1.9.09

В ожидании кибер-Катрины

Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 ("Cybersecurity Act of 2009"). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает, что аналогичный нормативный акт может появиться у нас... только не такого качества ;-(

Подробнее на Компьютерре...

16 коммент.:

Vair комментирует...

Может просто мы еще не готовы для таких законопроектов...

Анонимный комментирует...

А что, уже доказали вину разработчиков ас?

Алексей Лукацкий комментирует...

А причем тут вина разработчиков? Они ведь продавали софт "as is". Хотя, как они правильно отмечают, у них 18-летний опыт таких проектов. И РусГидро говорит, что это не вина АСУ ТП.

Алексей Лукацкий комментирует...

Vair: Одному американцу недавно дали Нобелевку за то, что он доказал, что инфляция - это результат не реальных экономических процессов, а нашего ожидания их. Т.е. мы ждем, что инфляция будет 20% и она будет именно такой. Мы ждем, что нефть будет стоить 40 баксов и она будет именно такой.

В ИБ тоже самое. Мы ждем, что будет плохо - и оно будет плохо ;-) А был бы законопроект, который направлен на "хорошо" и было бы "хорошо".

Мария Сидорова комментирует...

Эх...если бы это все было у нас, и не только на уровне нормативных актов...мечты мечты...

Quiet Zone комментирует...

Да, отличный документ и в самом деле. Прям так и представляю себе, как ВВП дает поручение главам ФСТЭК и ФСБ организовать на основе призовых программ с денежными призами поиск талантливых безопасников с целью их найма на государственную службу...Смешно и грустно.
А ведь сами мерикане Америку не открыли: люди и правда важнейшшая часть ИБ. Почему же наши не видят? Может как раз потому, что никто и никогда не занимался поисками и наймом тех самых талантливых?...

Мария Сидорова комментирует...

Ну почему уж никогда то!
Методы работы странные, но работа то ведется.

Quiet Zone комментирует...

Да-да, меня, тогда еще студента, сидящего с гитарой на лавке на Цветном бульваре пригласили на работу в ФАПСИ:))) До сих пор не знаю - жалеть, что отказался или нет... Я имел в виду - именно в таком контексте, игровом, конкурсном. А так, набор не самых плохих кадров конечно ведется, уверен. А мы расхебываем заваренные им неудобоваримые каши...
ЗЫ Хотя и идеализировать документ, конечно, тоже не стоит - фидбэк на opencongress говорит, что поддерживают его только 2% посетителей. Конечно выборка оставляет желать (пользователи Интернет вряд ли будут голосовать за ограничения свобод в Интернет же), но все же...

Алексей Лукацкий комментирует...

Критика, разумеется, есть. Особенно в части выработки обязательных требований со стороны NIST. Но в остальном документ более чем грамотный.

Quiet Zone комментирует...

А СМИ больше про право первого рубильника и ограничении свободы слова говорят. ИМХО рановато. Во-первых документ говорит, что стратегия кибербезопасности всего лишь "may declare" такое право, а а во-вторых применяться оно будет только при наличии серьезной угрозы федеральным правительственным и государственным системам. В общем, надо сперва увидеть проект концепции. PS Если услышите, что Обама девелоперов набирает, свистните;)

Алексей Лукацкий комментирует...

А я про рубильник в законопроекте что-то не нашел... Может невнимательно читал?

Quiet Zone комментирует...

Sec 18 (CYBERSECURITY RESPONSIBILITIES AND AUTHORITY), часть 2:
The President—...- may declare a cybersecurity emergency and order the limitation or shutdown of Internet traffic to and from any compromised Federal Government or United States critical infrastructure information system or network;

По сути, президент может объявить кибертревогу и всем вырубить газ...тьфу, Интернет.

Алексей Лукацкий комментирует...

Не всем, а только органам власти или критическим инфраструктурам. И это логично. У нас такое требование было в пресловутом Указе Президента 351.

Quiet Zone комментирует...

Ну да, конечно, я ведь и в предыдущем посте про это упоминал. Хотя я слышал и другую трактовку, исходя из двойственности "to and from". Согласись, отключить трафик можно по-разному;)

Алексей Лукацкий комментирует...

Ну не все так мрачно ;-) Там вам не Россия ;-)

Vadim комментирует...

Зато такие гримасы Азиопы вполне смогут выявить, какой софт надёжен, а какой нет.