Security Lab

Кто сертифицирует сертификаторов?

Кто сертифицирует сертификаторов?
Положим, произошла утечка. Однако информационная система, из которой утекло, оказалась сертифицированной на соответствие неким требованиям безопасности. Кто виноват? Почему так вышло?

Вариант первый: сертификат – туфта, получен за взятку. Вариант второй: сертификатор – шарлатан, не проверил всё, что нужно. Возможен, однако, и третий: требования неадекватны, их исполнение не помогает защититься.

Если встанет вопрос о поиске виновного, то предстоят разборки между тремя субъектами: владельцем ИС, сертифицирующим органом (или кто там реально проводил проверку) и нормотворцом. Каждый из них постарается запутать ситуацию в свою пользу. На непредвзятое расследование надежды мало.

Парадоксально, но здесь может помочь безответственность. Если создатель стандарта, приказа, РД, иного предписывающего документа не несёт ответственности за свою работу, он может выступить арбитром. И исправить то, что послужило причиной инцидента: плохой документ, плохую сертификацию или плохую эксплуатацию.

сертификация аутсорсинг
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

InfoWatch

Блог компании infowatch infowatch.livejournal.com