Лирическое отступление о недекларированных возможностях к эссе на тему проектов Постановлений Правительства РФ по защите ПДн

Как было хорошо раньше! Есть идентификационные ПДн – одна степень защиты, нет - другая. Все просто и понятно. Правда, в начале тоже немного поспорили: что, где и почем. Но потом все встало на свои места. И вдруг, бац! – вторая смена! А все потому, что волею судеб (если, конечно, чиновника считать судьбоносной фигурой), недекларированные (недокументированные!) возможности стали тем самым водоразделом, который по одну сторону оставил обязательное применение сертифицированных средств защиты при обработке ПДн, а по другую – альтернативное решение. Проще говоря, если злоумышленнику есть возможность использовать НДВ в общесистемном и прикладном ПО, то у тебя один тип угроз и высокий уровень защищенности ПДн, а если такой возможности нет – другой тип угроз и низкий уровень защищенности ПДн, который гораздо проще в реализации. По крайней мере, так можно истолковать проекты постановлений Правительства по защите ПДн. Вот он, звездный час неправильного русского слова «НЕДЕКЛАРИРОВАННЫЕ»!

И сразу же в блогах по проблемам безопасности информации разгорелся спор: кто сетует на то, что угрозы, связанные с НДВ актуальны для всех и теперь потребуется использовать сертифицированные на НДВ операционные системы, кто озабочен тем, как доказать, что угрозы, связанные с НДВ не актуальны, кто пытается разобраться, а что такое вообще недекларированные возможности. Вот-вот-вот! Это, наверное, самое главное сейчас. Попробую и я порассуждать на эту тему.