Садитесь поудобней. Сегодня я расскажу вам об одном интересном закрытом ГОСТе:
- ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения.
name='more'>
Так, стоп! "Термины и определения"? Закрытый ГОСТ? Что секретного может быть в терминах и определениях, чтобы скрывать их от 99% отечественных компаний и специалистов?
Ведь чтобы получить этот ГОСТ нужно:
- узнать о его существовании;
- получить лицензию ФСТЭК/ФСБ на работу со сведениями ограниченного доступа;
- отправить заверенные копии лицензий во ФГУП СТАНДАРТИНФОРМ или в РОСОБОРОНСТАНДАРТ, приложив письмо от руководителя организации с просьбой продать этот документ;
- оплатить документ и его доставку спецсвязью;
- подождать пару месяцев пока бюррократический аппарат переварит ваши бумаги и извергнет из своих недр желанную посылку.
Не многовато ли для обычных "терминов и определений"? Давайте-ка посмотрим что внутри.
Ну собственно сами термины и определения (6 страниц), алфавитный указатель и картинка-схема связи терминов между собой. Всё. Термины самые обычные: безопасность КСИИ, угрозы КСИИ, оценка защищенности КСИИ и так далее.
Получается, что государственный НИИ совместно с ООО НПФ Кристалл разработал за наши деньги обязательный государственный стандарт, состоящий из 6 страничек самых обычных терминов и определений, и теперь успешно его нам продаёт.
Отличная бизнес-модель!
Но как им это удалось?
Ответ есть в самом документе.
Заветным росписком пера, стандарт попадает в один ряд со стандартами по проектированию оборонки, а, следовательно, на него можно смело вешать гриф ДСП и торговать цветными книжечками.
Теперь у бумажного безопасника появилась прекрасная возможность отвечать всем пентестерам АСУ ТП: "Да что ты понимаешь в защите АСУ ТП, если ты даже определения безопасности информации в КСИИне знаешь!?".
А нам с вами остается в очередной раз удивляться глубине того окопа, в котором сидят некоторые наши законодатели.
Что еще почитать?