А не пора ли ввести мораторий на сертификацию по требованиям регуляторов?

А не пора ли ввести мораторий на сертификацию по требованиям регуляторов?

Думаю, многие слышали о том, что наши регуляторы ввели мораторий на проведение надзорных мероприятий, а ФСТЭК еще и отменила оплату государственной пошлины за госуслуг по предоставлению лицензии на деятельность по ТЗКИ и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. На конференции «Информационная безопасность банков» Виталий Сергеевич Лютиков также сказал, что они выпустили информационное сообщение для разработчиков по ИБ, а также испытательных лабораторий, которое вводит послабления для них в сложившихся условиях, а именно:

  • сокращение сроков рассмотрения документов по сертификации и сроков проведения отдельных работ
  • возможность внесения изменений в сертифицированные средства самим разработчиков без привлечения испытательной лаборатории
  • снижение требований по предоставлению спецификаций, описаний, документации и т.п., необходимых для подтверждения уровней доверия, в частности аппаратная платформа средства защиты информации может и не быть включена в единый реестр российской радиоэлектронной продукции.

Все это, конечно, важно, но, на мой взгляд, все это рассчитано на разработчиков средств защиты, но никто не подумал о том, чтобы поддержать заказчиков, которые также сталкиваются со сложностями реализации требований по ИБ, установленных регуляторами (преимущественно ФСТЭК, но и ФСБ в том числе). Будь я директором ФСТЭК или замдиректора ( опять размечтался), руководителем ФСБ или директором ДИБ Банка России, то я бы предложил следующие временные послабления для организаций, попадающих под действие 17/21/31/31/239 приказов ФСТЭК, 378-го приказа ФСБ и ГОСТ 57580.1, а также положений Банка России:

Вот таких пять предложений. Они несложные, как мне кажется, и вполне возможные для реализации на уровне каждого из регуляторов. А высвободившееся время можно было бы потратить на улучшение качества имеющихся документов, их практическую аппробацию, а также разработку централизованных сервисов по ИБ по модели SaaS, которые бы сняли нагрузку с организаций по ряду направлений, например, анализ защищенности, моделирование угроз и анализ рисков, выбор защитных мер, обучение и повышение осведомленности и т.п.

Я же не многого хочу?

Заметка А не пора ли ввести мораторий на сертификацию по требованиям регуляторов? была впервые опубликована на Бизнес без опасности .

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!