簡単な紹介
悪名高い152連邦法は、システム管理者である兄弟にとって大きな頭痛の種でした。 紙の上でさえ、情報セキュリティの分野でのロシアの法律は多くの疑問を提起し、実際にいくつかの問題を解決することになると...ここではすべてが非常に悲しくなります。
私は個人的に、この記事を、規制、誘導路、および単純な技術者には完全には明らかではない他の恐ろしい言葉のこの巨大な暗い領域の小さな光線と考えています。 私の意見では、経営者に有益な情報を伝えるために技術専門家にとっても、お金を節約し、あらゆる種類の紙の本当の価格を知っているまともなリーダーにとっても、それは理にかなっています。
おなじみのトピックですか? それから猫にようこそ。
各製品に認定を与えてください!
merced2001のおかげで、彼は記事に対して賢明なコメントを述べました。
この記事は暗号化認証の微妙な点を扱っておらず、州および地方自治体の情報システムには適用されないことにすぐに注意します。 この記事は入門記事であり、読者に思考の糧を与えることを目的としているため、おそらくこのトピックを理解することにつながるでしょう。 だから今、明確な良心をもって、あなたは続けることができます。
当初から、証明書のアイデアは非常に理解しやすいものでした。少なくとも何らかの形で技術条件または規制当局の特定の要件への準拠を保証するためには、認証手順
PP 1119が登場しましたが、何が変わったのですか?
実際、認証された製品でインフラストラクチャの完全なカバレッジを積極的に促進する政府機関は、最大の脅威になっています。 そして、そのような脅威があるので、それを無効にするか、被害を最小限に抑える必要があります。
PP 1119の規則はわずかに緩和され、通常の企業の手が解放されたことに留意する必要があります。FSTECとFSBは、これらを美しく「個人データオペレーター」と呼んでいます。
ちなみに、これらの州の組織に対抗する最初の方法は、最もクリーンで、法的で、低コストで、同じ個人データのセキュリティを低下させることです。 ここでは、データベース内のこのデータを混合するアルゴリズムを考案した数学者と、たとえば1Cの「障害」フィールドを「特権」に置き換えて生体データを回避することを提案した監査人の両方が試みました。
間接的に、これはさらにインフラストラクチャを整理しますが、これはもちろん良いことです。
しかし、これは最上位であり、まさに「肉」であり、認定製品を使用する理由です。 すでに述べたように、私たちの法律には、連邦法152および連邦法1119 FSTECの「適合性評価手順」などの文言があり、喜んで報告されています 。 しかし、実際にはそうではありません。 法的には、彼らは正しいです;認証は確かに適合性評価手順ですが、これはそのサブセットにすぎません。
FZ 184に目を向けると、次のようになります。
適合性評価-施設の要件へのコンプライアンスの直接または間接的な決定。
適合性評価は、州の管理(監督)、認定、試験、登録、適合性確認、施設の建設と完成が完了した別の形式で実施されます。
したがって、受け入れと試運転は、情報セキュリティのための手順を開発していれば、かなりの適合性評価手順です。 また、いずれの場合もすべて合格するため、既存のツールを可能な限り効率的に使用してください。
このアプローチには、かなり具体的な利点があります。
お客様に最適な製品の使用であり、少数の認定製品からの選択ではありません。
特定のサプライヤへのバインドの欠如。これは、標準的な手順を実行するだけで、常に新しいものに切り替えることができるためです。
これにより、旗のように印刷された紙を振るだけでなく、タスクを効果的に解決できるフリーソフトウェアとそれらの製品の使用を正当化するために、全員の手を自由にします。 スノーデンの声明の後、特に最近のオープンソースソフトウェア。
ちなみに、マイクロソフトの元プライバシー責任者であった思考の糧は、 現在はフリーソフトウェアのみを信頼しています 。
次の記事では、私たちの法律の新しい標準に基づいて、オープンソースソフトウェアを使用して企業で情報セキュリティを提供する方法について説明します。 時間があれば、おそらく文書テンプレートでも。