|
На голосовании за конституцию люди разделились на три части: те, кто за вариант Верховного Совета, те, кто за вариант президента, и те, кто читал оба варианта.
Анекдот времен приема первой конституции
А не посрывать ли нам покровы? Зачастую, работая с клиентами, приходится вместо нормального обсуждения имеющейся в организации или компании ситуации ломать мифы. Кто говорит их с усмешкой, кто изрекает истиной в последней инстанции, но пару раз в неделю точно приходится с тяжелым вздохом и тщательно скрываемым озверением внутри повторять одно и то же.
«Мы точно знаем, что вы пишете вирусы — это же вам выгодно!» Или как вариант называют процент вирусов, написанных по нашему заказу в Китае, названный знакомым, ездившим в Китай. В Китае-то это точно не секрет! Совершенно непонятно, почему такой убежденности не существует для фармацевтических компаний или автопроизводителей — им ведь тоже выгодно как можно больше выпускать своих продуктов и как можно чаще их обновлять.
«Нам нужен продукт, сертифицированный по 152-му!» Сейчас уже не хит, но раньше с этим вопросом звонили постоянно. Не бывает. Федеральный закон № 152-ФЗ «О персональных данных» и подзаконные акты к нему описывают требования к СЗИСПДн — системе защиты персональных данных. В рамках этих требований должна быть защита от вирусов, защита от атак, система распределения доступа, но аттестоваться по этим требования должна сеть, а не конкретный продукт. Закону без разницы, чем защищаться от тех же вирусов — хоть вручную их выковыривать. В силу отсутствия требований к антивирусным продуктам все они проходят сертификацию на ТУ и НДВ — то есть на соответствие техническим условиям и отсутствие недекларированных возможностей. По сути это означает, что продукт должен делать только то, что написано в его документации — и больше ничего. Под напором мифа производители антивирусов добились получения писем, в которых говорится, что их продукты «могут использоваться в системах защиты персональных данных». Но ни о каких сертификатах на соответствие мифическим требованиям, имеющимся в законе, речь не идет.
«Хотим продукт, сертифицированный по ФСТЭК и ФСБ!» Тоже хит, идущий от того, что на сайтах производителей размещаются сертификаты, гласящие о наличии для продуктов сертификатов ФСТЭК/ФСБ/МО. Но все дело в том, что, как правило, это физически разные дистрибутивы, собранные под наблюдением и зачастую в присутствии специалистов соответствующих сертифицирующих органов. Да, они имеют одинаковый функционал, и к ним подходят одни и те же лицензии, но распространяются эти дистрибутивы совершенно по-разному. Дистрибутивы продуктов, имеющих сертификаты ФСТЭК, как правило, распространяет вендор, а вот дистрибутивы продуктов с сертификатом ФСБ распространяет соответствующая в/ч. То есть если клиенту нужен сертифицированный дистрибутив, то он покупает лицензию, а затем, если ему нужен сертификат ФСТЭК, то он через вендора получает коробку с дистрибутивом, а если ФСБ — обращается в в/ч.
«Где можно скачать сертифицированный дистрибутив?» Нигде. Сертифицированные дистрибутивы по правилам распространяются только на дисках.
«Я поставил антивирус и выполнил все требования 152-го!» Требования закона подразумевают, что оператор должен составить свою частную модель угроз и в соответствии с ней выбрать средства защиты. Как правило, для К3/К2 достаточно установки антивируса, файервола и системы распределения доступа. Поскольку в современных антивирусах все это так или иначе присутствует, то заявление вполне имеет право на жизнь, хотя я бы добавил корпоративный файервол.
А какие мифы назовете вы? |
О мифах и мифотворчестве
25.01.2014 - 09:45 |
beralex
