Comments 16
Интересует, для минимального ущерба кошельку (если не совсем наглеть в модели угроз)
А кто-нибудь может поставить черту где совсем наглеть, а где еще не совсем?
Демагогия, конечно, штука хорошая, но мы тут законы соблюдаем, вроде как.
Демагогия, конечно, штука хорошая, но мы тут законы соблюдаем, вроде как.
Извиняюсь, если походит на демагогию, просто постарался изложить те тезисы, которые сформировались в результате общения с регуляторами.
Дак, они ж упоротые))
Если региональные отделения не в курсе федеральных законов и постановлений (Это из личной практики).
Я вообще не представляю зачем с ними общаться, кроме как по части разработки каких-то законов и актов.
Нужно смотреть в закон и думать как можно его красиво выполнить с минимальными затратами.
Как только регулятор появляется на пороге — тыкать в закон, затем на то что было сделано и предупредить о том что готовы отстаивать свою позицию в суде. Читал про то что после этого КРН без всяких претензий завершали проверку и уходили.
Если региональные отделения не в курсе федеральных законов и постановлений (Это из личной практики).
Я вообще не представляю зачем с ними общаться, кроме как по части разработки каких-то законов и актов.
Нужно смотреть в закон и думать как можно его красиво выполнить с минимальными затратами.
Как только регулятор появляется на пороге — тыкать в закон, затем на то что было сделано и предупредить о том что готовы отстаивать свою позицию в суде. Читал про то что после этого КРН без всяких претензий завершали проверку и уходили.
Жаль что у меня пока маленькая карма…
Вы знаете, совершенно не убедили.
Ни одной нормальной ссылки на закон с текстом, где четко (пусть и ковсенно) нас приводят к тому что единственным вариантом собдюдения закона является сертификация.
Фактически, вы продолжаете рассказывать сказку про злых регуляторов, которые как-то иначе трактуют закон и живут по своим понятиям, требующим сертификацию. Мы тут, вроде, взрослые люди собрались, задачи серьезные решаем.
На сегодняшний день, от сертификации как метода оценки соответствия легко можно уйти в модели угроз.
И использовать акт приемки и ввода в эксплуатацию. О чем я написал с указанием на законы и выдержками.
Вопрос остается только с использовании отечественной криптографии
В комментариях к моей статье я четко указал что для КС1 и КС2 контроль встраивания от ФСБ не требуется!
Если простыми словами — единственное что нужно купить сертифицированного — это криптопровайдер.
Крипто-про или Маг-про, Лисси-крипто, их сейчас развелось достаточно много.
Механизм защиты сертифицировать требуется только если это личное желание.
Я понимаю что данная статья — ваше мнение, но судя по тому что написано — оно основывается не на законах РФ.
Вы знаете, совершенно не убедили.
Ни одной нормальной ссылки на закон с текстом, где четко (пусть и ковсенно) нас приводят к тому что единственным вариантом собдюдения закона является сертификация.
Фактически, вы продолжаете рассказывать сказку про злых регуляторов, которые как-то иначе трактуют закон и живут по своим понятиям, требующим сертификацию. Мы тут, вроде, взрослые люди собрались, задачи серьезные решаем.
На сегодняшний день, от сертификации как метода оценки соответствия легко можно уйти в модели угроз.
И использовать акт приемки и ввода в эксплуатацию. О чем я написал с указанием на законы и выдержками.
Вопрос остается только с использовании отечественной криптографии
В комментариях к моей статье я четко указал что для КС1 и КС2 контроль встраивания от ФСБ не требуется!
Если простыми словами — единственное что нужно купить сертифицированного — это криптопровайдер.
Крипто-про или Маг-про, Лисси-крипто, их сейчас развелось достаточно много.
Механизм защиты сертифицировать требуется только если это личное желание.
Я понимаю что данная статья — ваше мнение, но судя по тому что написано — оно основывается не на законах РФ.
А ситуация действительно складывается такая, что защита ПДн — это хотелки регуляторов, имхо. А с нашими законами исполнение только их (с учетом их непрозрачности) превратится в итальянскую забастовку. Если у оператора стоит цель «пободаться», посудиться, потратить временные и иные ресурсы, бить себя пяткой в грудь и доказывать, что прав — дело его. По мне так легче найти оптимум.
Я не рассказываю сказки, я просто рассказываю про то, с чем сталкивался. Реально встречал регулятора, который прикапывался к определению ОТСС: ему не понравилось, что написано «Основные технические системы и средства», а не «Основные технические средства и системы». Про наш любимый РКН вообще молчу, там у большинства проверяющих, по моему мнению, тыква заместо головы.
У нас с законами получается пока «Закон что дышло, как зашло, так и вышло» и право голоса тут, имхо, на стороне регулятора.
Я не рассказываю сказки, я просто рассказываю про то, с чем сталкивался. Реально встречал регулятора, который прикапывался к определению ОТСС: ему не понравилось, что написано «Основные технические системы и средства», а не «Основные технические средства и системы». Про наш любимый РКН вообще молчу, там у большинства проверяющих, по моему мнению, тыква заместо головы.
У нас с законами получается пока «Закон что дышло, как зашло, так и вышло» и право голоса тут, имхо, на стороне регулятора.
Аббревиатура КО уже надёжно закрепилась за Капитаном Очевидность.
Обычно такие организации называют Регуляторами.
Хотя, в контексте статьи Регуляторы — как раз "Капитаны НЕочевидность".
Обычно такие организации называют Регуляторами.
Хотя, в контексте статьи Регуляторы — как раз "Капитаны НЕочевидность".
Sign up to leave a comment.
Сертификация средств защиты и персональные данные