31.03.2009

Новый нормативный документ Банка России по обеспечению непрерывности деятельности

Банк России выпустил Указание 2194-У от 05.03.2009 о внесение изменений в Положение 242-П "Об организации внутреннего контроля". Указание добавляет к Положению 242-П новое приложение №5, в котором детально определяются требования к структуре и содержанию плана действий по обеспечению непрерывности и восстановлению деятельности кредитной организации.

26.03.2009

Как безопасность влияет на бизнес - реальные цифры

Очень часто возникает вопрос, а как ИБ влияет на бизнес? Вариантов ответа немало, но вот один в последнее время стал получать все большую популярность. Правда, пока на Западе, где компании более прозрачны и публичны, чем у нас. Отмечена прямая связь между негативным состоянием ИБ в компаниях и, как следствием взломом, утечкой и т.п., и стоимостью акций такой компании.

Например, в январе этого года американская финансовая компания Heartland Payment Systems, Inc пострадала от вредоносного когда и десятки миллионов ее клиентов стали жертвами мошенничества. Что в итоге? Падение стоимости акций, не говоря уже о судебном преследовании.


Другой пример - компания Vonage. Агент по продаже сохранил информацию всего о двух клиентах в записных книжках Google (Google Notebook). Результат на картинке:


Возможно когда-то и в России примут закон, обязывающий сообщать о нарушении прав клиентов и тогда у нас будут чуть больше думать о безопасности.

25.03.2009

Детям до 18-ти скоро запретят ходить на Mail.ru

Законодатели решили подумать и о детях и запретить им смотреть, читать и слушать:
  • Нецензурную брань.
  • Рекламу наркотиков, алкоголя, табака, пива, азартных игр и широкого спектра противоправных действий.
  • Провокации детей против их жизни и здоровья.
  • Оправдание жестокости и насилия.
  • Пропаганду отрицания семейных ценностей.
  • Призывы к совершению уголовно наказуемых деяний или их оправдание.
  • Порнографию.
  • И т.п.
В т.ч. и в Интернет. Подробнее я описал новый законопроект на сайте Компьютерры.

24.03.2009

Russian CSO Summit II - день второй

И вот закончился второй и последний день Russian CSO Summit II, который мне понравился даже больше чем первый. В чем ключевое достоинство мероприятия, - в его ориентированности на потребителя. Доклады делаются в массе своей заказчиками, что позволяет услышать о реальном положении дел без рекламы и маркетинга. День начался с рассказа Сергея Сажина (Вымпелком) о том, как у них на практике построен процесс Compliance Management. Учитывая масштаб компании "Вымпелком" и тема, и способ ее решения, были очень интересны.

СофтИнформ запомнился громогласным голосом (даже у меня такого нет - для тех, кто меня слышал ;-) Но на конкретные вопросы, связанные с законностью применения разработанных ими DLP-решений, докладчик ответить не смог. Ну и по ряду замечаний, высказанных им в ходе дальнейших выступлений, я понял, что их основная аудитория - службы безопасности (не информационной), которым все эти юридические заморочки "до лампочки". Удивило меня то, что представить СофтИнформа похоже впервые услышал (на практике он, как утверждает, вообще такого не видел), что служба ИБ может и не подчиняться СБ, а входить в состав ИТ или даже быть с ними на одном уровне. Он чуть ли не с пеной у рта доказывал, что это глупость несусветная.

Очень понравилось выступление Алексея Щербакова, ИТ-директора "ВостСибСтрой". Он прямо и без прекрас рассказал, как сам строил службу ИБ у себя в девелоперской компании, с какими проблемами столкнулся и как решал их. Самокритично и по делу. Уважаю таких людей ;-) Наверное он был один из немногих, кто готов был прямо говорить о своих неудачах.

Представитель Qualys просто порадовал своим выступлением. И по делу и с элементами юмора. А уж то, что нероссиянин очень неплохо говорил по русски, уже отлично. У иностранцев, "отвечающих" за Россию, это не часто встретишь.

Кен Яворски, рассказывал про аутсорсинг. Интересно, но... очень уж в его обоих докладах сквозило превосходство ;-( Такое впечатление, что он, пуп Земли и приехал учить "русских медведей", которые отстали в развитии технологии ИБ лет на 5-7 ;-(

Ну а завершал конференцию круглый стол, который вел я ;-) Посвящен был аутсорсингу. Точки зрения были высказаны разные, преимущественно, пессимистичные. И Владимир Наймарк из PwC, и Евгений Климов из "МеталлоИнвест", и Людмила Павленко из "МетИнвест" (Украина), и ваш покорный слуга, все высказывались либо жестко "нет" против аутсорсинга, либо приводили много моментов, мешающих активному продвижению аутсорсинга ИБ в России. Дмитрий Устюжанин (Вымпелком) приводил примеры применения аутсорсинга ИБ в России (в т.ч. и в своей компании), но это были точечные сценарии и их было все-таки немного. Александр Антоненков (КАМАЗ) высказал нестандартную идею - сначала получать услуги ИБ, а потом, если они были успешны и принесли пользу бизнесу, платить за них аутсорсеру. Особенно важно это в условиях кризиса, когда предприятия реального сектора экономики не имеют средств (именно сейчас) на оплату таких услуг, но в них нуждаются и готовы платить после выхода из кризиса. Неожиданная позиция... И вначале я думал, что никто из аутсорсеров по такой схеме у нас не работает. Ан нет. Есть такие. Александр назвал Элвис+, как пример такой компании. Делать такие шаги в наше непростое время... вызывает уважение. В целом же все сошлись на том, что аутсорсинг ИБ сегодня - это вопрос доверия и партнерства. Без доверия нет ничего.

И хотя Russian CSO Summit II собрал меньше людей, чем проходивший в тот же день IDC IT Security Roadshow, на нем была более камерная и душевная обстановка, более живое общение, больше вопросов... Второй раз участвую в данном мероприятии и мне во второй раз оно нравится, чего не всегда скажешь о других крупных мероприятиях по ИБ в России.

ЗЫ. Александр Антоненков (КАМАЗ) приглашал всех на сайт КАМАЗа по ИБ - http://itsec.kamaz.ru/

Сблежение не целесообразно?! Информзащита и ОКБ САПР не сошлись характерами

Информзащита и ОКБ САПР, о слиянии которых, я писал в конце прошлого года, разошлись. Однако гораздо интереснее почитать не сводный материал, а самостоятельные точки зрения участников сделки. ОКБ САПР у себя на сайте коротко написал, что соглашение об объединении не было достигнуто из-за кризиса. В тоже время, Информзащита пишет, что уровень менеджмента и корпоративной культуры ОКБ САПР не соответствует уровням того же в Информзащите. Это и послужило основным препятствием. При этом Информзащита говорит, что несмотря на разногласие были достигнуты договоренности о коммерческом и технологическом сотрудничестве. А ОКБ САПР на своем сайте это заявление опровергает.

В этом собственно и весь российский рынок проявляется ;-( При полном отсутствии прозрачности большинства компаний, низком уровне менеджента, отсутствии четкой стратегии и т.п. влезать в M&A-сделки не самое лучшее решение. Особенно учитывая давнюю "любовь" двух конкурентов - Информзащиты и ОКБ САПР, доходившую ранее до "битья посуды" и "попытки лишения родительских прав".

Я еще в ноябре писал, что причина слияния таких компаний очень неочевидна. Видимо отсутствие четкого понимания этих причин и привело к печальному финалу.

ЗЫ. На Западе я что-то не припомню, когда объявленная сделка срывалась по внутренним причинам, аналогичным нынешней. Из-за запрета регуляторами было, но из-за разницы в уровне культуры?.. Остается только гадать, у кого из двух компаний уровень выше ;-)

ЗЗЫ. Ошибки в заголовке не мои - это из текста интервью одного из участников сделки.

23.03.2009

Russian CSO Summit II - день первый

Закончился первый день Russian CSO Summit II. Несмотря на сложную ситуацию зал конференции был полон, что не могло не радовать. Я выступал с докладом "Позиционирование ИБ в условияз кризиса". Презентация прилагается.



Так удачно сложилось, что выступающий после нашей секции Харлан Волд, CSO Renaissance Capital практически полностью повторил то, что говорил я, но уже применительно к своему практическому опыту.

Эта презентация отчасти повторяет то, что я уже публиковал ранее. Но сейчас я систематизировал презентацию, удалил рекламу моей компании, добавил немного новой информации. В виде статьи эта тема была мной раскрыта в статье на bankir.ru.

Новое постановление о Роскомнадзоре

16 марта Правительство выпустило новое постановление №228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций". Каких-то серьезных изменений я не заметил - только мелкие правки.

В первом пункте положения стало явно прописано, что Роскомнадзор "является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных". Видимо, чтобы в связи с частой сменой названия вопросов больше не возникало, кого же имеет ввиду ФЗ-152.

ЗЫ. Как и в прошлой редакции 419-го постановления Роскомнадзор не имеет прав проводить плановые проверки.

20.03.2009

Защита ключевых систем информационной инфраструктуры

Начал тут более глубоко разбираться в отечественном законодательстве по защите ключевых систем информационной инфраструктуры (КСИИ). Сложное это дело ;-) Еще сложнее, чем по персданным. Там если документы ФСТЭК хоть и имеют гриф ДСП, но остальные нормативные акты вполне себе открытые (хотя мне тут понравилось высказывание одной из представительниц госкорпорации "информация открытая, но для служебного пользования"). А по КСИИ из открытых документов один приказ (хотя может я его и за уши притянул), два косвенных указа Президента РФ, да "Основы" с неясным статусом. Ну и снятый с рассмотрения в Думе законопроект по защите КСИИ. А остальные документы носят либо статус ДСП (те же документы ФСТЭК), либо "секретно" ;-(


19.03.2009

О трактовке законодательства по персданным

На блоге Евгения Царева, опубликована заметка о Роскомнадзоре. И хотя позиция автора понятна (безусловное выполнение требований по ПДн), хотелось бы прокомментировать одно из положений этой заметки. Согласно ей Роскомндазор имеет якобы право осуществлять плановые проверки в области персданных. Это заблуждение исходит из того, что согласно ФЗ-152 и Постановлению Правительства №419 "О Федеральной службе по надзору в сфере связи и массовых коммуникаций" Роскомнадзор является органом государственного контроля и надзора, а согласно ФЗ-134 "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)" такие органы имеют право проводить как плановые, так и неплановые (по фактам нарушений) проверки.

Однако законодательство надо читать чуть более внимательно. Во-первых, 419-е Постановление Правительство в основном определяет права и полномочия Роскомндазора в области связи. В области же персданных это Постановление отсылает нас к ФЗ-152 (п.5.1.1.4). А этот закон в п.2 ст.23 четко говорит, что Роскомнадзор "рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение". Т.е. он только работает по сигналам со стороны субъектов ПДн. Дополнительно в п.3 ст.23 приведен закрытый перечень прав Роскомнадзора, среди которых плановые проверки вообще не значатся. Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134. Единственный случай, когда Роскомнадзор может инициировать собственную проверку, - это проверка уведомления со стороны оператора ПДн. Но это не является плановой проверкой, прописанной в ФЗ-134.

Какой вывод можно сделать из этого? Что не стоит немедленно рваться послать уведомление в Роскомнадзор. Лучше внимательно почитать ст.22 ФЗ-152 и понять, что ситуаций, когда уведомление посылать надо, не так уж и много. И, конечно, стоит привлечь грамотных юристов по гражданскому законодательству, чтобы они разъяснили многие терминологические тонкости, вытекающие из таких терминов, как, например, "договор" и т.п.

Дополнительно хочу заметить, что любые постановления правительства, не говоря уже о приказах федеральных органов исполнительной власти (которые имеют неочевидное применение за рамками самого принявшего их ведомства), являются актами подзаконными, которые не могут противоречить или нарушать федеральное законодательство.

18.03.2009

Запущен новый блог по персданным

15 марта в Сети появился новый блог по персональным данным. Заметки интересные и, даже, местами дискуссионные, что и требуется для хорошего блога. Только вот авторство блога непонятно. И как бы не интересен был такой блог, но доверие к нему у меня минимальное ;-( Анонимные записи могут быть опубликованы с любой целью - никто за них не несет никакой ответственности ;-( И это плохо.

17.03.2009

Документы ФСБ по персданным

16.03.2009

Курс по персональным данным в ИБД АРБ

27-го марта меня пригласили в Институт банковского дела при АРБ прочитать курс по персональным данным. Я решил тупо не комментировать ФЗ, постановления правительства и документы регуляторов, а посмотреть на них с точки зрения потребителя. Т.е. оценить, как можно обойти жесткие требования ФЗ, параноидальные требования четверокнижия и стоит ли его вообще исполнять, оценим миф про 1-е января 2010 года, ну и т.д.

В сентябре я уже читал аналогичный курс в ИБД и он вызвал большой интерес у слушателей. А с тех пор у нас появилось немало изменений - и 687-е постановление, и документы РСКН, и новая пока невыпущенная вторая редакция четверокнижия. Так что курс должен быть интересным. К тому же организаторы, понимая, что не все могут приехать очно (особенно в регионах), будут использовать онлайн-технологии.

14.03.2009

Как заработать на ботнетах? Советы от ИБ-компании!

На SecurityLab новое творение по безопасности от Группы ИБ (Group-IB), посвященное бот-сетям. Когда я прочел название исследования, я подумал, что оно посвящено бот-сетям и тому как с ними бороться. Ан нет ;-(

Исследование является классическим пособием для начинающих создателей бот-нетов, построенном по принципу "вопрос-ответ". Сколько стоит создать бот-нет? Сколько можно заработать на бот-нете? Как обналичить деньги, полученные от бот-нета? Как заказать DDoS-атаку через бот-нет? Имеет ли смысл делать бот-нет на заказ? Можно ли купить готовый бот-нет? Сколько живет бот-нет?

А есть ли в "исследовании" хоть что-нибудь про обнаружение и подавление бот-нетов? Нет. Ни слова ;-( Спрашивается, зачем компании, якобы специализирующейся на расследовании инцидентов и борьбе с DDoS-атаками, публиковать материал о том, как на этих самых атаках делать деньги? Ну не для того же, чтобы увеличить число ботнетов, затем число пострадавших, и как потенциальное следствие, число своих клиентов...

ЗЫ. Про русский язык официального отчета я уже не говорю. Оборванные на середине предложения, незаконченные абзацы...

12.03.2009

500 стандартов ИБ, которые потрясли мир

Когда-то я готовился проводить выездное обучение "500 стандартов по ИБ, которые необходимо соблюдать в России". Но по разным причинам выезд не получился, но интерес к теме остался, да и курс был уже почти доработан. И вот произошла реинкарнация курса... но уже в Москве. НТЦ пригласил меня провести этот курс в июне этого года. Повторю, что писал раньше про этот курс.

Программа:
  • Законодательство РФ в области информационной безопасности. История становления и развития.
  • Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример: легитимность просмотра электронной почты сотрудников. Точка зрения сотрудника, безопасника и юриста.
  • Регуляторы российского рынка ИБ – ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д. Кто и за что отвечает?
  • Виды тайн и защищаемой информации. Персональные данные, коммерческая тайна, государственная тайна, служебная тайна, банковская тайна, тайна связи и т.п.
  • Классика отечественного законодательства в области ИБ. Трехглавый закон. Руководящие документы ФСТЭК и ФСБ. Техническое регулирование. Лицензирование, сертификация и аттестация. ГОСТы по ИБ.
  • Отечественное законодательство в области защиты коммерческой тайны. Федеральный закон. Рекомендации ФСТЭК.
  • Отечественное законодательство в области защиты персональных данных. Федеральный закон. Постановление Правительства. Нормативные документы ФСТЭК.
  • Отечественное законодательство в области защиты конфиденциальной информации. Рекомендации/требования ФСТЭК (СТР-К).
  • Отечественное законодательство в области защиты ключевых систем информационной инфраструктуры. Рекомендации/требования ФСТЭК.
  • Отечественное законодательство в области защиты банковской тайны и автоматизированных банковских систем. Стандарт Банка России по ИБ и другие нормативные акты ЦБ.
  • Законодательство в области защиты операторов связи.
  • Международное законодательство в области ИБ, обязательное или рекомендуемое к применению в России (PCI DSS, ISO 2700x, Базель II, SOX, ISM3, Кодексы корпоративного поведения, COSO ERM, ITIL, COBIT, ISO 20000 и т.п.)
  • Наказание за несоблюдение законодательства в области информационной безопасности. Кодекс об административных правонарушениях, Уголовный Кодекс, Трудовой Кодекс и т.п.
  • Легитимность многих правовых актов в области ИБ. Надо ли вообще их соблюдать с точки зрения закона?
  • Парафраз о правоприменительной практике или права ли пословица "Закон, что дышло…"?
Ключевое отличие от всех аналогичных курсов в 4-х моментах:
  1. Я рассматриваю законодательство не только с точки зрения деятельности службы ИБ, но и с точки зрения регулятора, работодателя и работника. Т.е. учитываю интересы всех сторон, которые участвуют в законодательной деятельности.
  2. Я исхожу из того, что основополагающим нормативным актом в области ИБ является вовсе не трехглавый закон и что это законодательство по данному направлению "не висит" в воздухе, а тесно увязано с множеством других документов - Конституцией, Кодексами, Постановлениями Правительства и Указами Президента, и даже... с Всеобщей Декларацией о правах человека, Окинавской Хартией глобального информационного общества и т.п.
  3. Я не тупо следую рекомендации соблюдать все, что выпушено нашими регуляторами, а рассматриваю законы с критической точки зрения. Какие ошибки и ляпы в них допущены, какие противоречия есть, какие нестыковки с другими законами?.. Какие из требований являются обязательными, а какие носят характер рекомендаций, необязательных к исполнению? Какие документы можно не выполнять, несмотря на их «обязательность»?
  4. Ну и систематизация получилась неплохая ;-)
Надеюсь, что курс получится действительно интересным и познавательным.

10.03.2009

Как обманывают клиентов производители средств защиты - 2

Я уже писал, что я веду секцию "Как обманывают клиентов производители средств защиты" на конференции РусКрипто (2-5 апреля 2009 года в Подмосковье). Определились с 3-мя докладчиками и их выступлениями в этой секции. Тезисы ниже. Приглашаются все желающие ;-)

1. Здесь должно было быть выступление компании IBM ISS. Но последовал запрет ;-(

2. Алексей Лукацкий - бизнес-консультант по информационной безопасности Cisco - "Почему ИБ-компании, зная правду, врут в глаза своим клиентам?"

"Парадоксально, но факт - многие компании, которые занимаются безопасностью, своей основной целью считают не безопасность своих клиентов. На первом месте для них деньги и только деньги, а безопасность - только инструмент зарабатывания. Для этого все цели хороши. Можно утверждать, что DLP-решения обнаруживают утечки данных. Можно утверждать, что антивирус обнаруживает все, даже неизвестные вирусы. Можно утверждать, что число атак растет по экспоненте и без средств сетевой безопасности не обойтись. Можно утверждать, что предлагаемая система защиты невзламываема. Можно утверждать, что система корреляции поддерживает все известные средства защиты. Можно ссылаться на сертификат, как свидетельство вседозволенности.

А можно развенчать все эти, а также другие мифы, звучащие из уст ИБ-компаний. Что мы и сделаем на секции."

3. Алексей Смирнов - независимый эксперт - "Торговля страхом и ложь во спасение: как и зачем ИБ обманывает бизнес?"

"Что такое "торговля страхом" и что такое "ложь во спасение". Первое - примерно понятно и в особых объяснениях не нуждается: попытка заработать денег на вымышленных или преувеличенных угрозах. Что же является "позитивной" стороной обмана? Иногда приходится "пугать" потому, что объяснить реальную опасность неспециалисту сложно, да и не всегда он настроен слушать. Иногда ложь необходима для развития перспективных технологий - да, проблемы данного конкретного заказчика порой решаются проще, но мы должны думать не только о его проблемах, но и о более глобальных задачах. В конце концов, каждый из нас, кто по-настоящему любит свою работу - творец, и бывает так, что совершенно не из меркантильного интереса мы строим систему "на вырост", хотя с точки зрения бизнеса достаточным, а значит и более оправданным было бы дешевое и "некрасивое" решение, даже с учетом его короткого жизненного цикла и необходимости последующего рефакторинга."

06.03.2009

Несколько лет назад (наверное 7 или 8) я задумал серию "Вредных советов по информационной безопасности" по аналогии с детской книжкой Остера. Родилось несколько "творений", но дальше них дело не пошло. А тут Infowatch стал публиковать свою версию "вредных советов" (часть 1 и 2), к которой я и присоединился, отдав им свои несколько "советов".

ЗЫ. Строго не судить ;-) Не Пушкин я ;-)

Комиксы по безопасности от Cisco

Мы, т.е. Cisco, опять запустили нечто про безопасность ;-) На этот раз - комиксы "The Realm". Первый эпизод уже в Сети...


Все лишний раз подтверждает тот факт, что стандартными рекламными механизмами, клиента уже не удивишь ;-)

05.03.2009

Безопасники в кадровый резерв не входят

На сайте Президента опубликован список лиц, включенных в "первую сотню" резерва управленческих кадров, находящихся под патронатом Президента. Безопасников там нет ни в каком виде ;-( Ни из среды силовиков, ни из бизнеса. Из ИТшников вообщего всего 2 фамилии - Бобровников (глава Крока) и Волож (глава Яндекса). Будем надеяться, что хотя бы в первую тысячу, которую обещали скоро опубликовать, они войдут.

PCI Council запускает новый ресурс для продвижения PCI DSS

PCI Council запускает новый ресурс для продвижения PCI DSS. Это Prioritized Approach framework, т.е. набор документов, инструментов, советов, рекомендаций, обучающих курсов, появившихся в результате работы QSA и ASV.

04.03.2009

S.N.Safe продалась

Разработчик защитного ПО S.N.Safe&Software получил инвестиции от регионального венчурного фонда Татарстана под управлением «Тройки Диалог». Сумма сделки не уточняется, но это было не больше 120 млн.рублей и при этом венчурный фонд получил не менее 50% голосов в S.N.Safe.

Достаточно забавно выглядят упоминания уникальности технологии S'n'S по отлову вредоносных програм не по сигнатурам, а по поведенческим особенностям. К слову сказать, компания Okena, которую мы купили в 2003-м году, еще в 2000-м году в своих решениях использовала именно отслеживание аномальной активности программ и процессов, а не сигнатуры. Ну а про завоевание через 3-4 года не только российского, но и мирового рынка, я вообще умолчу. Хотя иных слов при таких сделах и не ждут ;-)

PS. Переговоры о сделке с S.N.Safe&Software также вел венчурный фонд ВТБ.

02.03.2009

В Питере безопасности больше нет

Комитет экономического развития, промышленной политики и торговли Правительства Санкт-Петербурга выпустило распоряжение от 19.11.2008 №1008-р "Об утверждении предельных нормативов затрат бюджета Санкт-Петербурга на сервисное обслуживание средств информационных технологий и прикладных информационных систем исполнительных органов государственной власти Санкт-Петербурга на 2009 год".

Предельные нормативы по ИБ следующие:
  • проверка одного АРМ на вирусы - 7.98 руб. в месяц
  • Сопровождение механизма обновления антивирусного ПО, установленного на рабочих станциях пользователей с сервера локальной сети - 207.78 руб. в месяц на один сервер
  • Централизованное администрирование антивирусного ПО пользователей с администраторской консоли - 10.39 руб. в месяц на один АРМ
  • Установка и настройка программного МСЭ - 575.37 руб. в месяц на один сервер
  • Установка и настройка аппаратных МСЭ - 359.6 руб. в месяц на одно устройство
  • Системное сопровождение аппаратных МСЭ - 359.6 руб. в месяц на одно устройство
  • Системное сопровождение программных МСЭ - 3020.7 руб. в месяц на сервер с одним процессором
  • Настройка и техническая поддержка аппаратных брандмауэров - 143.85 руб. в месяц на одно устройство. Видимо для разработчиков документа есть большая разница между брандмауэром и МСЭ!
  • Установка, настройка и запуск в эксплуатацию аппаратно-программных средств защиты информации (средств защиты от несанкционированного доступа, средств криптографической защиты информации, средств ограничения доступа) - 59.94 руб. в месяц на один АРМ
  • то же самое, но для МСЭ - 299.67 руб. (чем это отличается от пунктов выше непонятно).
  • Сопровождение аппаратно-программных комплексов средств защиты информации (мониторинг работы, сбор статистической информации, предварительный анализ, оценка эффективности функционирования, прогнозирование и планирование, разработка предложений) - 1510.35 руб. в месяц на одно устройство
  • Тестирование средств защиты информации с выдачей протокола, выявление и исправление ошибок в его работе - 719.21 руб. в месяц на одно устройство
  • Консультирование администраторов безопасности по вопросам работы средств защиты информации - 359.73 руб. в месяц на одного консультанта.

Спрашивается, кто и как будет работать за такие деньги?