Мах или Макс?

Часть 3
По результатам прошлого поста коллеги подсказали, что у Max выложено нечто, похожее на политику. Но вс`-таки это не политика по обработке ПДн, как того требует РКН. И она точно не соответствует тому, что находится в реестре РКН.

В предыдущих сообщениях я рассмотрел только отдельные, лежащие на поверхности 🏔 моменты, связанные с обработкой персональных данных и криптографической защитой в нацплатформе. Если попробовать посмотреть глубже, например, на требования нового 117-го приказа ФСТЭК, то из него вытекает (хотя и неявно), что класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что у ГИС, с которыми она взаимодействует 🤝 А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять ООО "Коммуникационная платформа". Но способно ли оно это выполнить? Ведь даже поручить ООО "ВК" (как в части ПДн) свою защиту оно не может, так как у ООО "ВК" нет лицензии ФСТЭК на деятельность по ТЗКИ, что требуется по закону. Такая лицензия есть у ООО "ВК Цифровые технологии", но среди указанных там видов деятельности отсутствует мониторинг ИБ.
(ТЗКИ — техническая защита конфиденциальной информации, прим. автора :-) )

И ведь даже до защиты самого мессенджера дело не дошло 🛡 Мне почему-то кажется, что именно в этой части там будет все нормально. Но все остальное снижает доверие и к нацплатформе, и к тому, как и кто ее продвигает... Пока это похоже на какое-то впаривание. Куда проще было просто заблокировать все мессенджеры кроме Мах. И все - задача решена. И без всех этих выкрутасов ⛔️

Я думаю, она и так будет решена, видя с каким упорством и скоростью продвигается эта нацплатформа 🤓 Будут выданы если не сертификаты, то хотя бы положительные заключения ФСБ на всю схему, будет выдан сертификат на безопасную разработку, быстро получены все лицензии, во все соглашения на обработку ПДн будут внесены изменения (да, без предупреждения субъектов), в уведомление РКН 🔢 будут внесены нужные изменения для реестра операторов ПДн, специалисты будут обучены, а в ООО "Коммуникационная платформа" будет назначен заместитель генерального директора по ИБ в соответствие с 250-м Указом (а то странно как-то, что нацплатформа не будет отнесена к стратегическим предприятиям) 🗂 И вообще будет много чего сделано... или не будет. Тут же как - у нас все равны перед законом, но есть те, кто ровнее.

Выполнить все утвержденные за долгие десятилетия нормотворчества организационные требования по ИБ и ПДн в Мах невозможно 🚫 И перед стейкхолдерами этого платформенного мессенджера встанет дилемма - забить болт на требования, попробовать их выполнить (честно скажу, нереально; особенно в столь сжатые сроки), заняться очковтирательством, запустить процесс изменения устаревших требований 🤔 Я, признаться честно, хотел бы, чтобы все пошло по последнему варианту. Собралась бы согласительная комиссия из разных ведомств, провела бы ревизию всего законодательства по ИБ и отменила бы все то говно мамонта, которое мы тянем за собой уже десятки лет. Поэтому, скорее всего, будет а вот что будет, мы посмотрим все вместе 💃

ЗЫ. Да, если, вдруг, меня читают представители ООО "Коммуникационная платформа" и на все заданные в трех заметках вопросы уже есть ответы, то был бы рад их увидеть. Готов даже про них написать, если будет продемонстрировано, что все или часть описанного не соответствуют текущей действительности ✍️ И еще раз повторю - вопросы у меня не к технической стороне защиты мессенджера, а к той обвязке, которая эту защиту должна сопровождать.

ЗЗЫ. Всё-таки, куда все так торопятся с этим Мах, подставляя себя под критику иноагентов, нежелательных организаций, экстремистов, террористов, блогеров и просто интересующихся?.. ❓ Но ведь главное что? Что вся критика идет на частную компанию из двух человек. Это же не государственный мессенджер и разрабатывает его не государственная компания! И не важно, что через него будет осуществляться доступ к госуслугам (это такие "мелочи")...