?

Log in

ЛВ10

Несколько злых слов о защите информации

После обсуждения в теме про персональные данные, я понял, что в целом уровень общего понимания в вопросах защиты информации у нас в обществе, в том числе и в среде ИТшников, невысок. Люди не понимают, что и зачем происходит. Я начал было там отвечать в комментариях, а потом понял, что проще и лучше будет собраться с мыслями, и написать один, но Самый Лучший Пост про отрасль информационной безопасности в России, как я ее себе понимаю после 8 лет плотной работы внутри неё. Для понимания всего нижеследующего длинного текста не требуется никакой специальной подготовки, и, смею заверить, он покажется интересным для очень многих читателей.
 


Дисклеймеры.
1. Все сказанное ниже никак не относится к сфере защиты информации, составляющей государственную тайну. Вполне возможно, что там такой же бардак (ведь занимаются-то этой защитой те же люди...), но так как я про эту область ничего не знаю и никогда с ней не соприкасался, то писать не буду. Не очень охотно, но допускаю, что там могут быть какие-то "особенные" требования, которые, может быть, и требуют каких-то "особенных" подходов, хотя, честно говоря, в душе не до конца уверен, что всем нам - каждому конкретному гражданину России и всем в совокупности - в принципе необходимо, чтобы существовала "государственная тайна" как таковая. Но это тема для отдельного разговора.
2. В тексте есть некоторые упрощения, мне хотелось его сделать понятным даже для абсолютно-не-специалистов. Но профанации нет, и да, я таки очень даже хорошо понимаю предмет, о котором пишу. И этой статьей я хочу в том числе и показать, что напрасно (но это, конечно, не случайно) тематика защиты информации покрыта завесой тайны и считается уделом узких специалистов; на самом деле ничего эдакого, недоступного для понимания в ней нет.

Рынок информационной безопасности в России - это что-то около 20-30 миллиардов рублей в годовом исчислении; растет он на каких-то антикризисных дрожжах, процентов на 80 в год, и останавливаться не собирается. Лидер этого рынка - "Лаборатория Касперского" - известен и понятен всем, и ясно, что и зачем делают эти люди. Тем ярче контраст - названия фирм, которые занимают в рейтинге CNews по информационной безопасности места со второго по десятое за редким исключением никому не известны. Это все фирмы, которые тоже зарабатывают миллиарды или сотни миллионов рублей, и зарабатывают их на таких видах деятельности, как "поставка сертифицированных средств защиты информации", "аудит и консалтинг в области информационной безопасности", "аттестация объектов информатизации". Главное и почетное место на сайте любой из этих компаний занимает иконостас лицензий и сертификатов, выданных ФСБ России и ФСТЭК (уверен, что 95% моих читателей ранее не сталкивались с этой аббревиатурой, она расшифровывается так: "Федеральная служба по техническому и экспортному контролю", в Екатеринбурге у них есть шикарное здание на ул. Гагарина, между Малышева и пер.Отдельным).

ФСБ и ФСТЭК являются контролирующими органами в сфере информационной безопасности: они выдают лицензии на право работы в этой сфере, устанавливают требования к информационным системам и их владельцам, аккредитуют аттестационные центры, которые получают право проверять информационные системы на соответствие этим требованиям. ФСБ в основном контролирует программные средства защиты, ФСТЭК - технические. Когда дело доходит до сложных информационных систем, в которых защита осуществляется как программными средствами (например, средствами шифрования), так и техническими (например, межсетевыми экранами), то, естественно, система попадает в поле зрения обоих регуляторов.

Пользовательский рынок программных средств защиты информации в стране относительно либерален. Не составляет особого труда получение лицензий ФСБ на распространение и обслуживание средств криптографической защиты информации, предоставление услуг в области шифрования. Впрочем, легкость обманчива: из-за того, что получение лицензий происходит достаточно быстро и обходится не очень дорого (если ужиматься, то со всеми мероприятиями можно уложиться в пару сотен тысяч рублей), забываешь задать вопрос о том, зачем вообще они нужны - ведь речь идет о продаже обычных и довольно простых компьютерных программ, которые можно и в Интернете скачать. Тем не менее, для того, чтобы заниматься этими программами, оказывается, необходимо поставить железные двери на помещения, в которых находятся дистрибутивы, и купить металлический сейф для их хранения, обучить двух человек на специальных курсах, вести кучу бумажных, прошитых журналов, аттестовать по требованиям безопасности один компьютер и т.д. Иначе - ст. 171 УК РФ, "Незаконное предпринимательство" во всей красе.

Что уж говорить о более "серьезных" видах деятельности! На многие месяцы растягивается получение лицензий ФСТЭК на техническую защиту информации (забавно, что для этого, в частности, надо продемонстрировать знание документа, который называется СТР-К, относится к категории ДСП и выдается только лицензиатам) или получение лицензий ФСБ на разработку средств защиты информации или защищенных информационных систем. Мало получить лицензии, необходимо еще и согласовывать технические задания на создаваемые лицензиатом защищенные системы или средства защиты, а потом сертифицировать средства и аттестовывать системы.

В основе всего этого дела лежит целая наука, или, по крайней мере, очень богатая методологией отрасль знаний, причем специфически отечественная. Есть отечественные криптографические алгоритмы, которые должны быть реализованы в сертифицированных средствах; есть отечественная классификация разного рода систем по разным уровням защиты, своя у ФСБ и своя у ФСТЭК; есть методология построения защищенных систем, которую надо знать и соблюдать для того, чтобы созданную систему можно было аттестовать. А аттестация во многих случаях является обязательной - и не только для систем, в которых происходит обработка персональных данных.

Декларируемая цель у всего этого хозяйства очень благая - повысить защищенность информационных систем, эксплуатируемых в России. Но достигается ли эта цель? Давайте попробуем разобраться. Не надо быть специалистом по защите информации, чтобы суметь понять четыре базовых принципа - очень простых! - на которых держится вся эта дисциплина.

Принцип 1. Модель защиты должна быть адекватна модели угроз. Другими словами, если данные никому не нужны - то не надо их защищать. Если данные стоят 10 рублей - то нет смысла тратить 11 рублей на систему их защиты. Если потенциальный злоумышленник может в другом месте получить эти же данные за 100 рублей, то достаточной будет такая система защиты, преодоление которой обойдется в 101 рубль.
Принцип 2. Ответственность за безопасность данных лежит на их владельце. Другими словами, никто и никогда (кроме, может быть, закрытого перечня понятных исключительных случаев, хотя представить себе такой случай довольно трудно) не вправе навязывать мне, как мне защищать мою информацию, и защищать ли вообще. В частности, я всегда вправе делегировать обработку своей информации третьему лицу, и уровень защиты - это дело нашей с этим третьим лицом договоренности.
Принцип 3. Не менее 95% угроз исходит от инсайдеров. Другими словами, гениальные пятнадцатилетние хакеры, ломающие системы банков с помощью айфона и магического знания, существуют только в кино и в падких на сенсации СМИ. Нет, ну конечно, в реальной жизни тоже - иногда - ну так и самолеты иногда падают, от чего нормальные люди не перестают на них летать. А вот инсайдеры - сотрудники той структуры, в которой происходит обработка защищаемой информации, и которые могут иметь к ней доступ по должности - очень даже существуют, и, главное, защититься от них во много раз труднее, чем от юных хакеров.
Принцип 4. Информационных систем, защищенных на 100% не бывает. Точнее, бывают, конечно - полностью выключенные. Если система работает и обрабатывает информацию, то эту информацию можно из нее достать. Вопрос в цене, в сроках... но принципиально - всегда можно. Следует ли из этого, что надо возвращаться в каменный век (как, кстати, на полном серьезе призывали некоторые комментаторы поста про ПДн: "Ну и что, что для больниц невыполнимы требования 152-ФЗ? Пусть обрабатывают информацию на бумаге!")? Конечно, нет! Из этого следует совсем другое:
а) Не имеет никакого смысла доводить до абсолюта систему априорных требований к информационной безопасности; все равно от всех бед не защититься. Должен соблюдаться "принцип разумной достаточности" - надо приложить те 20% усилий, которые обеспечат 80% защищенности, и хорошенько подумать насчет всего остального.
б) Зато должна развиваться технология апостериорных разборок. Если произошла утечка, то надо уметь установить, кто был виноват, и наказать его по всей строгости, так, чтобы и другим было неповадно - это очень повышает общий уровень защищенности.
в) И, наконец, должно развиваться страхование информационных рисков. Практически каждую утечку информации можно оценить в терминах материального и морального ущерба конкретным лицам; размер ущерба может быть установлен соглашением сторон или решением суда. Соответственно, утечек не надо бояться как абсолютного зла, а надо уметь защищаться от них путем компенсации того ущерба, который они наносят.

Грустная правда состоит в том, что вся существующая (и последовательно развивающаяся!) система законодательного регулирования в сфере защиты информации в России напрочь противоречит каждому из четырех перечисленных выше принципов. Вот прямо по порядку:

1. Существуют типовые модели защиты, построенные на базе типовой модели угроз. Владелец информационной системы, по сути дела, лишен возможности в широких пределах определить модель защиты исходя из собственных предположений о модели угроз, но должен выбрать одну из типовых, основываясь на формальных признаках. Выполняются такие-то условия? Все, приехали, класс 1В (1Г, КС2...), такие-то и такие-то сертифицированные средства, миллионы рублей и т.д., вне зависимости от реальных проблем в данной конкретной информационной системе. И наоборот! Можно формально пролезть под низкий класс защиты (а затраты большие, и все пытаются это сделать) - молодцы, пролезаем, аттестуемся, вне зависимости от внешних угроз, опять же.
2. Этот принцип попран и растоптан как только можно. Владельцу информации сплошь и рядом навязывают определенную степень защиты против его воли, и сурово наказывают его за "нарушения". Получается очень смешно: например, все акционерные общества обязаны публиковать свою бухгалтерскую отчетность, но в системе сдачи ее в налоговые органы по каналам связи, с другой стороны, эту же отчетность обязаны шифровать только таким и сяким образом, тратя на это свои деньги. Из-за этого тоже не развиваются нормальные механизмы страхования рисков, из-за этого не развивается рынок аутсорсинга услуг в сфере ИБ. В марте этого года мы были с коллегами на CeBIT, и нас просто шокировала конфигурация рынка услуг информационной безопасности в Германии: оказывается, доминирует мнение, что шифрование, ЭЦП и так далее - это все "очень сложно" для конечного пользователя (бухгалтера предприятия и т.п.), и что не надо заниматься этим на предприятиях, а надо аутсорсить в специализированные фирмы, которые оказывают эти услуги массово и дешево. Если вдуматься - абсолютно правильный подход! И совершенно неприменимый в условиях отечественной методологии, для которой передача закрытого ключа третьему лицу - это что-то пострашнее зоонекропедофилии. В мире как-то меньше заморачиваются за это дело, а больше - за базовый принцип гражданского законодательства, согласно которому я могу кому угодно делегировать что угодно, естественно, оговорив при этом права, обязанности и взаимную ответственность. Наше же законодательство в сфере защиты информации рассматривает конечного пользователя как дитя неразумное, которого надо оградить искусственными барьерами от злого внешнего мира. Итог: у нас и бухгалтер предпенсионного возраста знает, что такое закрытый ключ, открытый ключ и сертификат. Когда у меня была "Ока", я тоже умел продувать жиклер карбюратора, ага. Кому от этого лучше-то?
3. Этот основополагающий принцип нашей методологией просто игнорируется. Нельзя сказать, что фокус сделан только на защиту от внешнего мира, но основные затраты, все же, предлагается делать именно на такую защиту (от железных дверей до межсетевых экранов). Организационным мерам уделяется много внимания (комплект организационно-распорядительной документации, который должен быть разработан - для этого есть тоже специальные, "правильные" консультанты! - в организации, котороая занимается оказанием услуг в сфере ИБ - это десятка два пухлых папок), но только не совсем тем организационным мерам. Как должно быть устроено подразделение информационной безопасности в плане оргштатной структуры - да. Как сделать так, чтобы сисадмин не был заинтересован в копировании базы, к которой он имеет прямой доступ - нет.
4. Ну и главная ошибка заключается именно в том, что вся методология прямо рассчитано на построение систем, защищенных на 100%, то есть систем, в которых обращается актуально бесценная информация. При этом навязываются совершенно анекдотические средства защиты: например, оператор информационной системы должен ставить рядом с серверной стойки средства ПЭМИН (противодействий электромагнитным и индукционным наводкам, как-то так это расшифровывается), антенну с усиками, которая стоит десятки тысяч рублей, и якобы глушит наводки. Все, конечно, классно, но только никакую информацию с работающего сервера ни по каким наводкам получить невозможно; наводки - это в чистом виде разводка. Подход, нацеленный на 100%-ную защищенность, скопирован из сектора гостайны, и совершенно неприменим к бизнес-сектору, где любая информация имеет (иногда трудно определяемую) конечную ценность. Результат - противоречивые требования, которым, на самом деле, может удовлетворять только выключенная система. Результат - крючок, за который, при желании, можно зацепить любого оператора систем информационной безопасности.

Если очень кратко, одним предложением описывать проблему, то можно сформулировать так: отечественная методология защиты информации определяет процесс, вместо того, чтобы определять результат. Оператору или владельцу информационной системы очень много вменяется делать (такой поставить электронный замок и сякой, такие организационно-распорядительные документы принять и сякие...), но никого не волнует, что же он в результате сделает, если, конечно, формальные требования при этом будут выполнены.

Как должно быть: каждый владелец или оператор информационной системы знает, что понесет неотвратимую финансовую ответственность за нарушение режима защищенности информации. Эта ответственность предусматривается договорами с клиентами информационной системы, владельцами информации, доверившими его ее обработку и т.д. После этого, оператор информационной системы уже сам решает, каким образом он строит защиту: сколько денег вкладывает в обеспечение защищенности системы, на какие суммы страхует риски. Чтобы работать со страховщиком, понадобится, конечно, и аудитор - но аудитор, который определит реальную степень защищенности информационной системы, а не выполнение тех или иных формальных требований.

Как есть: существует очень ограниченный круг поставщиков услуг ИБ (лицензиатов соответствующих служб), причем купить входной билет на этот олигополический рынок очень трудно. Эти поставщики - спору нет! - обеспечивают выполнение формальных требований путем поставки некоего круга типовых решений, а контролирующие органы стимулирует спрос на эти решения путем проверок и прочего кошмаринга. Реальная защищенность систем никем не анализируется и никого не волнует.

Ведь все эти классы защиты - это еще и индульгенция (а приобретение "правильных" средств защиты у "правильных" поставщиков - это покупка индульгенции). Произошла утечка. Кто виноват? Ясно кто - данные, допустим, из базы ГИБДД, по структуре данных-то сразу это видно. И что, накажут ГИБДД? Нет, конечно, если у них все сертификаты и аттестаты есть.

И на примере закона о персональных данных все это видно просто как на ладони. Мне пишут: "Да что уж там такого в этих требованиях по защите ПДн? Подумаешь, просто класс 1Г, ничего эдакого!". Стоп, ребята. А почему вообще возникает вопрос о том, что ко мне приходит какой-то дядя и требует, чтобы у меня был "класс 1Г" (а это сотни тысяч рублей в минимальной конфигурации). Почему это не является предметом моей частной договоренности с тем, что поручил мне обработку своих персональных данных? Мое дело - дать ему гарантии - в том числе, и финансовые, что данные не утекут, а уж как я это сделаю... Может быть, и не буду ставить никаких сертифицированных межсетевых экранов, зато найму хороших специалистов и буду платить им большую зарплату, и тем исключу главный риск - риск утечки информации через голодных инсайдеров?

Естественно, что реальная жизнь приспосабливается под эти требования, иначе не бывает. Все фирмы, которые серьезно занимаются защитой информации, кому это действительно надо, разрабатывают свои, внутренние схемы противодействия реальным угрозам. Получается такое "двойное налогообложение" - мы сначала делаем, как правильно, а потом еще дополнительно, поверх этого (и стараясь ничего особо не поломать) делаем "как надо". И на это, и на то тратим деньги. А там, где специалистов особо нет (например, в госсекторе), там уповать приходится только на предписанные стандарты. Они выполняются, не спорю, очень аккуратно. Только данные все равно уходят.

Почему так, и - мой любимый вопрос - qui prodest? Ну, первая причина понятна - эти требования просто не поспевают за современным миром, большинство из них перенесены на рынок "гражданской" информационной безопасности из сектора гостайны, и пришли из доинтернетовских времен. А вторая причина в том, что когда так уж получилось, то контролирующие органы на это посмотрели... "и увидели они, что хорошо". Зачем что-то менять, когда можно получать очень хорошие деньги? Ах, интересы рынка, интересы электронного государства? Нет-нет-нет, у нас самая правильная и лучшая методология защиты. Пусть работать неудобно, зато враг не пройдет!

Следствия зарегулированности и клановости рынка очень просты и естественны:
1. Отсутствие серьезной конкуренции ведет к низкому качеству. Российские средства криптографической защиты информации еще более или менее работают (да, их настройка может потребовать получаса времени и небольших плясок с бубнами в зависимости от операционной системы, но потом, обычно, все получается), но чем уже рынок - тем хуже. Если говорить про технические средства (а в отличие от программных, в каждом сегменте рынка здесь присутствует не 10-15 конкурентов, а зачастую 3-4 или даже 1-2), то все гораздо хуже; больше всего они напоминают советские микроволновки. Да, в принципе были ведь и такие... но представьте себе, что их использование стало бы обязательным во всех квартирах! Все наши "замечательные" технические средства работают нестабильно, очень плохо документированы, очень мало пригодны для встраивания во внешнюю среду, обладают удивительно низкой производительностью... зато сертифицированы.
2. На практике это приводит к тому, что система защиты, соответствующая всем требованиям (а потому, вполне может быть, и эффективная) выстраивается очень не надолго: на время приезда комиссии из аттестационного органа. В этот момент - все очень красиво, работают всякие "Панцири", "Стражи" и "Аккорды", все сетевые кабели выключены из Интернета (потому что аттестовать систему с подключением к внешним сетям еще раз в десять труднее и дороже, чем без оного), и так далее... На следующий день все возвращается в исходное - но хотя бы работающее! - состояние.
3. Сдерживается развитие электронных услуг для конечных пользователей. Федеральная налоговая служба в свое время пошла на очень мудрый и решительный шаг, потребовав в системе сдачи отчетности класса КС1, который позволял, хотя бы, обойтись без аппаратных средств защиты информации на рабочих местах пользователей систем электронного документооборота, и разойтись только программными средствами. А вот ПФР (под давлением ФСБ) очень долго (до 2007 года) настаивал на КС3, а тогда никак не обойтись без аппаратной составляющей у клиента, а это как минимум многие сотни долларов. В итоге формально система работала, и была очень даже защищенной; только ей никто не пользовался. (Понятное дело, ФСБ это мало волновало). Но сейчас и класс КС1 сдерживает дальнейшее развитие - как ни крути, а примерно 2000 рублей в год на рабочее место пользователя приходится платить за зищату информации, и это не позволяет сделать решительного шага от электронного взаимодействия государства и бизнеса к электронному взаимодействию государства и гражданина - с гражданина-то таких денег не соберешь! И сейчас все эти десятки миллиардов рублей, которые ежегодно вымываются в искусственно созданный рынок информационной безопасности - они ведь в конечном счете ложатся на конечных пользователей интегрированных услуг, включающих в себя услуги ИБ...

Конструктив в следующем. ФСТЭК - упразднить вообще. Лицензирование деятельности по распространению средств защиты информации - отменить. Крепко подумать относительно отечественных криптографических стандартов - а не отменить ли их (точнее, не допустить ли использование и средств защиты информации, удовлетворяющих мировым стандартам) вместе с системой лицензирования разработчиков средств защиты информации? Аттестацию и сертификацию технических средств и информационных систем по классам защиты сделать сугубо добровольной. Короче говоря, то, что есть сейчас - разрушить до основания, а затем... Затем, уверен, сработает принцип "свято место пусто не бывает". Ведь реальные-то задачи по защите информации в современных информационных средах надо решать! И толковые аудиторы - те, которые помогают сделать систему действительно более защищенной! - будут востребованы, еще как будут. И толковые средства защиты будут покупаться. Но 80% затрат, которые сейчас делаются на рынке информационной безопасности (и перекладываются на конечных пользователей) просто уйдут, а остальные 20% денежных потоков очень серьезно перераспределятся - от дармоедов к профессионалам.

Слишком резко? Но давайте, собственно говоря, на секунду абстрагируемся от всех этих классов защиты, лицензионных требований, и процедур по аттестации. Вот у нас есть наша, отечественная, криптографическая школа. Вот у нас есть система лицензирования и сертификации. Вот у нас есть зарегулированный рынок средств защиты информации, в который ежегодно сливаются десятки миллиардов рублей. А в целом, по-крупному, как у нас в стране состояние дел с защищенностью информации? В сравнении с США, с европейскими странами? Да как-как - хреново! Именно в России, с нашей замечательной "отечественной школой", с нашими единственно правильными методологиями защиты информации, практически любые базы данных на рынке как лежали, так и будут лежать, и никакой закон о ПДн их не берёт. Любую информацию можно получить. Зато - все аттестовано, сертифицированно, лицензированно. Аудиторы и консультанты работают и зарабатывают. Все формальности соблюдены; у кого они не соблюдены - тех кошмарят, причем не за то, что уровень защищенности низок (он может быть ниже, а может быть и выше, чем у других), а затем, чтобы другим неповадно было. Система работает! Работает, выполняя свои функции, свои предназначения - просто повышения уровня информационной безопасности в стране в списке этих предназначений нет.

Резюме.
Система законодательного регулирования в области защиты информации, не составляющей государственной тайны в России как минимум на 99% не способствует реальному повышению защищенности информации и предназначена для извлечения доходов структурами, аффилированными с контролирующими органами.

Comments

Page 1 of 2
<<[1] [2] >>
Прекрасный текст! Немедленно утащил фрагменты и ссылку на http://matholimp.livejournal.com/180889.html .
Спасибо!
А можешь пояснить, по каким признакам определяется, что разработка/функционирование конкретной ИС должна подпадать под надзор контролирующих органов, сертификацию и т.д.

Ведь даже когда я запускаю Windows и ввожу логин и пароль - я сталкиваюсь с элементом информационной безопастности в сети моего предприятия. Значит ли это, что я должен заморачиваться этими КС1/КС3?
в винде много чего зашифрованного
по идее все пользователя винды - нарушают
как-то так
Спасибо, очень толково
Ну да- ситуация "швах", как и везде, вобщем.
Прокомментируй, пож-ста, еще такую ситуацию:
вот например есть организация, у нее есть сотрудники, зарплату которым считают в программе 1С (допустим) и там же хранят всякие данные, необходимые для расчета налогов (дата рождения, пол, паспортные данные, прописка).
Организация попадает под закон о персональных данных? Какой дополнительный геморрой получит организация с 01.01.2010?
В начале каждого закона определятся область его действия. В данном случае, конечно, организация под 152-ФЗ попадает. Масштабы геморроя могут быть различными. В любом случае надо будет исполнять приведенные в этом законе обязанности оператора ПДн. Далее в зависимости от ситуации.
Хорошо написано. Хотя боюсь большинство не прочитает. Много букв :-))

А если серьезно, написано что плохо и почему плохо, непонятно как реально сделать хорошо. Упразднить? Дык кто ж даст? Можно ли сделать что-либо более конструктивное. Обойти идиотские требования.
Например организовали фирму по отправке гражданами чего-либо куда-либо. Фирма сделала все сертификаты. А уж потом работает с гражданами (или с больницами) как хочет. Ставит свое обеспечение, обеспечивает доступ к тому что вынуждено не может позволить себе гражданин или больница. Законы написаны давно, значит надо пользоваться теми возможностями Инета, которые на момент написания законов и в сказке не виделись.

Поскольку я чайник в этой системе то позволю выдумать вариант ну совсем от балды.
Дилетантский

Задача - позволить больнице вести учет так, чтобы ничего сильно не тратить.
Проблема - все надо как-то кодировать, озранять, чтобы комар носа не подточил.
Предположение - уровень безопасности примерно как электронный доступ к счету в Северной казне.
Вариант - в поликлинике есть ряд компов подключенных к мегасистеме и пять флешек хранящихся в суперсейфе за семью дверями и семью замками.
Медик вставляет мегафлешу в комп после чего комп получает возможность расшифровывать и зашифровывать данные, хранящиеся в мегахранилище.
Доступ к мегасистеме - личное дело больницы и системы и сильно регламентироваться не должно. В мегахранилище (которое может вообще находиться физически в урюпинске) есть все данные нужные больнице, но в зашифрованном виде, сама мегасистема их расшифровать и не сможет, а ключей (с флешки) она и вовсе не видела. Следовательно нарушения какой-либо тайны нет

Какие сертификаты требуются - максимум сертификатов от хранилища и системы.
Для больницы - сертификат позволяющий пересылать уже зашифрованные сообщения по открытому каналу + сертификат (и сейф), позволяющий хранить флешку-ключ (которое чьим либо личным данным не является)


Перечитал еще раз, какая-то фигня получилась :-))
примерно такого рода костыли и строятся на практике, но и к ним возникают вопросы у органов, задающих вопросы :)
и предназначена для извлечения доходов структурами, аффилированными с контролирующими органами.

Реформа только в этой отрасли невозможна без реформ в других сферах, которые построены на аналогичных принципах
А вот честно говоря я не вполне согласен!
Потому что отрасль очень такая "замкнутая в себе", и если где-то и есть шанс показательной, "герметичной" реформы, так это в сфере ИБ
умение хорошо формулировать - ваша сильная сторона, сэр.
благодарю :)
Отличная статья!

Предлагаю только переформулировать в этом абзаце:
Оператору или владельцу информационной системы очень много вменяется делать (такой поставить электронный замок и сякой, такие организационно-распорядительные документы принять и сякие...), но никого не волнует, что же в результате ПОЛУЧИТСЯ...
Мне кажется, так понятнее ))
я пытался играть на сходстве слов "Делает" и "Сделает" :)
Вечером приду из филармонии - процитирую у себя и намерена поискать пост в ЖЖ Медведева на эту тему - дополнить комментарием.
спасибо!
типа того, ага :)

Ну что тут можно сказать... только то,

Что так устроен практически любой рынок сертифицируемых средств, например, у меня отец занимался в одной конторе опасным оборудованием (там какой-то бак под давлением, всё это с горючим газом вроде), абсолютно та же история - никого не волнует реальная безопасность, волнует то, что фирма заплатила N-ю сумму денег за получение лицензии на то, что она может разрабатывать такое оборудование - для этого надо кучу всякой документации составить типовой и выслать куда-то вместе с деньгами, оттуда получить лицензию и вперед - делайте что хотите - в каком состоянии что производится - никого не волнует, никакого внешнего аудита конечно продукции, даже одного экземпляра.

Re: Ну что тут можно сказать... только то,

да, конечно.
я раньше писал уже про технический надзор (и коррупционные схемы) в нем.
просто тут я хорошо знаю тему, и мог на чуть более глубоком уровне показать разницу между тем, как надо и тем, что есть.
Резюме чуть более чем на 100% очевидно любому, кто хотя бы одним глазком видел программно-аппаратный комплекс любой федеральной конторки...
угу, я и не говорил, что планирую раскрыть глаза на что-то совершенно сенсационное :)
Мультипликатор: там, где рубль спижжен, десять рублей просрано.
Если поковыряться в Минсвязи, там тоже нарисуется целый сектор экономики, который тупо тянет деньги из предприятий и бюджета, без какой-либо полезной миссии. Такие глисты.
в принципе-то, конечно, все тянут :)
тем не менее, публикация и обсуждение по каждому конкретному кейсу имеет смысл :)
>>>Наше же законодательство в сфере защиты информации рассматривает конечного пользователя как дитя неразумное, которого надо оградить искусственными барьерами от злого внешнего мира.

>>>определяет процесс, вместо того, чтобы определять результат.

у нас практически в любой сфере законодательство так построено :)

>>>Система законодательного регулирования в области ... предназначена для извлечения доходов структурами, аффилированными с контролирующими органами.

назови хоть одну область, где законодательное регулирование не призвано ограбить до нитки бизнесы, работающие в этой сфере...
:(
мне почему-то аналогия с пожарниками пришла на ум: всех достают своими проверками, а случись что-серьезное - оказывается, что пожарный надзор "весь в белом".
ага!
мне понравилось в блоге у Лукацкого кто-то прокомментировал:
если ФСБ и ФСТЭК выставляют такие требования, то именно ОНИ должны нести ответственность за утечки из аттестованных ими систем!
Такое ощущение что: "Замуровали демоны". Обложили со всех сторон и бежать некуда. Но есть же из всего этого выходы и лазейки. Я конечно не имею в виду криминальные способы решения проблемы.
выходы видятся только глобальные, а вот как решать каждую конкретную проблему - не очень-то понятно :(

про отечественную криптографическую школу -

это сильное преувеличение, я думаю - ведь вся современная криптография сложностная (начиная от RSA и пока не научатся обращать функции или хотя бы разлагать на множители) - и соответствующих специалистов в России не наблюдается. (Конечно, можно предположить, что они секретны - но это опирается и на базовые сведения современной computer science, которые не особенно распространены в России, тут все специалисты более или менее наперечет и на виду)

Re: про отечественную криптографическую школу -

Ну, какие-то есть. Написали же ГОСТ 2001 года (алгоритм Эль-Гамаля на эллиптических кривых), впрочем, я не берусь, насколько много для этого ума надо.
Лёня, коммент немного не по делу, но всё же :)

зря ты советские микроволновки привел в пример плохо работающей системы. они хоть и были большие, но прекрасно работали. у меня все детство такая на кухне простояла.

а сейчас на кухне стоит американская, на пару годков выпуска побольше. так вот, - она конструктивно вообще от советской не отличается, и размеров таких же.
ладно, извиняюсь за микроволновки - обещаю, что в журнальном варианте их не будет :)
Читаю я сообщения и все мне кажется что мы в параллельных мирах живем и по одну и другую сторону Уральских гор две разные страны. Помню твой пост
http://leonwolf.livejournal.com/86876.html
такое впечатление на меня произвел - как же так - контролирующее ведомство, а банальных вещей не знают. Потом я вспомнил, что в отечественной системе стандартов криптографической защиты нет шифрования с открытым ключом.
Но в нашей деревне совсем другая картинка - те представители ФСTЭК по Приволжскому Федеральному округу, которые приезжали к нам на конференцию, которые проверяли, как мы учим компьютерной безопасности - компетентные и вменяемые люди, которые понимают и сразу всем говорят, что межсетевой экран 3-го класса детскому саду не осилить. Уверен, что и в другом ведомстве тоже не лаптем щи хлебают, судя по тому, что про атаки на наш стандарт блочного шифрования на Западе никто не пишет. По другим направлениям судя по СМИ работают нормально - летом поймали в Перми эмиссара "Группы исламского джихада", потом еще наркоторговца с огромным стажем Гелия Богданова с кучей героина и оружием, и вообще директор ФCБ родом из Перми.
Понятно, что, к примеру, система сертификации от недекларированных возможностей не является гарантией того, что в программе нет "дыр" (что подтверждается регулярными обновлениями безопасности имеющей сертификат Windows), но, безусловно, должен быть какой-то государственный орган, который контролирует качество ПО в сфере безопасности.
Так что дело не в законах, а в том, как их применять и трактовать. Радостно только за ГОСТ 34.10-2001, в котором юристам не удалось испортить математику на эллиптических кривых.
Помимо темы сообщения от меня тебе наказ - фильтруй комментарии почаще, а то мне супруга запретит читать твой журнал.
Понятно, что, к примеру, система сертификации от недекларированных возможностей не является гарантией того, что в программе нет "дыр" (что подтверждается регулярными обновлениями безопасности имеющей сертификат Windows), но, безусловно, должен быть какой-то государственный орган, который контролирует качество ПО в сфере безопасности.

Ну всё-таки, "Не декларированные возможности" несколько отличаются от "Ошибок реализации". Сталкиваться с банк-клиентом, который копию платежки отправлял по неизвестному адресу, мне доводилось.

Edited at 2009-10-20 06:17 pm (UTC)

Хорошая тема - показывать руководству. Но...

Приветствую! Как изначально ИТшник, знаком с проблемой и восприятия ее тоже. Факторы верные. И по ряду проблем можно даже подробнее. Very Good!
И резюме на ура.
1. Фактор увеличения рисков для не гос. тайны очень высок. Особенно регулирование в ПО, где ряд нашего ПО имеет теневой вход по моей информации.
2. Ломают уже RSA. По слухам SSH2 на вполне защищенном алгоритме не вполне надежен. А жаль. В уже год назад была на английском статья. Где не вспомню уже.
3. Административно командной системе с уклоном в тоталитаризм не выгодно регламентировать высокую защищенность.
4. Все по весу, связям и т.п. Microsoft вроде как все еще использует встроенное шифрование вне зоны законодательства РФ. И все нормально. Так что выборочное право = беззаконие.
5. Еще деталька. Многие наши "секретные" технологии уже уступают на радиорынке по классу возможностей. Однако. Это говорит об отсталости в системе, низком контроле оборудования и не желании прогрессировать в НИОКР. Так же нет достаточных инвестиций в силовые структуры. Вряд ли есть смысл держать на балансе утиль, если есть аналоги нового поколения.

Возможно мои соображения можно тоже превратить в статью. Но я не занимаюсь этим плотно, скорее в прикладном аспекте в меру потребностей.

С уважением к автору.
В общем, в этой области всё примерно так же, как и в других. "Всё есть, но ничего нет."

Мегапост!

Мегапост! ППКС!

P.S. В нижную части страницы проникли рекламмные баннеры "только для взрослых".

Re: Мегапост!

спасибо :)

баннеры пытаюсь успевать удалять, очень не хочется вводить капчу для комментариев :)
В общем то, я примерно так и предполагал.

Единственно что по моему мнению _каждый_ уже должен знать что такое открытый и закрытый ключи и что такое сертификат открытого ключа, благо их описание вмещается на страницу-две формата А4.

Леонид, ну напишите как получить сертификат, интересно же. Или это у меня ошибочная инфа что у вас есть УЦ?
Просто так "получить сертификат" нельзя, т.к. в соответствии с законом об ЭЦП в сертификате указываются сведения о правоотношениях, в которых он применяется. Другими словами, может быть сертификат "для клиент-банка", или "для налоговой отчетности", но не "сертификат вообще", плюс, конечно, существуют всякие соглашения о взаимном доверии, которые позволяют один сертификат использовать в различных информационных системах.

Чтобы получить у нас сертификат - у нас есть УЦ, и не просто УЦ, а самый крупный в России - надо все-таки понять, к какой из информационных систем, обслуживаемых нашим УЦ, вы хотите подключиться :)
и список информационных систем, и порядок получения сертификата - на http://ca.skbkontur.ru
ммм.... Леонид, ты в очередной раз пытаешься объяснить злым умыслом то, что вполне объяснимо глупость. к сожалению, наши стандарты по защите персональных данных являются облегченными вариантами стандартов по защите секретных и сов.секретных данных. из этих стандартов к нам пришли и сами требования, и правила сертификации и аудита на соответствие им. при этом, военные и фсб-шиные стандарты защиты данных ИЗНАЧАЛЬНО были неадекватными и написанными, чтобы прикрыть задницу. Кроме того, написаны эти стандарты очень давно (там последняя редакция 92-го года, что ли, и после этого она слабо менялась). Эти требования никак не соотносятся с современными информационными архитектурами и инфраструктурами. Но менять военно-фсбшные стандарты то ли не могут, то ли не хотят. кстати, и сами же от этого страдают, потому что написать нормальную тиражную систему для военных или фсб по этим правилам практические нереально. после написания и лицензирования военных клонов линукса-браузера-вебсервиса-субд это еще можно сделать (хотя плясок с бубном становится больше). а как они лет пять назад софт писали - ума не приложу. наверное, никак. Увы, отрыжка этого всего теперь перепадет гражданским организациям.

хотя в принципе я не против госрегулирования в области защиты персональных данных. более того, большая часть требований, которые до меня дошли в виде постановок на разработку информационных систем, не кажутся мне вопиюще глупыми. требования к деперсонализации данных это нормально. в принципе, шифрование персональных данных на месте долговременного хранения это тоже нетупое требование, хотя, конечно, это создает требования к производительности и необходимости персональные данные по хранению физически отделять от остальных данных. т.е. дополнительная стимуляция деперсонализации.

ну, а про необходимость изоляции сетей и аттестации рабочих мест я выше написал.
Я с тобой согласен :)
Я нигде не писал, что не надо защищать ПДн, надо, конечно :) И деперсонализация это правильно. Только все это обычно совершенно ортогонально правилам ФСТЭК.

И нет, я не пытаюсь ничего объяснить злым умыслом, посмотри внимательно. Я как раз-таки написал то же самое, что и ты: что требования сами собой перекочевали из гостайны, никто не подумал о том, что их надо кардинально пересмотреть... а потом поняли, что зачем пересматривать-то, если так хорошо получается жить и бабло собирать?
Page 1 of 2
<<[1] [2] >>
ЛВ10

May 2015

S M T W T F S
     12
3456789
10111213141516
17181920212223
24252627282930
31      

Tags

Powered by LiveJournal.com