Слава богу, рабочий год подходит к концу. Вроде бы разобрался со всеми делами, но пока разгребался, к сожалению, пропустил все самое интересное в экспертном сообществе, ставлю себе незачот ))). Опишу свое мнение обо всем происходящем, постараюсь быть кратким.
С тем, что инициативы регулятора новые, и тенденция сама по себе хорошая, согласен полностью. То, что специалисты отправляли свои мнения по РД, и регулятор их частично (при этом не обструктивно) принимал, тоже замечательно.
Теперь, что касается некоторого напряжения, вызванного открытым письмом Геннадия Атаманова. Сначала по содержанию - с большей частью претензий к тексту РД я согласен, но речь не об этом. Что по факту мы получили - весьма показательное явление и вызвано оно отсутствием организованности в тех новых начинаниях, которые предложил ФСТЭК. Все вышло на уровне самодеятельности. Отсюда и огрехи в формулировках и теоретические несостыковки в РД. Теперь выводы из этой ситуации:
1) Да самодеятельность, да подход "по-русски" со всеми вытекающими, но что вы хотите от первых шагов в новом направлении? Я согласен с точкой зрения Евгения Родыгина, главное в проектах новых РД - это их целевая аудитория. А целевая аудитория разрабатываемых РД - операторы, и для них необходимо было создать относительно простой и понятный документ, при этом не противоречащий уже сформулированным подходам НПА более высоких уровней. Исходя из этих целей, и с учетом обстоятельств, в которых все мы, в том числе регулятор, находимся, задача выполнена достаточно эффективно.
2) Что делать дальше? Ответ напрашивается сам собой - если подобная инициатива регулятора будет практиковаться и дальше, то экспертному сообществу необходимо организовываться в вопросах формирования и представления своих мнений. По поводу теоретической базы ИБ (так сказать её парадигмы) вопрос очень сложный, и если реально смотреть на вещи, то решить его получится не сегодня и даже не завтра. Главное, что нужно делать сейчас - это сохранить и укрепить тенденцию сотрудничества между регулятором и экспертами.
Ну и ещё одна маленькая ремарка, не могу без техчасти. Алексей Лукацкий говорит, что определение типа угроз, актуальных для ИС (угрозы, связанные с наличием НДВ) будет выполняться исключительно оператором. Но мне не дает покоя формулировка "и в соответствии с НПА..." п.7 ПП 1119. Вот пока не увижу окончательных документов ФСТЭК, и что в них НЕ указывается для кого какой тип угроз устанавливается, буду в этом сомневаться ))).
Считаю, что инициатива сбора мнений специалистов верная. Однако проблема отрасли - отсутствие переваривания мнений специалистов сначала в отраслевой среде, перед отправкой в ФСТЭК. Так и получается, что свои "сырые" мнения отправляются, а обрабатывать их тяжело. Было бы правильным, когда специалисты группами обсуждают предложения, избавляют их от "сырых" мнений и укрепляют обоснования совместно принятых.
ОтветитьУдалитьПоддерживаю...
Удалить>Было бы правильным, когда специалисты группами обсуждают предложения, избавляют их от "сырых" мнений и укрепляют обоснования совместно принятых.
ОтветитьУдалитьНе получится при данном лимите времени.
За неделю-две успеваешь только свои комментарии написать. А учитывая, что в данном случае еще и конец года, так вообще еле успеваешь...
Первые 12 листов моих замечаний я, правда, за 2 дня до окончания срока вывесил - http://dlp-expert.ru/blog/1765/38885
Значит надо выступить с обращением к регулятору на предоставление большего времени для подобных акций. Плюс, например, месяц в плане сроков принятия ситуацию не ухудшит, а в плане обсуждения сильно облегчит работу.
УдалитьIMO лучше бы они сделали форум, где можно было бы вести обсуждение
ОтветитьУдалитьЕще года 3 назад предлагал, а воз и ныне там...
Думаю, что регулятор не хочет или не может нести накладные расходы по его сопровождению. Проще самоорганизоваться, реально получится быстрее. Выбрать площадку с хорошей репутацией.
Удалить