20.02.2014

Русский путь

Надо констатировать, что отечественная защита информации де-факто обрела долгожданную методологию. Когда рождались требования ФСТЭК для ГИС, ставшие затем 17 приказом, то не были восприняты как всех касающиеся – какие-то замечания и предложения получили, но широкой дискуссии не вызвали. Затем их внезапно переделали в требования для ИСПДн, и тут многие уже просто не успели среагировать, только хмыкнули: как, однако, ФСТЭК выкрутилась. Сейчас же, глядя на следующую инкарнацию для АСУТП, окончательно ясно, что у нас теперь свой способ организации лунных модулей, который предстоит любить и жаловать во всех местах.

Воспринимая последний документ в этом расширенном качестве, должен сказать, что вообще-то все срослось: российский аналог имеет хорошей полноты номенклатуру мер, основанный на анализе угроз (рисков) процесс выбора, а циклы действительно являются циклами. Можно было иначе, но миссия выполнена, ФСТЭК справилась вполне и вовремя, новоогаревский стейкхолдер должен быть доволен.

По правде говоря, им, как технарям, было заведомо проще, чем более идеологизированным конторам (взять вон Иванова, рожающего принципы культурной политики к апрелю), т.к. нет задачи нераздражающим образом облокотить свою идейную платформу на христианство, справедливость и трудолюбие, в качестве возврата к родным ценностям сойдет смена классификационной квадриги на тройку, как имперское наследие – оценка соответствия СЗИ, а с византийским каноном пущщай себя крипторегулирующие коллеги как-то увязывают. Но это не повод преуменьшать значимость сделанного.

Принципиально нехороша буквально пара моментов.

Во-первых, не секрет, что при определенной ловкости от любой защитной меры можно отскочить (волшебные слова: «непосредственно не связано» и «уже скомпенсировано»). Не 100%, что проверяющий пропустит, но он может. Поэтому такие «надсистемные» вещи как разработка правил и процедур, планирование мероприятий или переанализ рисков надо было выносить из Приложения 2 в главу II основного текста. Иначе ушлый народ завсегда обоснует, что у него нет такой угрозы, при которой это надо.

Во-вторых, многие меры, должные образовывать пакеты, «бандлы», перечислены как независимые. В результате теоретически возможно осуществлять контроль целостности, но не иметь такой процедуры, или наоборот – процедуру контроля завести, а от самого контроля косить. Или, скажем, процедуру обработки инцидентов создать, но исполнителя по ней не назначить.

Есть также несколько детских казусов, которые кроме как недоразумением объяснить нельзя. Например, 21-ый пункт вдруг предлагает нейтрализовывать все угрозы, т.е. даже имеющие копеечные последствия и бесконечно малую вероятность, 14ый требует два раза оформлять анализ целей и выбор объектов защиты – и на стадии принятия решения, и на стадии определения требований, а в 15-ом ТЗ на создание системы защиты делается раньше выбора образующих ее мер.

Загвоздка в том, что ФСТЭК слишком далеко зашла, чтобы вносить сейчас реальные правки, и готова принимать только придирки по мелочам (да не все мы на них способны), а на остальное имеет анекдотичный ответ: «Где ж ты был, когда тебя не было?». Копить же замечания на 2016 год, когда будет обсуждаться вторая редакция, тем более бессмысленно – хорошая бага и так вылезет, шило в мешке никто не отменял. Поэтому надо выдохнуть и радоваться тому документу, который уже есть, и обещанию более частого пересмотра, чем был у РД 89-го года.

Стартовая позиция в нем хорошая, близкая к отличной. Авторы могут отметить День защитника Отечества – он их.

Комментариев нет:

Отправить комментарий