На данный момент очень много нареканий на регуляторов, которые выпускают неадекватную нормативку, проводят проверки не соответствующие 294-ФЗ и требуют сертификации, аттестации и лицензирования.
При этом все нарекания в итоге сводятся к двум тезисам: "это дорого" и "это излишне, т.к. не обеспечивает безопасность и не отвечает реалиям современного бизнеса". В принципе, я всем этим согласен, но не разделяя применимость этих тезисов к компаниям разного размера с соответствующей ИТ-архитектурой мы попадаем в ловушку обобщения "если дорого - то дорого для всех". Так вот - есть компании, для которых это не очень дорого, но вместо "дорого" вполне может быть "SAPец!".
Представим себе сценарий: проверка РКН вместе с экспертами от ФСТЭК обнаруживает, что SAP не обновлен и в модуле SAP HR де факто не может быть обеспечен контроль доступа из-за уязвимости в механизме аутентификации и авторизации JAVA-движка (SAP Note 1589525, больше почитать можно здесь и здесь).
На основании этого приостанавливается работа модуля SAP HR (модуль взят для примера как содержащий персональные данные априори), что влечет за собой остановку работы как минимум подразделения кадров...Может быть, пример не самый верный (аудитория на Blogger точно имеет компетенции по SAP - может поправить:), но такого рода проблем может быть очень много (другое распространенное корпоративное ПО, а именно СУБД Oracle так же unsecure by default во многих еще использующихся версиях - 8,9 да и 10 не без греха), и тот день, когда проверки будут учитывать последние уязвимости бизнес-ПО станет поистине "черным", для компаний, для которых мероприятия по приведению в соответствие нынешним (вернее старым, до принятия поправок в 152-ФЗ, ведь сейчас ситуация вообще неясная) еще не "дорого".
При этом все нарекания в итоге сводятся к двум тезисам: "это дорого" и "это излишне, т.к. не обеспечивает безопасность и не отвечает реалиям современного бизнеса". В принципе, я всем этим согласен, но не разделяя применимость этих тезисов к компаниям разного размера с соответствующей ИТ-архитектурой мы попадаем в ловушку обобщения "если дорого - то дорого для всех". Так вот - есть компании, для которых это не очень дорого, но вместо "дорого" вполне может быть "SAPец!".
Представим себе сценарий: проверка РКН вместе с экспертами от ФСТЭК обнаруживает, что SAP не обновлен и в модуле SAP HR де факто не может быть обеспечен контроль доступа из-за уязвимости в механизме аутентификации и авторизации JAVA-движка (SAP Note 1589525, больше почитать можно здесь и здесь).
На основании этого приостанавливается работа модуля SAP HR (модуль взят для примера как содержащий персональные данные априори), что влечет за собой остановку работы как минимум подразделения кадров...Может быть, пример не самый верный (аудитория на Blogger точно имеет компетенции по SAP - может поправить:), но такого рода проблем может быть очень много (другое распространенное корпоративное ПО, а именно СУБД Oracle так же unsecure by default во многих еще использующихся версиях - 8,9 да и 10 не без греха), и тот день, когда проверки будут учитывать последние уязвимости бизнес-ПО станет поистине "черным", для компаний, для которых мероприятия по приведению в соответствие нынешним (вернее старым, до принятия поправок в 152-ФЗ, ведь сейчас ситуация вообще неясная) еще не "дорого".
Комментариев нет:
Отправить комментарий