Ну это вы загнули. Да я сотрудник компании, но у нашей компании сертифицирована вся линейка продуктов по ФСТЭК, ФСБ, МО, 1С и тд. Не нужно конспирологии. Я четко описал цель статьи — специалисты принимающие решения при их принятии должны понимать, что они делают. И не более. В данной статье рекламы нет. Совсем
А проверяющие должны не прислушиваться к мнению с Хабра, а читать документы, составленные компанией — не забываем, что большинство проверок — документарные. По сути статья направлена на то, что бы эти документы не переписывались с некого источника, а составлялись с пониманием
полная цитата:
Кодекс Российской Федерации об административных правонарушениях
Раздел II. ОСОБЕННАЯ ЧАСТЬ
Глава 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет…
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, — влечет…
Итого:
— за использование несертифицированных баз и банков данных (если они подлежат обязательной сертификации) — штраф. Кто либо с таким сталкивался?
— «если они подлежат обязательной сертификации» — как я показал выше такое требование отсутствует (ПП-330 в силу его сомнительного статуса не рассматриваем)
— а вот пункт 4 используется в полный рост — оговорок нет и для защиты гостайны все покупают сертифицированные средства
Моя статья — не в коей мере не задумывалась, как не подлежащий пересмотру Коран или иной религиозный текст. Она возникла исключительно в силу огромного числа запросов от людей, совершенно не знающих чего они хотят или уже прошедших обработку словами «специалистов»
Проблема в том, что если в компанию уже было отрекламировано какое-либо знание, то выкорчевыванию оно практически не поддается. К нам приходит огромное количество запросов на сертифицированные продукты, но совершенный мизер звонящих и пишущих готов обсуждать варианты снижения стоимости решений. Фактически единственный раз, когда это пришлось делать — защита персданных морга. Без смеха, получил огромное удовольствие от общения со специалистом
Я готов с удовольствием дополнить и отредактировать свою статью в случае предоставления вами либо кем-то иным полной цепочки — начиная от требований закона и до реальных действий регуляторов на местах. К сожалению вырванные из контекста фразы можно толковать как угодно — как показал первый же ответ на ваш комментарий
Если в статье появятся для баланса иные варианты, которые компании смогут обратить себе не пользу — я думаю это будет полезно всем
Приношу извинения, ответ дан на предыдущий комментарий
В реальности — да. К сожалению. Именно поэтому я выше написал, что сама идея сертификации на НДВ — привлекательна. Но зная как в реальности проходит сертификация… У меня иногда возникает подозрение, что сертифицируемые продукты не запускаются в ходе сертификации даже для проформы.
Проблема и сертификации и ИБ в целом на уровне государства — отсутствие специалистов и неумение отстроить процедуры. Все это заменяет выпуск документов. Которые в силу того же отсутствия специалистов получаются корявыми. А исправлять их — низзя. Можно только вносить мелкие правки, не меняющие суть :-(
Типичный пример — высокохвалимые профиля. В реальности с выходом профилей и переходом на сертификацию по ним проблем заказчиков еще возрасло — а качество защит — нет.
По сути у нас единственный более-менее нормальный пакет документов — это СТО БР РФ. И до той поры, пока в России/Украине/Белоруссии не появится влиятельная организация, которая сможет развивать стандарты — ничего не поменяется. В том же ФСТЕКе все понимают, но ничего поменять не могут
сертификация может быть полезна для использования в замкнутых сетях (госорганы, критичные структуры и тд) зарубежных продуктов — особенно там, где есть проблема с доставкой обновлений.
Мы не можем отказаться от продуктов того же Микрософт, но проверить их на закладки — дело правильное
Ничуть не возражаю. Но не вижу где я утверждал, что не нужно сертифицировать продукты. Статья о двух вещах:
1. В разных документах прописаны разные требования
2. В соответствии с действующими документами использование сертифицированных продуктов не является безусловно обусловленным.
Сама по себе сертификация (как идея) штука нужная, но скажем для антивирусов смысла не имеет. В силу их особенностей обновления. А посему если можно не использовать сертифицированную версию — лучше не использовать
+100500 :-)
Чтение любой нормативки должно быть обязанностью любого айтишника. Ибо к сожалению многие комментирующие привязывают свои комментарии к продуктам фирм, в которых они работают, или руководствуются своими взглядами. Например на необходимость полной свободы в сети. Поэтому «доверять можно только отдельным людям и по отдельным вопросам» (не мое)
Основная проблема нашего законодательства — куча кусочков, не складывающихся в единую и непротиворечивую систему. Постоянно присутствуют то неисполнимые требования, то вызывающие двойное толкование.
А больше всего добивает хор хвалебных голосов…
Тема ПП 330 навязла в зубах уже. Скажем в lukatsky.blogspot.ru/2010/07/330.html Лукацкий утверждает, что оно только для госорганов. Есть интересное письмо ФСТЭК fstec.ru/component/attachments/download/350, но вспоминаем, что никто требования закона расширять не может… В общем дело грустное и печальное (http://anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VTTfAMX-aCg)
Ни в коем. Все мои статьи написаны исключительно на открытых документах. Но ПП-330, насколько я помню до сих пор ДСП. Я-то доступ имею, но рядовые компании явно к такой информации доступа не имеют. Чтобы не повторять написанное — вот мнение Лукацкого lukatsky.blogspot.ru/2010/08/330.html
1. Россия относится к странам с высоким риском ведения бизнеса. в наших условиях вероятность краха бизнеса от решений правительства\местных органов\роста курса валюты и тд куда выше, чем от вирусов. Поэтому для всех, кто не обжегся — на ИБ — плевать
2. публичная статистика утечек в России отсутствует. По нашим расследованиям суммы утечек в сотни миллионов — реальность. В условиях отсутствия статистики строить какие либо модели — бессмысленно
3. большая часть проблем — неграмотность персонала. в мои числе технарей и ИБшников. В этих условиях, сколько софта не купи — толку не будет. Читаешь отчеты по тестированию или результаты аудитов — толи ржать, толи плакать.
Не то чтобы люблю. Просто знание первоисточника всегда дает бонусы в аргументации
Если говорить о СПО, то я не встречал у значимых компаний существенного количества СПО. Единственное по сути и широко распространенное исключение — сквид. Иногда встречается почтовый прокси. Все остальное — единичные случаи.
Тихо подозреваю, что все СПО — это провайдеры и СМБ. В силу размеры слабо интересующие проверяющих (за редким исключением) и вендоров — просто руки до них не дотягиваются
Запрета в чистом виде нет, но нет и проработанного расчета рисков (что крайне странно в связи с древностью курса на импортозамещение). С учетом уровня зарплат в большинстве мелких компаний и распространенности мифа о неуязвимости линукс (кстати опять нашли, да еще и вирус) — выбор СПО всегда настораживает. Я сам линуксоид, но к сожалению часто Линукс ставят с позиции, что он по умолчанию неуязвим
Я не против использования каких-либо средств защиты. Я против того, что вместо того, чтобы подумать — люди не думая идут проторенной дорогой, а по пути еще и возмущаются, что их заставляют. Меня скажем всегда бесит, когда люди навешивают ярлыки, даже не прочитав требования. Недавний пример — на Хабре с новостью о Сбербанке
У ФСТЕКа нормальные документы (не все, большое счастье, что скажем документ по обновлениям не приняли), но мало их. Скажем 17 и 31 приказы хороши — но как списки мер. А как считать угрозы или выбирать продукты (и не надо мне показывать профиля. за файрволы не скажу, но антивирусы и особенно НДВ это грустно) — совершенно не ясно
И кстати по 21му сертифицированные средства не требуются — об этом будет следующая статья. Это тоже пример того, как произошла подмена формулировок и все это тихо приняли.
Волкова (как и других я читаю регулярно) — наши законы/приказы к сожалению не складываются в один пазл. Примеры формулировок по оценке соответствия тому свидетельство
«настоящих буйных мало» — посему так и живем :-)
Не совсем так. Сложилась практика делать все согласно сложившимся в конкретном сообществе/отрасли умолчаниям. Скажем написано в документах регуляторов использовать антивирусную систему защиты, прошедшую процедуру оценки соответствия — все ставят сертифицированный антивирус, хотя ни одним (почти) словом равенство антивируса и антивирусной защиты и сертификации и оценки соответствия не задается. Но все приняли как правило и все.
При этом апологеты иных методов защиты даже не удосуживаются почитать стандарты/приказы и увидеть, что предлагаемые ими методы защиты в общем-то зачастую не противоречат требованиям того же ФСТЭК
А вот насчет лучших практик… Не видел я практик, адекватных текущим угрозам. Что у нас, что у них. Хотя не исключаю, что есть неизвестные мне стандарты. Если есть интерес — могу например нист разобрать.
Еще хуже с реализацией процедур. Читал недавно презентацию в Казани. У какого процента участвующих было понятие, как организовать процедуру обработки инцидента ИБ?
Скажем вероятность расшифровки после криптографов имеется. Примерно известна вероятность пропуска вредоносной программы (эффективность антивируса). Но вот вероятность возникновения инцидента ИБ только от этих двух цифр не рассчитаешь. Тем более, что эти цифры тоже не являются постоянными. Зависит от уровня администратора, выбранной системы защиты, интересности для злоумышленника именно вашей конторы или конкретно имеющихся у вас данных… Как скажем оценить вероятность открытия письма «от налоговой»?
Влияние известно, но точных цифр, достаточных для расчета нет. Пожалуй за исключением антиспама
По сути можно только сказать, что просто установкой какого-либо (любого) средства защиты безопасность данных не обеспечишь никак
ROI :-) Крайне сомневаюсь в наличии подобной статистики. Слишком много факторов. В частности еще и потому, что применять средства защиты по отдельности — самоубийство
может я не типичный пользователь, но я использовал сервис для составления карт для командировок. Вводил адрес, куда ехать. Это место помечалось на карте. Далее я скрывал левую часть, делал нужное количество скриншотов и печатал. печать из сервиса мне неудобна, поскольку нужны зачастую большие или меньшие куски карты
Сегодня опять полез в сервис, а такого удобства нет. Левую часть скрыть можно, но тогда пропадает отметка места, куда нужно попасть.
этот плюс есть, но по сути только для локального облака. Более того с безопасностью у облака все еще хуже. По сути облачные антивирусы сделали для того, чтобы снять деньги с моды, не проработав все возможные проблемы, но давайте это отложим. Я планирую примерно через три статьи пройтись по некоторым модным технологиям с указанием их плюсов и минусов. Если я сейчас укажу все дыры в облаках, не очень интересно будет. Обещаю, что анализ будет максимально беспристрастный. К сожалению именно по облакам открытой информации мало, так что заранее приглашаю к дискуссии
А проверяющие должны не прислушиваться к мнению с Хабра, а читать документы, составленные компанией — не забываем, что большинство проверок — документарные. По сути статья направлена на то, что бы эти документы не переписывались с некого источника, а составлялись с пониманием
Кодекс Российской Федерации об административных правонарушениях
Раздел II. ОСОБЕННАЯ ЧАСТЬ
Глава 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет…
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, — влечет…
Итого:
— за использование несертифицированных баз и банков данных (если они подлежат обязательной сертификации) — штраф. Кто либо с таким сталкивался?
— «если они подлежат обязательной сертификации» — как я показал выше такое требование отсутствует (ПП-330 в силу его сомнительного статуса не рассматриваем)
— а вот пункт 4 используется в полный рост — оговорок нет и для защиты гостайны все покупают сертифицированные средства
Проблема в том, что если в компанию уже было отрекламировано какое-либо знание, то выкорчевыванию оно практически не поддается. К нам приходит огромное количество запросов на сертифицированные продукты, но совершенный мизер звонящих и пишущих готов обсуждать варианты снижения стоимости решений. Фактически единственный раз, когда это пришлось делать — защита персданных морга. Без смеха, получил огромное удовольствие от общения со специалистом
Я готов с удовольствием дополнить и отредактировать свою статью в случае предоставления вами либо кем-то иным полной цепочки — начиная от требований закона и до реальных действий регуляторов на местах. К сожалению вырванные из контекста фразы можно толковать как угодно — как показал первый же ответ на ваш комментарий
Если в статье появятся для баланса иные варианты, которые компании смогут обратить себе не пользу — я думаю это будет полезно всем
Приношу извинения, ответ дан на предыдущий комментарий
Проблема и сертификации и ИБ в целом на уровне государства — отсутствие специалистов и неумение отстроить процедуры. Все это заменяет выпуск документов. Которые в силу того же отсутствия специалистов получаются корявыми. А исправлять их — низзя. Можно только вносить мелкие правки, не меняющие суть :-(
Типичный пример — высокохвалимые профиля. В реальности с выходом профилей и переходом на сертификацию по ним проблем заказчиков еще возрасло — а качество защит — нет.
По сути у нас единственный более-менее нормальный пакет документов — это СТО БР РФ. И до той поры, пока в России/Украине/Белоруссии не появится влиятельная организация, которая сможет развивать стандарты — ничего не поменяется. В том же ФСТЕКе все понимают, но ничего поменять не могут
Мы не можем отказаться от продуктов того же Микрософт, но проверить их на закладки — дело правильное
1. В разных документах прописаны разные требования
2. В соответствии с действующими документами использование сертифицированных продуктов не является безусловно обусловленным.
Сама по себе сертификация (как идея) штука нужная, но скажем для антивирусов смысла не имеет. В силу их особенностей обновления. А посему если можно не использовать сертифицированную версию — лучше не использовать
Чтение любой нормативки должно быть обязанностью любого айтишника. Ибо к сожалению многие комментирующие привязывают свои комментарии к продуктам фирм, в которых они работают, или руководствуются своими взглядами. Например на необходимость полной свободы в сети. Поэтому «доверять можно только отдельным людям и по отдельным вопросам» (не мое)
А больше всего добивает хор хвалебных голосов…
2. публичная статистика утечек в России отсутствует. По нашим расследованиям суммы утечек в сотни миллионов — реальность. В условиях отсутствия статистики строить какие либо модели — бессмысленно
3. большая часть проблем — неграмотность персонала. в мои числе технарей и ИБшников. В этих условиях, сколько софта не купи — толку не будет. Читаешь отчеты по тестированию или результаты аудитов — толи ржать, толи плакать.
Если говорить о СПО, то я не встречал у значимых компаний существенного количества СПО. Единственное по сути и широко распространенное исключение — сквид. Иногда встречается почтовый прокси. Все остальное — единичные случаи.
Тихо подозреваю, что все СПО — это провайдеры и СМБ. В силу размеры слабо интересующие проверяющих (за редким исключением) и вендоров — просто руки до них не дотягиваются
Запрета в чистом виде нет, но нет и проработанного расчета рисков (что крайне странно в связи с древностью курса на импортозамещение). С учетом уровня зарплат в большинстве мелких компаний и распространенности мифа о неуязвимости линукс (кстати опять нашли, да еще и вирус) — выбор СПО всегда настораживает. Я сам линуксоид, но к сожалению часто Линукс ставят с позиции, что он по умолчанию неуязвим
У ФСТЕКа нормальные документы (не все, большое счастье, что скажем документ по обновлениям не приняли), но мало их. Скажем 17 и 31 приказы хороши — но как списки мер. А как считать угрозы или выбирать продукты (и не надо мне показывать профиля. за файрволы не скажу, но антивирусы и особенно НДВ это грустно) — совершенно не ясно
И кстати по 21му сертифицированные средства не требуются — об этом будет следующая статья. Это тоже пример того, как произошла подмена формулировок и все это тихо приняли.
Волкова (как и других я читаю регулярно) — наши законы/приказы к сожалению не складываются в один пазл. Примеры формулировок по оценке соответствия тому свидетельство
«настоящих буйных мало» — посему так и живем :-)
При этом апологеты иных методов защиты даже не удосуживаются почитать стандарты/приказы и увидеть, что предлагаемые ими методы защиты в общем-то зачастую не противоречат требованиям того же ФСТЭК
А вот насчет лучших практик… Не видел я практик, адекватных текущим угрозам. Что у нас, что у них. Хотя не исключаю, что есть неизвестные мне стандарты. Если есть интерес — могу например нист разобрать.
Еще хуже с реализацией процедур. Читал недавно презентацию в Казани. У какого процента участвующих было понятие, как организовать процедуру обработки инцидента ИБ?
Влияние известно, но точных цифр, достаточных для расчета нет. Пожалуй за исключением антиспама
По сути можно только сказать, что просто установкой какого-либо (любого) средства защиты безопасность данных не обеспечишь никак
Кстати догадаться, что там есть заголовок можно только зная об этом
Сегодня опять полез в сервис, а такого удобства нет. Левую часть скрыть можно, но тогда пропадает отметка места, куда нужно попасть.
Ключевое слово — неизвестные вредоносные программы