Комментарий к посту С.Борисова «Общее. Отчет о высокоэффективной деятельности ФСТЭК за 2015 год»

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(1)
()
Опубликовано в:

Вчера Сергей Борисов разместил пост под заголовком «Общее. Отчет о высокоэффективной деятельности ФСТЭК за 2015 год».

Прочитал с интересом и в целом мне понравилось. За исключением двух моментов, на которые я начал писать свои комментарии. Но они получились довольно пространными и в окно для комментов не уместились. Попытался разбить по частям, получилось «не очень». Поэтому решил разместить их в виде самостоятельного поста.

Сергей!

1. Критика в плане количества проверок, проведённых ФСТЭК, мне представляется, не очень справедливой. При тех окладах, которые у них есть (не знаю про центральный аппарат, а в регионах – на уровне прожиточного минимума) и копеечных командировочных (не знаю, как сейчас, а в мою бытность – однозначно, и, думаю, мало, что в этом плане изменилось) они – сотрудники управлений – ещё умудряются ездить по городам и весям с аппаратурой и неделями торчать на объектах. При этом ни для кого не секрет, что главные объекты контроля – органы власти и предприятия ВПК. Того персонала, что есть, не хватит, даже чтобы свои собственные нормативы по периодичности проверок выполнить.

Конечно, нужно в корне менять подходы к организации деятельности, адаптировать её к современным реалиям. То ли не могут, то ли не хотят. Но это другой вопрос.

При этом ФСТЭК остаётся, с моей точки зрения, образцом проведения проверок. Сказывается потенциал, заложенный отцами-основателями Гостехкомиссии. Проверка ФСТЭКа – это вам не проверка Роскомнадзора. По себе знаю. Прошёл и то и другое в статусе проверяемого. За уровень подготовки специалистов порадовался. А вот уровень полномочий оставляет желать лучшего. Что толку в нынешних проверках? Имею основания утверждать, что подавляющее большинство потенциальных объектов контроля – злостные нарушители РД и НМД в области ЗГТ, не говоря уже о ДСП, ПД, КТ и прочей Т. Особенно органы власти. Конечно, и здесь «палка о двух концах»: с одной стороны – требования ну просто … абсурдные, невыполнимые, родом из прошлого века, с другой стороны – полномочий никаких. Им бы пару-тройку самых злостных нарушителей из органов власти взять и посадить (не стрелочников, а именно руководителей), а потом на всю страну погромче об этом протрубить. Вот тогда (да и то, может быть) дело бы пошло. Хотя я считаю, что от очных плановых проверок давно уже пора отказаться. Мониторить – нужно, проверять – только по факту нарушения или предпосылок к серьёзным нарушениям, выявленных по результатам мониторинга.  

2. Меня не перестаёт удивлять, как можно делать такие выводы: «В плане ИБ нас интересует 2 направления…», - когда из перечисленных выше функций ФСТЭК, следует, что ФСТЭК не занимается проблемой информационной безопасности?!

Цитата из поста: «ФСТЭК является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

  • безопасность информации в ключевых системах информационной инфраструктуры, в том числе КВО;
  • противодействие техническим разведкам;
  • техническая защита информации;
  • осуществления экспортного контроля».

Ну ни слова, ни полслова об информационной безопасности. Что, кстати, делает ФСТЭК честь. Чего нельзя сказать о тех, кто занимается подменой понятий.

Вы знаете, что подмена понятий – один из методов ведения информационных войн? Получается, что Вы и многие другие «специалисты в области ИБ» являетесь одними из самых серьёзных источников угроз информационной безопасности субъектов информационной деятельности (проще – людей, граждан России), потому что постоянно подменяете понятия. Я уже как-то писал об этом: http://bis-expert.ru/blog/4042/45922. Хочется верить, что делаете Вы это не сознательно. Просто не придаёте этому должного значения. Но результат-то от этого только усиливается. Неужели так трудно понять, что американский термин «information security» это не «информационная безопасность», а «охрана информации», «защита информации», но не «информационная безопасность»? И что подмена эта не так безобидна, как Вам представляется?

 

В остальном критика (особенно в плане разработки НПА) представляется вполне справедливой и конструктивной. Хотя, если документы, о которых идёт речь, появятся, появятся и вопросы к их качеству. Нужно кардинально менять парадигму! Нужно кардинально менять подходы! И не только ФСТЭК, но всем структурам, призванным обеспечивать безопасность индивидов, организаций, государства.

Оцените материал:
Total votes: 555
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Анна Христолюбова

Про недостаточность полномочий - в самую точку! Знаю, реальные ситуации, когда и нарушение на лицо, и канал создан, а сделать ничего нельзя, так как наказание за срыв сроков по ГОЗ и т.д. гораздо больше. И опять же, ФСТЭК в таком положении - как "пчелы против меда", бюджет-то МО.

up
13 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.