Регулятор оффлайн

Регулятор оффлайн
Многие, наверное, читали или слышали про нововведения в 99-ФЗ "О лицензировании отдельных видов деятельности", посвященные возможности подачи документом на получение лицензий в электронном виде. Не знаю, много ли лиц прошли эту процедуру, но я подумал, что эта здравая идея (коль скоро у нас власти заявляют о работающих СМЭВ, портале госуслуг и, вообще, информатизации всей страны) может быть развита и дальше, особенно в области действия "наших" традиционных регуляторов - ФСТЭК и ФСБ; причем последней в первую очередь.

О чем идет речь? Ну, во-первых, коль скоро у нас ФСБ (а именно 8-й центр) активно занимается темой защиты персональных данных, то неплохо было бы привести и свой сайт в полном соответствие с законом и своими же методическими документами. А то получается забавная ситуация, которая неплохо описана  у Михаила Брауде-Золотарева. Ее можно описать перефразированными словами Оруэлла из "Скотного двора" "все операторы ПДн равны, но некоторые равнее других". И эти некоторые - это госорганы, которых фиг заставишь выполнять обязанности по защите прав граждан, как субъектов персональных данных. Я про это уже писал . Про реальные действия основного защитника прав субъектов ПДн также написано немало . Так что то самая простейшая тема по защите ПДн при обращении в госорган нашими регуляторами реализуется из рук вон плохо (чего уж ждать от тех, кто в этой теме только гость).

Вторая тема связана с сертификатами на средства защиты, выдаваемые ФСБ и ФСТЭК. Ну чего проще - выкладывать на сайт регулятора не только выписки из сертификатов (кому выдан и на что), но и сканы самих сертификатов соответствия, а также контрольные суммы сертифицированных продуктов, номера голограмм и серийные номера сертифицированных изделий. Ведь в чем одна из проблем, которая возникает у потребителя средств защиты - удостовериться, что ему продают сертифицированный экземпляр. А он сейчас проверить этого не может до момента покупки. А в процессе эксплуатации, когда обновления на средства защиты ставятся пачками, он тем более уже не в состоянии ответить на вопрос: "Установленное обновление сертифицировано или нет?" А ведь без этого потребитель рискует попасть на нарушение статьи 13.12 КоАП об использовании несертифицированных СЗИ (аккурат сегодня будет обсуждать законопроект об увеличении штрафов по этой статье).

Да и целостность самого реестра сертификатов, который то в формате Excel, то в формате PDF, неплохо бы удостоверять чем-то похожим на электронную подпись, хотя бы и простую. А можно и вовсе пофантазировать и представить, что и сами сертификаты у нас выдаются в электронном виде и потребителю не приходится ждать неделю, две, пять, пока "Почта России" не доставит сертификат и сопутствующие документы.

ФСТЭК сейчас планирует менять положение о сертификации средств защиты информации и вводить дифференцированный режим в зависимости от типа обновления (сигнатуры атак и вирусов, патчи для уязвимостей, обновление, не влияющее на функциональность защиты и т.д.). И вот тут в полный рост встанет задача оперативного доведения до потребителя информации о том, что средство защиты, обновленное после установки патча, по-прежнему обладает сертификатом ФСТЭК, который был перевыписан тогда-то и контрольные суммы в сопутствующих документах такие-то. Если ждать, когда традиционным путем сертификат из ФСТЭК попадет в испытательную лабораторию, потом производителю, потом поставщику, а потом и потребителю, то пройти может много времени. А если в этот момент придет проверка или начнется аттестация?..

Что у нас дальше можно автоматизировать? Ну в идеале было бы неплохо автоматизировать взаимодействие с гражданами. Но не просто путем выдачи сообщения после нажатия кнопки "Отправить" в незащищенной Web-форме, а путем присваивания уникального номера моему запросу и возможности отслеживания его состояния с возможностью эскалации начальству, если какое-либо звено тормозит и не выдерживает установленные сроки ответа. Это была бы вершина автоматизации наших регуляторов, которым по статусу положено быть впереди всех остальных по части информатизации (может быть, исключая Минкомсвязи и его подведомственные структуры).

Но увы... Регулятор у нас по-прежнему оффлайн и зеленый свет зажжется, видимо, не скоро.

ЗЫ. Можно рассматривать этот пост как пожелания регуляторам; и не только ФСБ и ФСТЭК ;-)
оценка соответствия ФСТЭК ФСБ
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь