Bitcoin Forum

Хромов Михаил

страшное произошло не вчера, и ФСБ ситуацию только усугубила (а то прямо кто-то полагал, что она наоборот поступит?).

Обречен сам подход, при котором каждый оператор должен решить систему уравнений из 261-ФЗ, 1119-ПП, обоих приказов и пристегнутых к ним ПКЗ-2005 с Базовой моделью / Методикой ОАУ 2008. И не потому что он ее в массе своей правильно не решит, а потому что половина и решать не будет (а когда одни не будут, то и другие не будут – знаете же, как мусор бросают, где набросано, и на забитый перекресток выезжают). И вытянуть это порками нереально: тут не народ злонамеренный, а система чересчур мозголомная.

Шансы были бы, если все написать естественными парами «доступная для народа посылка – доступный для народа вывод», типа такого:

    обрабатываешь спецкатегории – защиту должен строить лицензиат;
    распределенная ИС – штатный специалист, прослушавший сто часов;
    не хочешь кормить отечественных авторов ПО – будешь кормить отечественных авторов СрЗИ;
    ходишь через Интернет – двойная аутентификация;
    пароль без звездочек – отдельное помещение;
    несертифицированная ось – плюс 2 класса к криптосредству;
    и т.п.

А вы как сделали? Вы ему саму науку отвалили фактически.

Представим, что повысилась в стране и мире сейсмическая опасность, и вообще маленько в этой теме от просвещенной Европы отстали – возникла задача поднять сейсмическую защиту общественных зданий. И падает на всех универсальный талмуд, по которому можно АЭС на Камчатке и небоскреб в Саянах проектировать, и приходит тот в сельский клуб с секцией пилатеса. Формально все хорошо: никто же не заставляет сельский клуб до уровня небоскреба демпфировать, нужно просто правильно оценить геологические условия и вообще понимать, что происходит при взаимодействии строительных объектов с трясущимся основанием - просто посчитайте на своих данных и все получится. Угу.

Для КСИИ/КВО это уместный подход: там операторы могут изыскать необходимые ресурсы, даже если не хочется, а в обработке персданных мелких операторов миллионы. По-хорошему, их надо было 1119-ым постановлением аккуратно в 4-ый уровень отсечь и прописать для того защиту практически по мироощущению, но нет. Больше того, сейчас серьезный оператор (свыше 100 тыс. не работников) обосновывает 3 тип актуальных угроз, ибо режимные меры, и купленная коробочка с российским софтом на полке лежит, и счастлив со своим 3 уровнем, а комп в турфирме (седьмая винда, приходящий админ, данные меньше 100 тыс. не работников шлются аутлуком гостиницам/авиаперевозчикам) начитавшиеся Сноудена запросто к 1 уровню относят. И печатают эти ваши ПКЗ с Базовой моделью, и осиливают несколько страниц, и понимают, что принимают риски проверки уполномоченным органом.

Работает система государственной защиты прав и свобод человека и гражданина при обработке его персональных данных? Смотря какой критерий использовать.

И что?