20 февраля 2012 г.

Врачу, исцелися сам

Вы поверите дерматологу, лицо которого покрыто сыпью и струпьями? Пойдете к стоматологу, от которого надо отойти на пару метров, чтобы не чувствовать запаха его зубов?
Извините за натурализм, но иные аналогии не приходят в голову, когда приходится знакомиться с документами компаний, особенно выплеснувшихся на рынок информационной безопасности в последние годы и продвигающих свои услуги на поляне, расчищенной государственным регулированием.
Иногда хочется найти руководителя или владельца компании и приватно сообщить ему: «Юрист твой – враг твой». Неграмотность в вопросах, которыми занимается компания, где такой юрист работает, может свести на нет все усилия специалистов, затраченные на пресейл. Например, в договоре на оказание услуг по защите информации ограниченного доступа компания-исполнитель предлагает заказчику принять на себя ответственность за охрану конфиденциальности сведений, указанных в договоре. Хотелось бы только понять, зачем это заказчику, и какие именно тайны исполнителя надо строго хранить?
Или исполнитель настаивает на обязательстве обоюдно защищать конфиденциальную информацию. Принесшей на рынок знания и навыки своих консультантов компании-исполнителю неплохо бы разобраться с законодательством и выяснить, что понятия конфиденциальной информации нет ни в одном законе, а исполнитель, судя по определению, предлагаемому в договоре, относит к таковой исключительно сведения, составляющие, в соответствии с формальными признаками, коммерческую тайну, но тщательно этого термина избегает (видимо, потому, что режима коммерческой тайны не установил или установить не умеет).
В коммерческом предложении на выполнение работ по персональным данным упорно отстаивается тезис об обязательности получения письменного согласия субъекта на любую обработку персданных и обещается научить заказчика способам получения «правильного» согласия на все случаи жизни. Почитать ФЗ-152 и выяснить, что согласие – всего лишь одно из одиннадцати законных оснований обрабатывать персональные данные, новоявленным консультантам некогда, поскольку надо деньги зарабатывать. Как и некогда выяснить, что в законе «О персональных данных» всего пять случаев получения согласия в письменной форме, а в остальных ситуациях оно должно быть просто доказываемым. Любым разумным способом.
В предложении на построение системы защиты коммерческой тайны говорится об обязательности аттестации информационной системы заказчика как финального аккорда всей работы «по приведению в соответствие», хотя аттестовать можно только объект информатизации, и для коммерческой тайны этого вовсе не требуется, да, и если говорить честно, невозможно в принципе. Но положение Гостехкомиссии аж 1994 года читать в лом, да и не выгодно – на аттестации можно нарубить еще денег.
Менеджер по продажам, приехавший вместе с инженером «ломать» заказчика на установку антивирусов производства компании А, упорно «не замечает», что на принесенных ими ноутбуках в трее свернут значок антивируса производителя Б. Чего, спрашивается, тогда толкаете А?
Инженер, настаивающий на обязательности установки для удаленного доступа в систему заказчика только сертифицированного клиента системы криптографической защиты, в ходе демонстрации втыкает в свой ноут токен, поднимает https и на голубом глазу демонстрирует эффективность использования продвигаемого решения.
Представитель вендора, убеждающий  применять шифрование дисков на мобильных устройствах, выносимых за пределы охраняемой территории, приходит на встречу с планшетом, на котором записаны все параметры предлагаемого решения, внутренние цены, типовые договора и особые условия поставки, с которыми он периодически сверяется, продвигая предложение. Естественно, без всякого их расшифрования.
И так до бесконечности.
У продвинутых заказчиков, которых с каждым годом становится все больше, вслед за Станиславским из груди невольно рвется «Не верю!». Но они на переговорах тактично и воспитанно молчат. Только не надо удивляться, что коммерческое предложение не принято, а проект договора возвращен после вроде бы успешных переговоров с категорическим отказом обсуждать работу в дальнейшем. Помешали сыпь на лице дерматолога и перекошенный костюм модного портного.

6 комментариев:

  1. аттестовать можно только объект информатизации, и для коммерческой тайны этого вовсе не требуется, да, и если говорить честно, невозможно в принципе.
    //разве АС - не объект информатизации? У ФСТЭК, если не ошибаюсь, даже отдельная ДСП методичка была по защите КТ. Другой вопрос - зачем её аттестовать, по практике, это делается для прикрытия уязвимых мест отделов ИБ :)

    ОтветитьУдалить
  2. Нет, не совсем одно и тоже. "Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров" (ГОСТ Р 51275-2006).
    Т.е. еще и помещения, и ВТСС. Всякие там системы электропитания, заземления, кондиционирования.
    А методичка есть. Но даже там, насколько я помню, аттестации не требуется. И прикрыть аттестацией ничего нельзя - патч накатили, клаву или мышку поменяли - и нет вашего аттестата.

    ОтветитьУдалить
  3. ..тем не менее ФСТЭК выпускаются НМД, в которых упоминается аттестация ИСПДн и АС :)

    ОтветитьУдалить
  4. Мало что выпускаются, еще и аттестуются. Тут надо :'((((((

    ОтветитьУдалить
  5. Так уже вовсю :-(((((((
    Особенно после почивших в бозе первых двух частей четырехкнижия

    ОтветитьУдалить