пятница, 8 июля 2011 г.

Ну что тут сказать, в ответ на письмо Вихорева С.В.

Открытое письмо Вихорева С.В. - тут. Для того, что бы понимать, кто это, нашел его краткую автобиографию тут.

В ответ на его письмо хочу сказать: "Пока мы будем применять методы и способы защиты информации, с характерными признаками "совка", то мы будем защищать непонятно что, непонятно от чего и непонятно как".

При всем моем уважении к господину Вихореву, хочу еще добавить:
1. Почувствуйте разницу - защищать информацию и защищать информацию сертифицированными средствами. По моему господин Вихорев не совсем понимает разницу и откровенно говоря лукавит когда говорит о том, что у большинства уже все защищено. Защищено, но не сертифицированными средствами. А сертифицированные средства - это финансовые затраты независимо от того что и чем вы там защищали ;).

2. Когда господин Вихорев говорит о том, что те кто подписался не хотят работать, видимо он совсем не знаком с этой группой специалистов, пусть посмотрит их блоги и подумает над тем, что все эти специалисты (каждый в соей области финансы, производство, социальная сфера) не просто группа взбунтовавшихся студентов, а уважаемые люди, среди которых есть и CISA и CISSP и CISM и специалисты с ученой степенью, которые по мимо своей текущей работы, стараются предлагать новые подходы к вопросам ИБ и в целом, ставить направление ИБ на инновационные рельсы.

3. По ст. 19 - надо ждать соответствующих ПП и тогда разговаривать, но если получиться так, что Правительство РФ поручит установить уровни защищенности ФСТЭК России, то документы останутся прежние, а про уровни защищенности по документам ФСТЭК России я уже писал тут и тут. Коротко: если мы будем оценивать защищенность ИСПДн по наличию многопользовательского режима доступа к ней, а не по существующей системе разграничения прав доступа и контроля действий пользователей, то извините меня, по меньшей мере это не корректно.

4. По п. 18-1 давайте не выделять жирным, а дочитывать до конца: ",если иное не предусмотрено настоящим Федеральным законом или другими Федеральными законами". Как раз в ФЗ № 152 и предусмотрено другое в следующем абзаце ;). Я буду очень рад, если при проверки Вашей организации регуляторы будут выделять жирным те же вырванные из контекста фразы.

Далее судите сами.

PS: Это на сколько нужно не уважать своих коллег по цеху, что бы писать "вы" с маленькой буквы ;).

5 комментариев:

Michael комментирует...

Обычная подмена понятий в письме. "Все защищено согласно закону" и "все защищено".

Он думает, что выход закона не потребует сделать все с нуля? Именно так и получается для многих: выбрасываешь старые средства защиты, соотвествующие реальным угрозам, ставишь новые, "прошедшие оценку соответствия"

Не забываем, что автор ответа - представитель интегратора. Сколько я видел представителей данного интегратора - они всегда сидят рядом с регуляторами и высказывают согласовванную позицию. Слова говорят правильные, но цену этих слов никто не оценивает...

Сергей Ерохин комментирует...

Если учитывать что он заслуженный работник Гостехкомиссии (ФСТЭК) то можно понять его поддержку регуляторов + он участвовал в разработке нормативной документации по защите конфи + представитель интегратора :).

Ригель комментирует...

По нормам русского языка "Вы" пишется в единственном числе второго лица, а Вихорев обращается к группе.

Сергей Ерохин комментирует...

Да вкурсе, просто я бы например руководствовался бы уровнем уважения при выборе маленькой или большой буквы :)

Сергей Ерохин комментирует...

, например, ;)