти. Про аттестацию, он ответил примерно также, в итоге сказал пишите что ИСПДн в составе и с установленными СЗИ соответствует требованиям предъявляемым к вашему классу и полностью исключает возможность проведения НСД с использованием актуальных Угроз без-ти. А с лицензией для своих нужд не партесь!

    ОтветитьУдалить
  2. Александр М.2.8.11

    Как-то вот не корректно написал, тем более с телефона в маленьком окошке неудобно совсем, но я думаю меня поймут!

    ОтветитьУдалить
  3. Александру М.: вы знаете, сколько я ни общался с представителями ФСТЭК - ВСЕ они по-отдельности, КАЖДЫЙ из них - умные, грамотные и добродушные люди. И в кулуарах давали точно такие же, нормальные и вменяемые ответы. Вот только на публике и официально все совсем по-другому :*(

    ОтветитьУдалить
  4. "ИСПДн через сутки после ввода в эксплуатацию может быть переконфигурирована из-за сменившихся бизнес-требований (установленных патчей, обновлений и т.д.)"
    В аттестате есть специальный пункт, в котором указываются условия прекращения его действия. Условия достаточно существенные, в первую очередь изменение технологии обработки информации (простой пример - в технологию добавляете возможность передачи информации между объектами на съемном носителе, повышается актуальность ряда угроз, появляются дополнительные требования к системе ЗИ, появляется необходимость в дополнительных технических и организационных мерах). При этом установка патчей, добавление пользователей и ряд других действий могут и не нарушать эти условия (здесь уже все зависит от качества проведения работ по созданию системы ЗИ).

    ОтветитьУдалить
  5. Валентину: согласен, потому и считаю эти требования вторичными. Основная "загвоздка" заключается в том, что современные системы - фактически живой организм, который дышит в одном ритме с бизнесом. И оценка эффективности в таком понимании - совершенно бесполезное (а в части аттестации ФСТЭК - вредное) занятие.

    ОтветитьУдалить
  6. Алексей, не согласен.
    1. Система должна управляться и контролироваться. То что называется "живой системой" - это система в состоянии разработки (или опытной эксплуатации) или система в которой ответственный не обладает информацией о ее текущем состоянии (используемых программных и технических средствах, пользователях, правах доступа).
    2. Оценка эффективности (аудит) необходима. Главный вопрос - в каком виде она будет проводиться. Объективно, внутренний аудит на всегда может продемонстрировать наличие проблем. Соответственно нужен периодический внешний аудит. Если посмотрим зарубежные стандарты (СУИБ, PCI DSS) - аудит обязателен.
    3. Еще раз отмечу, что аттестация не запрещает вам проводить ряд действий с системой. Если владелец системы сомневается в возможности внесения изменений - он всегда может отправить соответствующий запрос в орган по аттестации, при необходимости получить рекомендации по внесению изменений.

    ОтветитьУдалить
  7. Анонимный2.8.11

    Алексей, к чему этот сыр-бор, если ст.19,п.2 гласит:
    "Обеспечение безопасности ПДн достигается, в частности"
    Разве это "При обеспечении безопасности ПДн должны применяться"?
    На мой взгляд, это всего лишь ряд рекомендованных требований, но не обязательных. Прошу поправить, если моя точка зрения не верна.

    ОтветитьУдалить
  8. Валентин, скажите, Вам доводилось сталкиваться с ERP-системой, обслуживающей свыше 20 организаций, с сотнями ролей и тысячами пользователей? Когда десятки изменений бизнес-логики ежедневно мигрируют из девелопмента в тест, а из теста - в продуктив? Когда в десятки ролей ежедневно добавляются новые и удаляются старые функции и полномочия, и потом назначаются сотне пользователей? И все это управляется и контролируется соответствующими регламентами, и не дай боже сделать хоть малейшее отступление.

    Вот что такое "живая система". Это не синоним "бардака". Это - реальная инфраструктура, слепок с которой, взятый сутки назад, не будет соответствовать слепку, взятому сегодня, и разница будет не в тривиальных "патчах" и "апдейтах" (изменения в ПО), а в процессах (режимах) обработки информации.

    Изменения затрагивают и ПДн - например, в этом году уже один раза менялся и один раз еще поменяется способ расчета ЕСН, а уж что касается "внутренних" процессов (например расчет мотивационных выплат) - так это вообще может каждый квартал меняться.

    Конечно, нужна и оценка эффективности, и аудит - я в посте об этом и говорю, если Вы заметили. Так же я говорю про международные стандарты, и про постоянную основу.

    КАЖДАЯ система УНИКАЛЬНА. И невозможно выработать общие критерии для всех, до которых можно дозволено вносить изменения без переаттестации. И теперь представьте, что для такой ERP системы перед каждым внесением изменений в бизнес-логику необходимо запрашивать разрешение. Помимо того, что это довольно продолжительное время, риск что не разрешат. И что - останавливать бизнес и переаттестовываться? Я, хоть убейте, не вижу никакого смысла.

    ОтветитьУдалить
  9. Анонимному: с точки зрения русского языка, приведенный в статье словооборот говорит о том, что следующее за ним подмножество является явно определенной частью открытого множества, обязательного для исполнения. Это подтверждает часть 1 этой же статьи "обязан принимать или обеспечивать принятие мер". С другой стороны, в статье 18.1 ч.1 п.3 сказано, что "к таким мерам МОГУТ, В ЧАСТНОСТИ, относиться..." и далее - ссылка на 19 статью. Так что пока вопрос об их обязательности имеет двойное толкование и остается открытым. ПОКА правительство в соответствии со ст. 19 ч. 3 не разработает уровни защищенности и требования безопасности, ОБЯЗАТЕЛЬНЫЕ для исполнения безо всяких оговорок.

    ОтветитьУдалить
  10. Анонимный3.8.11

    Алексей, тогда такой вопрос по ст.18, п.3, которая лежит в этой цепочке:
    3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

    В данном случае имеется ввиду отдельное ПП по поводу госов или это ляп, исключающий коммерческие организации?

    ОтветитьУдалить
  11. Это не ляп - это действительно означает, что правительство может полностью (а не только в части требований по техзащите) установить правила и порядок обработки ПДн в госах. Некоторые утверждают, что с учетом этой статьи, при определенных допущениях, ПП 781 продолжает действовать для госов. Я - сомневаюсь. Что же касается неавтоматизированной обработки, то смотрим ч. 3 ст. 4:

    Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

    Как видно, опять конфликт со ст. 18.1 ч. 3. Так что судьба ПП-687 непонятна, но я все же склоняюсь к мысли, что раз в 18.1 ч.3 сказано, что только для ГОСов - значит, и ст.4 ч. 3 именно для них. Правда, опять казуистика: "особенности" - "меры" - "требования". Так что...

    ОтветитьУдалить
  12. У меня тут появился вопрос. Я все не могу разобраться с причастностью 58 приказа к ФЗ 152. Если в новой редакции упоминается "уровень защищенности", то в старом "классы ИС" не упоминались вовсе. То есть относительно 58 приказа, вроде как бы ничего и не изменилось? В таком случае формулирую вопрос так "На основании чего мы руководствовались 58 приказом раньше, и на основании чего мы не должны использовать его теперь?"

    ОтветитьУдалить
  13. Согласно нового закона, правительство не может установить ничего более, кроме уровней защищенности и соответствующих требований. По старому закону, правительство устанавливало все. Приказ 58 - не самостоятельный документ, он вышел в соответствии с 781 ПП. Поскольку оно более нелегитимно, приказ 58 соответственно тоже. Уровней защищенности и требований пока нет, а положения приказа 58 теперь перекочевали в закон (ст. 19). Так что выполнять его, так или иначе, все равно придется.

    ОтветитьУдалить
  14. Алексей. Но требований то там нету. В 19 статье изложены лишь методы обеспечения.

    ОтветитьУдалить
  15. Если быть точным, не методы, а МЕРЫ. О чем и речь - требования должны исходить из уровней защищенности, но ни того, ни другого пока нет. Ждем-с.

    ОтветитьУдалить
  16. "сталкиваться с ERP-системой, обслуживающей свыше 20 организаций, с сотнями ролей и тысячами пользователей"
    Сталкивался, причем в различных областях с подобными системами. При грамотном подходе большинство изменений в бизнес-логике не повлияют на результат.
    По сути что представляют собой эти изменения - добавление новых методов обработки данных (уже присутствовавших в системе) и добавление новых отчетов (эти ситуации не сильно повлияют на технологию обработки с точки зрения ЗИ, исключения в основном будут связаны с характером данных отображаемых в новых отчетах), а также возможны добавления источников данных и внешних потребителей данных (более редко, здесь как раз более возможно изменение технологии и необходимость доп мер по ЗИ). Обычно такие изменения связаны с развитием системы: запланированным или внеплановым (в последнем случае, вызванным новыми нормативно правовыми документами и т.п.). Добавление пользователей и ролей при грамотной реализации иерархии ролей проблем вызвать не должно (кстати, добавление пользователей при корректно сделанной ОРД аттестат не нарушает).
    По поводу запросов на внесение изменений - как уже неоднократно отмечал, здесь очень многое зависит от качества эксплуатационной документации и ОРД, от того как описана технология обработки информации.
    Сложность как вы правильно указали может возникнуть при хранении в одной системе данных по нескольким организациям - в части разграничения доступа и (в случае наличия) с криптографией, но эти моменты прорабатываются заранее, до оценки соответствия (аттестации) системы.

    PS. Кстати, неоднократно вижу упоминания о том, что 781 ПП уже не действует. Не подскажете, где об этом явно написано? (того, что 781 ПП ссылается на измененную ст.19 152-ФЗ явно недостаточно).

    ОтветитьУдалить
  17. Валентину: а что делать, если после аттестации к 20-й организации добавляется 21-я? Переаттестовывать всю систему? Вопросов на самом деле больше, чем ответов.

    Относительно ПП781 - оно действует для правоотношений, возникших до 01.07.11. Что происходит после этой даты - откомментировал выше на 6 комментариев. Явно об этом нигде не написано - это мне сказали мои юристы.

    ОтветитьУдалить
  18. "а что делать, если после аттестации к 20-й организации добавляется 21-я?"
    Заранее предусмотреть, прописать соответствующие моменты в ЭД и ОРД, сделать регламент подключения внешней организации. Здесь очень многое зависит от способа подключения и порядка обмена информацией, но если подключение 21 организации идет по типовой схеме/решению и уже решены вопросы с защитой центрального объекта и защитой типовой организации, то задача в общем случае реализуемая.

    ОтветитьУдалить
  19. В теории - да. На практике - неизвестно, потому как я не встречал случаев аттестации такого рода систем.

    ОтветитьУдалить
  20. Алексей, честно говоря не понял что значит "действует для правоотношений, возникших до 01.07.11".
    Ни в 781, ни в 58 приказе эта дата не указана, в ФЗ эта дата есть, но она никак не ссылается на 781. Честно говоря, хочется найти обоснование "почему применяли раньше, и почему не применяем сейчас?"

    ОтветитьУдалить
  21. Ну, раз обоснование того, что правительство не может устанавливать требования для определенного вида обработки в целом и для всех, а может установить лишь уровни защищенности и требования по безопасности, Вас не устраивает, то больше, к сожалению, ни мне, ни законодателю предложить нечего. Нигде не написано, что с 01.07.11 ПП-781, 687 и ПР58 прекращает свое действие. Это следует из буквы закона.

    ОтветитьУдалить
  22. Александр М.3.8.11

    Валентин Хотько, вы явный сторонник аттестации и срубателей бобла на этом. Вы представляете себе аттестацию в мед. учреждении в котором 300 компов обрабатывающие ПДн, сегодня они обрабат. в одной программе с определенной структурой и тех. процессом, а завтра в другой. Как вы себе представляете аттестацию такой ИС. Или вы померили ПЭМИН комп привязали к КЗ, а завтра Клавдия Петровна переехала на другой этаж или в другое здание, им теперь после каждых передвижений и чехов уведомлять аттестующий орган.

    ОтветитьУдалить
  23. Александр, предлагаю все-таки не переходить на личности.
    1. Я сторонник качественного выполнения работ, перечень которых определил мне Заказчик. Как я уже отмечал выше - оценка эффективности системы ЗИ объекта необходима, причем не сколько при создании системы, а в большей степени в процессе ее эксплуатации.
    2. Аттестацию объектов в мед учреждениях мы проводили. Никакой проблемы здесь нет, тех процесс достаточно статичен, существенные изменения бывают только при внедрении новых систем (что происходит не так уж и часто).
    3. По поводу переезда в другое помещение. Опять же никакой проблемы здесь нет, все решаемо и реализуемо (в нашей практике такие случаи были). Да, есть особенности (в том числе связанные с самим помещением и размещением техники в нем), но они обычно не вызывают проблем.
    4. По поводу ПЭМИНа - необходимость защиты от него определяется при создании системы, и для систем обработки конфиденциальной информации довольно таки редко.

    ОтветитьУдалить
  24. Александр М.3.8.11

    Я извиняюсь за столь грубое возмущение с моей стороны в Ваш адрес, но все таки я считаю аттестацию завышенным требованием и ее навязыванием со стороны интеграторов (лицензиатов ФСТЭК). Все таки если внимательно почитать, то в РД по аттестации сказано, что в течении срока действия аттестата ,не должна быть изменена среда функционирования системы и тех процесс обработки инф-ии, а под этим каждый понимает по своему. Т.е. регулятор понимает на своей волне, а интегратор т.к. ему будет выгоднее заработать денег. Но отношения проверяющих в большей мере зависит от авторитета фирмы, а не от качества разработанных документов.

    ОтветитьУдалить