Садитесь поудобней. Сегодня я расскажу вам об одном интересном закрытом ГОСТе:
- ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения.
Так, стоп! "Термины и определения"? Закрытый ГОСТ? Что секретного может быть в терминах и определениях, чтобы скрывать их от 99% отечественных компаний и специалистов?
Ведь чтобы получить этот ГОСТ нужно:
- узнать о его существовании;
- получить лицензию ФСТЭК/ФСБ на работу со сведениями ограниченного доступа;
- отправить заверенные копии лицензий во ФГУП СТАНДАРТИНФОРМ или в РОСОБОРОНСТАНДАРТ, приложив письмо от руководителя организации с просьбой продать этот документ;
- оплатить документ и его доставку спецсвязью;
- подождать пару месяцев пока бюррократический аппарат переварит ваши бумаги и извергнет из своих недр желанную посылку.
Не многовато ли для обычных "терминов и определений"? Давайте-ка посмотрим что внутри.
Ну собственно сами термины и определения (6 страниц), алфавитный указатель и картинка-схема связи терминов между собой. Всё. Термины самые обычные: безопасность КСИИ, угрозы КСИИ, оценка защищенности КСИИ и так далее.
Получается, что государственный НИИ совместно с ООО НПФ Кристалл разработал за наши деньги обязательный государственный стандарт, состоящий из 6 страничек самых обычных терминов и определений, и теперь успешно его нам продаёт.
Отличная бизнес-модель!
Но как им это удалось?
Ответ есть в самом документе.
Заветным росписком пера, стандарт попадает в один ряд со стандартами по проектированию оборонки, а, следовательно, на него можно смело вешать гриф ДСП и торговать цветными книжечками.
Теперь у бумажного безопасника появилась прекрасная возможность отвечать всем пентестерам АСУ ТП: "Да что ты понимаешь в защите АСУ ТП, если ты даже определения безопасности информации в КСИИ не знаешь!?".
А нам с вами остается в очередной раз удивляться глубине того окопа, в котором сидят некоторые наши законодатели.
Что еще почитать?
Да в правилах дорожного движения, практически тоже самое - пока не купишь(не одолжишь) и не осилишь книгу, за руль не пускают.
ОтветитьУдалитьБюрократия - она во всём такая. Часто, проще работать в другой стране, чем бороться с боровом.
Анонимный: аналогия не совсем верна.
ОтветитьУдалитьЕсли проводить параллель в автомобильный мир:
чтобы получить книжечку с правилами дорожного движения, вам сначала надо пройти пятилетний курс обучения, потом купить специальные очки за 100 тыс. рублей, получить лицензию "читателя правил дорожного движения", потом заказать книжечку в единственное организации в России и ждать 2-3 месяца.
Артем, так ты и до святого доберешься, ГОСТ РО 0043-004-2013
ОтветитьУдалитьАртем, а что такое "лицензия ФСТЭК/ФСБ на работу со сведениями ограниченного доступа"? И кем она все-таки выдается? И на основании чего? Если можно, ссылочку на 99-ФЗ и ПП.
ОтветитьУдалитьЭто собирательное название для тех лицензий ФСТЭК/ФСБ, которые СТАНДАРТИНФОРМ считает достойными для покупки закрытых ГОСТов.
УдалитьНет таких лицензий
ОтветитьУдалитьЛицензий нет, а закрытые госты есть.
Удалитья бы предложил обратить внимание на фразу через три слова после выделенного желтым, она является ключевой.
ОтветитьУдалитьА как предприятию готовиться к аттестации, если госты закрытые? как их прочитать?
ОтветитьУдалитьАттестацию проводит лицензиат. Он же, обычно, и готовит всё к аттестации.
УдалитьЭто сакральная процедура и всё сделано для того, чтобы не подпустить к ней непосвященных :(