Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертификация по РОСС RU. 0001. 01БИ00

Сертификация по РОСС RU. 0001. 01БИ00

В рубрику "Сертификация и измерения" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Сертификация по РОСС RU.0001.01БИ00

Оценка защищенности объектов информатизации – одна из важнейших задач технической защиты информации (ТЗИ). Многолетняя практика решений в этой области в нашей стране до настоящего времени идет вне сферы государственного регулирования измерений. Такая оценка важна при сертификации средств защиты и средств контроля защищенности и иных работах, так или иначе затрагивающих сферу действия Федерального Закона № 102-ФЗ от 2008 г. Именно этим вопросам, весьма непростым и исторически, и технически, и организационно, посвящен предлагаемый читателю цикл публикаций.
Андрей Кондратьев
Эксперт в области технической защиты информации

В начале было слово

Исходя из названия цикла и названия данной публикации, начнем именно с "Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (№ РОСС RU.0001.01БИ00)" в частности и с сертификации в нашей стране вообще. То есть с перечисления основополагающих документов и предварительного изучения оных. Итак:

  • "О техническом регулировании", Федеральный закон № 184-ФЗ от 27.12.2002 (в ред. от 28.11.2018);
  • "О государственной тайне", Федеральный закон № 5485-1 от 21.071993;
  • "Об аккредитации в национальной системе аккредитации", Федеральный закон № 412-ФЗ от 28.12.2013;
  • "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения и о внесении изменения в положение о сертификации средств защиты информации". Постановление Правительства Российской Федерации от 21.04.2010 № 266;
  • "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)". Постановление Правительства Российской Федерации от 3.11.2014 № 1149.
  • "Об аккредитации в национальной системе аккредитации", Федеральный закон № 412-ФЗ от 28.12.2013.

Возможно, автор и что-то упустил из общероссийских документов. Тем не менее этого вполне достаточно, чтобы утверждать следующее:

  1. Понятие сертификации продукции вообще установлено на уровне федерального закона (№ 184-ФЗ).
  2. Средства защиты информации (продукция, работы, услуги) относятся к продукции, подлежащей обязательной сертификации (там же).
  3. Система сертификации средств защиты информации (в области ТЗИ в промышленности и на территории РФ) создается и поддерживается ФСТЭК (как центральным органом по сертификации).
  4. Возможно, что ФСТЭК России и не дается право (как центральному органу по сертификации, аккредитующему свои испытательные лаборатории) "…совме-щения национальным органом по аккредитации полномочий по аккредитации и полномочий по оценке соответствия и обеспечению единства измерений". Хотя в законе и использован термин "национальным органам аккредитации", каково формальное наименование нашего регулятора в системе сертификации – еще предстоит выяснить.

Автор не юрист, не специалист в области государственного права, но тем не менее кое-какие юридические знания получил, и ему очевидно, что без метрологической аттестации методик измерений в рассматриваемой нами области никак не обойтись.

Более тщательный анализ законодательного обеспечения еще впереди, а пока вновь обратимся к документам.

На основании перечисленных выше ФЗ и постановлений Правительства РФ были разработаны и утверждены:

  • Положение о сертификации средств защиты информации. Утверждено постановлением Правительства Российской Федерации от 26.12.1995 № 608 "О сертификации средств защиты информации";
  • Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности". Утверждены приказом ФСТЭК России от № 33 от 10.04.2015;
  • Приказ ФСТЭК России от 18.06.2015 № 67 "Об утверждении формы и порядка ведения реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий";
  • Положение о системе сертификации средств защиты информации. Утверждено приказом ФСТЭК России от 03.04.2018 № 55.

Последний из перечисленных документов является также последним и по времени. Он относится к непосредственно исполняемым всеми нами, работающими в области ТЗИ. Что существенного и, на мой взгляд, наиболее важного можно извлечь из этих документов при первом, достаточно беглом, взгляде?

Первые выводы

Во-первых, формулировки документов почти всех уровней предусматривают обязательную сертификацию только и единственно "средств защиты информации". Причем в расшифровках понятий, включаемых законодательством в этот термин, "средства контроля защищенности информации" (т.е., по сути, "средства измерения") не попадают! Причем "ценные указания", многократно выслушиваемые автором в кабинетах второго управления ФСТЭК на тему "Конечно же, обязательной сертификации подлежат и средства контроля!", законодательного обоснования на федеральном уровне не имеют.

И только на ведомственном уровне появляются упоминания о сертификации средств контроля. В нормативном методическом документе (НМД) под названием "ТТЗИ 2016" (полное наименование приводить воздержусь по понятным соображениям – знающим расшифровывать не нужно).

Так вот в разделе "Общие требования к…", в п. 2.4 черным по белому написано, что должны применяться только сертифицированные средства защиты, включая средства и системы в защищенном исполнении, а также сертифицированные средства контроля.

И в приказе ФСТЭК России от 18.06.2015 № 67 есть упоминание о том, что "…при выполнении органом по сертификации или испытательной лабораторией работ по оценке (подтверждению) соответствия в отношении средств защиты информации от утечки по техническим каналам, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации от утечки по техническим каналам".

Разумеется, это здравые формулировки, понятные и правильные. Вот только формальных оснований для них в основополагающих документах нет… И изменения надо вводить в тексты законодательных актов, начиная с № 184-ФЗ и далее, вплоть до самого последнего положения.

Во-вторых, в основополагающих документах государственный контроль за корректностью работы системы сертификации прописан только в отношении СВР, ФСБ и МО. А вот в ареале ответственности нашего регулятора некая ответственность записана, хотя и строго не определенная. Ну а контроль и вовсе обойден глухим молчанием. 

В-третьих, для всех участников "мерлезонского балета" по всей системе законоуложений нет ни слова об участии в этих процессах каких-либо органов метрологии и/или стандартизации. За исключением разве что упоминаний, кто этим не должен заниматься.

В любой системе сертификации, по крайней мере "де-факто", ключевую роль играют аккредитованные испытательные лаборатории. Именно им, по всем "положениям", отвечать за разработку "программ и методик сертификационных испытаний" (ПиМСИ). Именно им исполнять все методики при испытаниях реальных образцов, именно им отвечать за полноту, воспроизводимость, точность и беспристрастность всех испытаний, сиречь измерений. А все вышеизложенное неизбежно приводит к тому, что в настоящее время в системе сертификации РОСС RU.0001.01БИ00 ни одна испытательная лаборатория не имеет ни метрологически аттестованных методик, ни средств измерения (испытательного оборудования), отвечающих полностью требованиям 102-ФЗ, ни сотрудников, подтвердивших свою квалификацию как измерителей и экспертов. И ни одна лаборатория не отчитывается перед органами метрологии о своей деятельности.

Не лишне будет напомнить и о том, что в соответствии с Положением об осуществлении государственного метрологического надзора (утверждено постановлением Правительства Российской Федерации от 06.04.2011 № 246) ФСТЭК в числе ведомств, наделяемых таким правом, отсутствует.

Это, так сказать, законодательный фон.

Сегодняшнее состояние

В результате часть НМД, совершенно легитимно и обоснованно разрабатываемых ФСТЭК, проходит регистрацию в Минюсте России, после которой (правда, строгого и однозначного толкования, на основании чего это так, мне пока найти не удалось) данные документы приобретают легитимность и необходимую юридическую силу во всех министерствах и ведомствах России. А вот с методиками измерений, включая и методики сертификационных испытаний, это не проходит. Минюст категорически отказывается от регистрации такого рода НМД. И, кстати, совершенно обоснованно. Для подобных НМД существуют органы метрологии и стандартизации, а процедура подробно описана в № 102-ФЗ.

Но вот НМД на тему "Требований к сертификации…" уже разработано и зарегистрировано в Минюсте с 2014 г. целых четыре (перечислять не буду все по тем же причинам). К некоторым из них уже выпущено не по одному "изменению и дополнению". А прилагаемые к каждому "Требованию…" проекты методик сертификационных испытаний так и лежат. никем не утвержденные, нелегитимные и неработающие.

Поскольку я их все читал, то имею право утверждать, что в том виде, в котором они написаны, у них нет ни единого шанса на метрологическую аттестацию! По многим причинам, из которых полное несоответствие по форме изложения требованиям ГОСТ Р 8.563–2009 "ГСИ. Методики измерений" – наименьшая из причин.

Вот в плане рассмотрения требований к методикам выполнения измерений (МВИ) и постараемся обосновать необходимость строгого подхода к измерениям в области технической защиты информации (ТЗИ).

Что требуется (требовалось бы…) по закону – понятно. Что же мы имеем в реальности?

А в реальности оба "органа исполнительной власти" – наши уважаемые регуляторы – до настоящего времени не аттестовали в области ТЗИ ни одной МВИ! Единственное, что точно известно автору: ФСТЭК выпустила приказ № 65 от 26.02.2009, в котором подтвердила и указала, что:

  1. Измерения параметров продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также продукции, сведения о которой составляют государственную тайну, в целях оценки выполнения обязательных требований в области технического регулирования.
  2. Измерения параметров окружающей среды, в которой испытывается вооружение, военная и специальная техника", относятся "к сфере государственного регулирования обеспечения единства измерений, в части компетенции ФСТЭК России".

С одной стороны, все однозначно. С другой стороны, изящное определение "…в части компетенции ФСТЭК России" переводит проблему из конкретной плоскости практической метрологии в совсем иную – в область "компетенций" уважаемой службы. Видимо, опираясь именно на эту формулировку, уважаемый регулятор более чем успешно уже 12 лет… не делает ничего. Но это совсем иная тема, к инжинирингу не имеющая отношения. Посему пока ее оставим…

Погрешности

Давайте рассмотрим обоснованность, необходимость метрологической аттестации МВИ с точки зрения естественной и понятной – с точки зрения "допускаемой и (или) приписанной неопределенности измерений или нормы погрешности и (или) приписанных характеристик погрешности измерений".

Напомню уважаемому читателю, что в 2008 г. в области измерений произошла тихая революция. И, гармонизируя наше метрологическое законодательство с общемировым, понятие "погрешность измерения" было заменено на понятие "неопределенность измерения".

Не вдаваясь глубоко в суть и реальное содержание терминов, отошлю тех, кто хочет узнать об этом больше, к двум действующим стандартам:

  • ГОСТ Р 54500.1–2011/Руководство ИСО/МЭК 98-1:2009. "Неопределенность измерения. Часть 1. Введение в руководства по неопределенности измерения";
  • ГОСТ Р 54500.3–2011 Руководство ИСО/МЭК 98-3:2008 "Неопределенность измерения. Часть 3. Руководство по выражению неопределенности измерения".

Отметим также, что во всех стандартах, начиная годов с 2011–2013, особенно касающихся любых измерений, появился соответствующий раздел (например, ГОСТ Р ИСО 3382-2–2013 "Акустика. Измерение акустических параметров помещений. Часть 2. Время реверберации обычных помещений" – раздел 7. Неопределенность измерений).

Несколько примеров

Всем (ну, по крайней мере, я на это надеюсь!) хорошо известен нормативно-методический документ (НМД, иными словами, в существенной своей части именно МВИ!) под названием "НМД АРР" 2001 г. Нам он удобен тем, что расчетные формулы в нем абсолютно (и справедливо!) объявлены открытыми.

Итак, искомую величину (словесную разборчивость речи, W) определяют косвенным методом измерений. То есть рассчитывают, исходя из измеренных значений звукового давления (и/или виброускорения) через косвенно вычисляемые значения "сигнал/помеха" в октавных полосах частот. Таким образом, неопределенность прямых измерений (для упрощения – только звукового давления) в полной мере переходит на неопределенность результата. Оставим при этом за пределами рассмотрения иные компоненты "суммарной стандартной неопределенности" вроде ошибок самого расчета, округления величин на стадиях предварительных расчетов и т.д.

Сосредоточимся на неопределенностях, обусловленных именно прямыми измерениями звукового давления.

Что нам говорит на эту тему общая физика, ее раздел – техническая акустика и практика? Тестовый сигнал (по НМД АРР и в реалии) все применяют исключительно "шумовой". Для упрощения задачи примем его с достаточной степенью точности эквивалентным "белому шуму", который, как определяет нам математический аппарат, характеризуется равномерной ("плоской") АЧХ в рассматриваемом диапазоне частот и… (вспоминаем курс статистической радиотехники!) его автокорреляционная функция есть "дельта-функция". Опять же не будем углубляться, а особо любопытствующих отошлем, например, к классическому учебнику "Радиотехнические цепи и сигналы" (Гоноровский И.С. 1977. Глава 2.11).

Измерения шума (сигналов, приближающихся по своим характеристикам к "белому шуму") в технической акустике приходится выполнять столь часто, что стандартизация этот вид измерений молчанием обойти не могла никак и никогда! Посему обратимся для начала к установленным стандартами методам измерения шума.

Наиболее близким и "по духу", и "по букве" автор считает действующий ГОСТ Р ИСО 3746–2013 "Акустика. Определение уровней звуковой мощности и звуковой энергии источников шума по звуковому давлению. Ориентировочный метод с использованием измерительной поверхности над звукоотражающей плоскостью". Добавлю, что рассматриваемые акустикой "точный" и "технический" методы реализуются только в помещениях с нормированными акустическими характеристиками, что полностью исключает их применение в наших более чем разнообразных "выделенных помещениях".

Итак, открываем стандарт и читаем: "До и после каждой серии измерений проверяют калибровку каждой измерительной цепи на одной или нескольких частотах в пределах диапазона частот измерений с использованием акустического калибратора, удовлетворяющего требованиям МЭК 60942, без изменения регулировок измерительной цепи. Разность показаний до и после проведения измерений должна не превышать 0,5 дБ. Если данное требование не соблюдено, то результаты измерений считают недостоверными".

Большая часть текста стандарта посвящена тому, как именно (где, сколько, как сориентировать) разместить измерительные микрофоны. Если внимательно перечитаем обязательные Приложения "Б" и "Д", понимаем, что микрофонов должно быть до 22 шт. (или один, последовательно, в 22 точках для стационарного сигнала).

Необходимо учитывать (в виде специальных коэффициентов) акустические свойства помещений (и вообще его пригодность для выполнения измерений в соответствии с Приложением "А").

И т.д и т.п…

И вот с учетом всего и вся, о чем в НМД АРР, естественно, ни слова, читаем в таблице 1, что типичные верхние оценки меры неопределенности QR0 для измерений уровней звуковой мощности (звуковой энергии), проводимых в соответствии с настоящим стандартом, не лучше 3 дБ (надо полагать, ±3 дБ). Вот от этой оценки и будем отталкиваться.

Далее открываем НМД АРР, берем формулу расчета значения W из пяти октавных отношений "сигнал/помеха" Ei и варьируем хотя бы в одной-двух октавах (из, напоминаю, пяти) значения Ei в пределах ±3 дБ. Строим график (рис. 1).


Видим наглядно, что только за счет более чем возможной ошибки в измерениях (это при соблюдении всех требований ГОСТ!) значений звукового давления легко получаем неопределенность результата W свыше ±50%. А если только представить себе наши однократные измерения в одной точке, при измерениях в произвольных помещениях, без нормирования количества и размещения контрольных точек, то "ценность" полученных результатов стремительно катится к нулю. Как и наши оценки защищенности ВП…

Но это не всё!

Есть еще одна, весьма принципиальная, проблема. И имя ее – измерение фоновых шумов.

Все дело в том, что отношение "сигнал/помеха" рассчитывается (и "по НМД АРР", и по существу!) как отношение звуковых давлений тест-сигнала и "фонового шума". И если измерения уровня акустического тест-сигнала более-менее реально уложить в вышеуказанный коридор допуска ±3 дБ, то с измерением фоновых шумов все гораздо сложнее.

Открываем НМД и читаем на стр. 19, Приложение "А", раздел 4, подраздел 4.2, п. 4.2.6. Не цитирую, но достаточно близко к оригинальному тексту: измерения значений фоновых шумов необходимо проводить в периоды минимальной зашумленности мест речевой деятельности, в т.ч. при отсутствии персонала в помещении, без функционирования шумного технического оборудования, наличия ударных шумовых эффектов и т.д. Никаких других ЦУ на эту тему в тексте НМД нет.

При этом у любого акустика, не говорю уже у акустика-метролога, возникают нижеследующие вопросы.

Все специализированные средства измерения, предназначенные для измерений физической величины – звукового давления (в Па или в дБ относительно значения 2•10-5 Па), имеют в своем составе минимум три режима детектора огибающей измеряемого сигнала – S (slowly – медленно); F (fast – быстро) и I (impulse – импульс). Это записано во всех мировых системах стандартизации, как и в нашем ГОСТ 17187–2010 "Шумомеры. Часть 1. Технические требования". И если при измерении весьма мало изменяющегося во времени тестового акустического сигнала именно этот выбор мало что меняет, то при измерении именно фоновых шумов ситуация прямо обратная.

Вот пример: на рис. 2 приведена весьма типовая огибающая модели фонового шума. Есть некие периоды его минимального уровня, есть периоды повышенного (например, под окнами на открывшийся светофор взревела куча моторов), есть ударные пики (например, хлопнула соседняя дверь или простучали по плитке в коридоре чьи-то каблучки…).


Так вот, разница в показаниях шумомера на одной и той же фонограмме подобного вида, в зависимости от типа включенного детектора, легко достигает пару десятков дБ.

Соответственно даже невозможно себе представить, какова будет "ошибка" при расчете значений W!

Увы, это не мое "теоретизирование", это реальная практика. Именно в связи с тем, что в НМД АРР на эту тему ни слова, на протяжении 2004–2016 гг. лично автору этих строк не раз приходилось участвовать в "разборках" инспекции ФСТЭК с владельцами объектов и лицензиатами, которые выполняли работы по защите этих объектов.

Дело в том, что именно с 2003 г. на вооружение инспекции регулятора поступили специализированные автоматизированные измерительные системы, САИС "Шёпот". А эти системы, в строгом соответствии с ЦУ "НМД АРР" и метрологическими требованиями, при измерении фоновых шумов:

  • выполняют не одно, а весьма много измерений за заданный промежуток времени;
  • именно при измерении фона из всего массива данных (восемь измерений в секунду, длительность периода измерений не менее 45 с) отбирается одно минимальное (принцип minimum minimorum) значение;
  • при измерениях именно фонового шума без участия оператора включается режим измерения F, характеризуемый достаточно малыми значениями постоянных времени и ориентированный на отслеживание реальных значений нестационарных сигналов).

В результате измеренные "Шёпотом" уровни фоновых шумов практически всегда оказывались значительно более низкими, чем те же уровни, измеренные "Спрутом", "Колибри" и любыми иными моделями средств измерений. Где-то в 2005–2007 гг. дело дошло до специального совещания во втором управлении ФСТЭК под руководством ныне покойного Ю.К. Макарова. Долго судили-рядили и решили: именно и единственно "Шёпот" измеряет строго "по НМД АРР" (не путать с утверждением, что измеряет ПРАВИЛЬНО! Как правильно измерять нестационарные фоновые шумы, тоже были высказаны мнения, разные).

Правда, ничего не изменилось, и НМД без изменений действует и в настоящее время! Расхождения продолжились. С последним разбирались, если мне не изменяет память, в 2017-м, с моим участием.

Что делать?

Уважаемые читатели, не надо думать, что столь плачевное положение существует только в области акустических измерений. До относительно недавнего времени все наши измерения в части оценок защищенности основывались на трех китах:

  • измерения в области акустики (звуковое давление и виброускорение);
  • измерения в области электромагнитных полей (напряженности поля);
  • измерения электрических сигналов (напряжение и сила переменных токов).

Сейчас нам уже нужны измерения в области лазерного излучения, измерения параметров модуляции сигналов в очень широком диапазоне частот и еще более экзотические виды электро- и радиоизмерений. Вместе с их количеством растет и число мешающих факторов.

Под мешающими я подразумеваю такие факторы, неучет влияния которых на результат дает эффект от ±100% до ±1000%. Вот такие оценки я слышу из уст специалистов, которые позволяют себе думать. К сожалению, подавляющему количеству специалистов в области ТЗИ ни общая подготовка (начиная со средней школы), ни профессиональная подготовка, ни специальные знания в области метрологии (точнее – полное их отсутствие), ни загруженность не оставляют вообще шансов на "размышления на тему". Как у русского классика Грибоедова: "Не должно сметь свое суждение иметь!"

Да, вот так "вдруг" систему не сдвинуть. Инерционность ее, как и любой другой госструктуры, колоссальна. Но начинать-то надо!? Тогда с чего?

С чего же начинать?

На мой взгляд, начинать с двух главных направлений:

  • системы сертификации;
  • подготовки кадров.

Вернемся к системе сертификации. Почему именно она? Потому что в первую очередь изменения нужны в отношении методик сертификационных испытаний (те же самые МВИ) и в отношении средств защиты. Да, понадобятся люди и средства. Но в целой стране не наберется и двадцати испытательных лабораторий, а в масштабах государства это капля в море.

Найти людей и деньги несложно. А эффект будет впечатляющий! Уже потом, помаленьку, на базе метрологически аттестованных методик сертификационных испытаний можно будет и наши многострадальные методики контроля довести до ума, тем более что существуют и действуют стандарты:

  • ГОСТ Р 51000.4–2011 "Общие требования к аккредитации испытательных лабораторий";
  • ГОСТ ИСО/МЭК 17025–2009 "Общие требования к компетентности испытательных и калибровочных лабораторий" и ряд других.

Вот в них-то 80% текста – о метрологии! Недаром их готовил не кто-нибудь, а Росстандарт!

Осталось немного – объединить в одно целое крайне близкие документы (в части аккредитации испытательных лабораторий не только по требованиям ФСТЭК, но и по требованиям Федерального агентства по техническому регулированию и метрологии (Росстандарта), и мы перестанем хотя бы при сертификационных испытаниях средств защиты заниматься "шаманством с антенной", а начнем измерять!

Разумеется, и специалистов надо начинать готовить уже "вчера". А то беру я в руки федеральный государственный стандарт в области образования (ФГОС), например, по направлению "Информационная безопасность" (подготовка кадров высшей квалификации; 10.06.01) (т. е. эквивалент – аспирантура). И среди профессиональных компетенций не обнаруживаю ни одного слова, относящегося к областям радиотехники (включая электро- и радиоизмерения). Более того, рассматривая ФГОСы в направлении "Радиотехника" (11.04.01(04), обнаруживаю то же самое – полное отсутствие реальных радиотехнических дисциплин. Сплошные общие слова, "муть голубая"! И это федеральный стандарт!

За прошедшие годы у меня было приличное число дипломников и соискателей, есть на базе чего делать выводы. Об общем уровне и общефизических знаниях даже говорить не хочется. Если на наших курсах повышения квалификации приходится, за редчайшими исключениями, напоминать слушателям о формулировке второго закона Ньютона или от том, как именно определяет физика мощность сигнала произвольной формы, то о каких измерениях можно говорить вообще? Что может сделать такой "специалист" с современным многофункциональным средством измерения, не понимая, зачем, что и как именно измерить надо?

Надеюсь, уважаемый читатель со мною согласится (кстати, вслед за великим В. Шекспиром), что "неладно что-то в Датском королевстве!".

Лично меня особенно "напрягают" разговоры в "коридорах власти", у регулятора, что "никак нельзя", "где же такие деньги взять", "где взять специалистов", "развалим систему" и т.д. А тратить ежегодно десятки миллионов бюджетных денег на "разработку" неисполнимых "методик" можно? Методик, над которыми потешаются все, на проекты которых объем замечаний превышает объем самих проектов.

Боюсь, данную систему разваливать не надо, она давно это сделала самостоятельно! И старательно поддерживать сии развалины уже давно нет смысла.

А вот делом заниматься надо. Почему еще в 2014 г. на МКС в Воронеже сообщили, что в смежной области ПД ИТР метрологическую аттестацию прошли уже пять методик? И представьте себе, никто не умер!

Почему именно в нашей родной ТЗИ в 2011 г. мы написали и метрологически аттестовали классическую методику контроля (правда, только для конкретного министерства в рамках выполнения заказа)?

Да, метрологи из ФГБУ "ГНМЦ" МО России полгода мучили и терзали автора. Но в результате методика есть, и она работает. Я же сам по ней впоследствие и измерял – вполне исполнимая методика и исполняемая, хотя и не без шероховатостей. Так ведь первая же! Причем даже не "лабораторная", а "объектовая"! Значит, можно?! Вспомним китайскую мудрость: дорога в тысячу ли начинается с первого шага.

Впрочем, это всё эмоции, за которые, надеюсь, читатель меня извинит. Наболело, знаете ли…

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020
Посещений: 1876

Приобрести этот номер или подписаться
  Автор

Андрей Кондратьев

Андрей Кондратьев

Эксперт в области технической защиты информации

Всего статей:  1

В рубрику "Сертификация и измерения" | К списку рубрик  |  К списку авторов  |  К списку публикаций