понедельник, 7 мая 2018 г.

НДВ на языке бизнеса

        Очень часто специалисту по ИБ тяжело объяснить бизнес-руководителям организации, зачем требуются сертификаты соответствия на средства защиты информации и  почему ФСТЭК требует проведение контроля отсутствия недекларированных возможностей (НДВ) прикладного программного обеспечения, обрабатывающего конфиденциальную информацию. Рассказы о "закладках" воспринимаются ими как шпионские романы.

         И тут сама жизнь приходит нам на помощь:

       "Информация об этом размещена на сайте ФАС. При формировании технического задания госаказчики намеренно встраивают в файл формулу, которая автоматически меняет ранее заявленные показатели закупки. После того, как участник закупки заполнит документацию в ней автоматически появится ошибка, что позволит заказчику признать ее некорректной и отклонить. По словам Петросяна, это нарушение "беспрецедентно по своей наглости".
        Нарушение было выявлено при закупке услуг на 1,7 млрд руб. по ремонту участка автодороги М-7 "Волга". Такая же манипуляция с техническим заданием была обнаружена ФАС при закупке работ по строительству участка дороги ценой в 1,4 млрд руб., которую проводило Министерство транспорта Ростовской области.
       Так, при закупке услуг для автомагистрали Москва-Нижний Новгород заказчик разместил требования к показателям товаров в виде файла в формате "Excel". Когда участник закупки вносил в ячейку таблицы необходимое число, запускалась программа, которая изменяла в другой ячейке исходные данные закупки, а именно менялись единицы измерения. Например, миллиметры становились метрами. Таким образом, заявка становится некорректно заполненной и может быть отклонена заказчиком.
        Подобное нарушение - подтасовка, искажение данных исходной документации, становится причиной некорректного заполнения заявки и ее последующего отклонения.
       Рачик Петросян, заместитель руководителя Федеральной антимонопольной службы
Петросян напомнил - участники закупок могут пожаловаться на подобные нарушения в антимонопольную службу и тем самым защитить свои права."
    
       Случай простейший, но доходчиво иллюстрирующий цену отсутствия контроля на НДВ прикладной программы, используемой для оформления конкурсной документации.                          Специалистам по ИБ так же рекомендуется шире смотреть на вопросы безопасности в своих организациях.

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Комментариев нет:

Отправить комментарий