вторник, 25 декабря 2012 г.

Свои выводы ноябрь-декабрь 2012 г.

Слава богу, рабочий год подходит к концу. Вроде бы разобрался со всеми делами, но пока разгребался, к сожалению, пропустил все самое интересное в экспертном сообществе, ставлю себе незачот ))). Опишу свое мнение обо всем происходящем, постараюсь быть кратким.
С тем, что инициативы регулятора новые, и тенденция сама по себе хорошая, согласен полностью. То, что специалисты отправляли свои мнения по РД, и регулятор их частично (при этом не обструктивно) принимал, тоже замечательно. 
Теперь, что касается некоторого напряжения, вызванного открытым письмом Геннадия Атаманова. Сначала по содержанию - с большей частью претензий к тексту РД я согласен, но речь не об этом. Что по факту мы получили - весьма показательное явление и вызвано оно отсутствием организованности в тех новых начинаниях, которые предложил ФСТЭК. Все вышло на уровне самодеятельности. Отсюда и огрехи в формулировках и теоретические несостыковки в РД. Теперь выводы из этой ситуации:
1) Да самодеятельность, да подход "по-русски" со всеми вытекающими, но что вы хотите от первых шагов в новом направлении? Я согласен с точкой зрения Евгения Родыгина, главное в проектах новых РД - это их целевая аудитория. А целевая аудитория разрабатываемых РД - операторы, и для них необходимо было создать относительно простой и понятный документ, при этом не противоречащий уже сформулированным подходам НПА более высоких уровней. Исходя из этих целей, и с учетом обстоятельств, в которых все мы, в том числе регулятор, находимся, задача выполнена достаточно эффективно.  
2) Что делать дальше?  Ответ напрашивается сам собой - если подобная инициатива регулятора будет практиковаться и дальше, то экспертному сообществу необходимо организовываться в вопросах формирования и представления своих мнений. По поводу теоретической базы ИБ (так сказать её парадигмы) вопрос очень сложный, и если реально смотреть на вещи, то решить его получится не сегодня и даже не завтра. Главное, что нужно делать сейчас - это сохранить и укрепить тенденцию сотрудничества между регулятором и экспертами.
Ну и ещё одна маленькая ремарка, не могу без техчасти. Алексей Лукацкий говорит, что определение типа угроз, актуальных для ИС (угрозы, связанные с наличием НДВ) будет выполняться исключительно оператором. Но мне не дает покоя формулировка "и в соответствии с НПА..." п.7 ПП 1119. Вот пока не увижу окончательных документов ФСТЭК, и что в них НЕ указывается для кого какой тип угроз устанавливается, буду в этом сомневаться ))).