3 Января, 2012

Кто сертифицирует сертификаторов?

InfoWatch
Положим, произошла утечка. Однако информационная система, из которой утекло, оказалась сертифицированной на соответствие неким требованиям безопасности. Кто виноват? Почему так вышло?

Вариант первый: сертификат – туфта, получен за взятку. Вариант второй: сертификатор – шарлатан, не проверил всё, что нужно. Возможен, однако, и третий: требования неадекватны, их исполнение не помогает защититься.

Если встанет вопрос о поиске виновного, то предстоят разборки между тремя субъектами: владельцем ИС, сертифицирующим органом (или кто там реально проводил проверку) и нормотворцом. Каждый из них постарается запутать ситуацию в свою пользу. На непредвзятое расследование надежды мало.

Парадоксально, но здесь может помочь безответственность. Если создатель стандарта, приказа, РД, иного предписывающего документа не несёт ответственности за свою работу, он может выступить арбитром. И исправить то, что послужило причиной инцидента: плохой документ, плохую сертификацию или плохую эксплуатацию.

или введите имя

CAPTCHA
Гость
3 Января, 2012
Re:Кто сертифицирует сертификаторов?
На самом деле крайним окажется эксплуатирующая сторона. Так как неправильно использовала сертиифцированную систему. И следующим шагом в законотворчестве станет обязательное наличие сертифицированного персонала. Вот где золотая бочка для "своих" прикормленных фирм.
0 |