1.7.10

Изменения в области ИБ: сегодня и завтра

Подготовил я тут для одной из конференций краткую презентацию по тому, что происходит в области регулирования ИБ (и что будет происходить). Может кому будет интересно...

12 коммент.:

Ригель комментирует...

А тренда-то и нет. Разве что ФСБ сейчас должно отскочить от ПДн в что-нибудь более простое.

pushkinist комментирует...

хм...
на 68 слайде написано: "не относится к лицензируемой деятельности блаблабла".

как-то не очень корректно написано, ибо хоть и не относится к ТО, но к распространению и оказанию услуг относится, а значит лицензируемо.

Анонимный комментирует...

Алексей, где можно скачать руководящие документы проекта "ТРИТОН"? Если они согласованы всеми регуляторами, думаю стоит "маленьким" телекомам озаботиться приведением своих ИСПДн в соответствие "ТРИТОН"у?

arkanoid комментирует...

Что противно, идея делить криптографию на сильную и слабую все еще не оставляет идиотов. Нет и не должно быть никакой "слабой" криптографии, это бред, маразм и фикция.

Alexey Volkov комментирует...

Алексей, хорошая презентация. Обо всем по-немногу. Легенькая такая, летняя :) Чтоб не расслабляться в преддверии сезона 2010-2011 :)

Алексей Лукацкий комментирует...

Ригелю: Где нет тренда?

pushkinist'у Это из проекта одного из новых документов. То, что может поменяться. А может и нет. Проект все-таки.

Andy: Их все обещают выложить в открытый доступ. Но пока нет

arkanoid: Ну идея здравая с точки зрения регулятора. Есть то, что можно сломать без ключа и то, что нельзя. Другой вопрос, что есть более простые методы доступа к шифртексту. Но это уже другой вопрос.

Алексею Волкову: Спасибо. Самому понравилось ;-)

arkanoid комментирует...

Если что-то можно сломать без ключа, это что-то нужно выкинуть и забыть.

Нет в области криптографии у регуляторов здравых идей и быть не может. Сначала какие-то сапоги еще в 90-х понаписали ереси, согласно которой вообще никому работать нельзя никак, а теперь придумывают официальные толкования и исключения -- здесь применяем, здесь не применяем, тут рыбу заворачивали, это как бы было нельзя, но раз уж часть операционной системы, то можно, а тут пусть будет ключ короткий и прочий подобный бред.

Единственное, что можно сделать, это переписать это все по-человечески, старую нормативную базу просто выкинув туда же, где сейчас 56-bit DES.

Моя бы воля, еще и всем причастным запретив занимать любые должности, связанные с госрегулированием, законотворчеством, нормами соответствия и т д.

arkanoid комментирует...

..все же очень просто: сначала попытались "все запретить, насадить ГОСТ и его строго лицензировать", а когда стало понятно, что реальность устроена несколько по-другому, вместо того, чтобы признать "извините, обосрались, насочиняли херню какую-то", стали изобретать такие выкрутасы, что авторы идеи подвешивать свинью в гамаке, чтобы она стала кошерной, над ними бы рыдали.

А нам с этими козлами жить зачем-то. Будто мы их об этом просили. Зато теперь мы знаем, что если не ГОСТ, то это как бы и не совсем криптография, если эксплуатировать, а если импортировать, то все-таки немножко криптография, но не совсем, а если не часть операционной системы, только вот операционная система в компьютере и маршрутизаторе это разные вещи, и так далее ad nauseam.

arkanoid комментирует...

s/не ГОСТ/не сертифицировано/g

тоже, кстати, распространенная ошибка среди людей, которые пытаются подходить к этому с точки зрения здравого смысла, а не талмудистики.

arkanoid комментирует...
Этот комментарий был удален автором.
arkanoid комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Суров