18.01.2011

Как ФСБ препятствует стратегии развития информационного общества ;-(

Вот забавно иногда смотреть на то, как здравые в общем-то потуги наших чиновников приобщиться к современным ИТ-технологиям рубяися на корню нашими "безопасными" регуляторами.

Итак в Свердловской области запретили чиновникам администрации использовать Skype и бесплатную Web-почту. Причина проста - ФСБ провел анализ ИТ-деятельности чиновников и обнаружил их странную зависимость от зарубежных производителей ПО, СВТ и средств связи. Действительно странная зависимость; особенно при полном отсутствии адекватной замены со стороны отечественных производителей.

На фоне этого запрета достаточно интересно смотрится интервью с руководителем аппарата правительства Пермского края Макаром Германом. Та же должность, что и в Свердловске. Да и Пермский край граничит со Свердловской областью (правда федеральные округа разные). В этом интервью Макар Герман говорит здравые для CIO вещи. Мол, не зачем мне быть зависимым от производителей ПО и держать большой штат ИТ-специалистов. Он рассматривает возможность ухода в "облака" и использования salesforce.com и сервисов Google для работы пермской администрации. Журналист его спрашивает про безопасность, а ему в ответ - нет ничего у нас секретного; все что есть и так защищено по самое некуда. А остальное все равно где хранить - в Европе, Китае, Австралии или России. Здравый подход. Вот только как к этому отнесется местное ФСБ?..

21 коммент.:

Ruslan комментирует...

Сам сижу на сервисах google, но считаю не дело государевой службе пользоваться ими. Как-то режет глаз, когда видишь на визитке начальника департамента адрес vasya.pupkin@gmail.com, как впрочем и на визитках заведующих кафедр ВУЗов. IMHO, здесь ФСБ выступают не как защитники информации, а как имеджмейкеры (или как их там по-правильному).

Baevsky комментирует...

to Ruslan: Сделайте mail.ru лучше - и не будет резать :)

Алексей Волков комментирует...

Относительно сказанного возражения некоторые имею я. Профессионалам разведки давно известно, что изучение, анализ и сопоставление фактов и информации, размещенной в открытых источниках, дает порой точно такие же сведения, как если бы ломануть самый сверхзащищенный сервер. Так что, коллеги, давайте не будем доходить до маразма в построении информационного общества.

Сервисы гугла и облака - это конечно круто и здорово, однако мое мнение - что эти сервисы в госструктурах должны использоваться там, где осуществляется их взаимосвязь с обществом. В остальном же стоит крепко подумать перед их использованием.

Я не поклонник ФСБ-шных и ФСТЭК-овских подходов к обеспечению безопасности информации, однако всегда выступаю за достижение разумного баланса, в том числе и между ИТ (доступность сервиса) и ИБ (конфиденциальность информации). Ну а целостность - пополам :)

Андрейка комментирует...

Вас не смутила фраза "правительство Свердловской области предписывает местным чиновникам использовать только сертифицированное в РФ ПО" ? Тут либо как-то журналисты фразу не так построили, либо их реально обяжут пересесть на сертифицированное ПО (причем каждая прога должна иметь серитификат? =)).

magicandy комментирует...

Интересно, Макар Герман, где имя, а где фамилия? :)

Алексей Волков комментирует...

to magicandy: ох уж эти айтишные перевертыши... вечно у них так - не поймешь, где Г а где Ж. И подходы такие же :)

magicandy комментирует...

Согласен с Алексеем Волковым: своих надо выращивать специалистов, и работу им давать, иначе все понимают где будет место нам...

Алексей Лукацкий комментирует...

Под сертифицированным ПО видимо понимали сертифицированные СЗИ, т.к. программа перевода чиновников на СПО только начата и никакого сертифицированного ПО там пока еще нет.

Что же касается своих - специалистов или ПО - я согласен. Но их надо вырастить, а потом запрещать. А не сначала запрещать, а потом выращивать. Стратегия развития информационного общества запущена (причем в обоих смыслах этого слова) и до ее результатов нам пока далековато.

Алексей Волков комментирует...

> Но их надо вырастить, а потом запрещать.

Специалисты по ИТ и ИБ есть, но в силу невостребованности очень скоро превращаются в неспециалистов. А несертифицированное ПО запрещают не потому, что чего-то боятся, а потому, что на этом можно заработать. А зарабатывать позволяет СИСТЕМА - та же самая, которая борется с коррупцией и развивает информационное общество :)

Stac комментирует...

Использование госчиновниками (ну или другими ответственными людьми) бесплатных сервисами третьих сторон - это головопятство, если не халатность.

Ок, вам нечего скрывать, но не надо забывать, что информационная безопасность стоит на трех китах, кроме, конфиденциальности, есть еще доступность и целостность информации.

Очевидно, что ни gmail, ни mail.ru не могут с гарантией обеспечить ни то, ни другое (и не удивительно, их бизнес - реклама).

А Макар, так легко готовый отдать ИТ-инфраструктуру на откуп третьим лицам, может в одночасье всю ее и потерять ("отказ в обслуживании").

doom комментирует...

Алексей, область-то Свердловская, а город Екатеринбург ;)

А по сути - почему обязательно использовать несуществующие отечественные аналоги? Можно вполне себе использовать корпоративные решения - по той же совместной работе (как будто у циски их нет ;) ), электронной почте и т.п. Причем от грамотно построенной среды совместной работы проку будет на порядок больше, чем от Skype'ов и гуглов - их использование это скорее проявление крайне низкой степени информатизации правительства области.

Алексей Лукацкий комментирует...

Хоть бы кто вопрос о модели угроз поднял ;-( А от нее и зависит правомочность использования облачных западных ресурсов.

Что касается низкой степени информатизации, то как раз наоборот. Применение аутсорсинга показывает гораздо более высокий уровень информатизации. Не говоря уже о желании снижения издержек, что является одной из задач ИТ.

Ну а про то, что облачные технологии не могут обеспечить доступность... Как будто российские технологии могут ;-) Я скажу больше. В доступность западных облаков я верю больше, чем в российские. У нас, например, в Cisco ScanSafe 100% uptime в течение 7 (!) лет. Хоть один российский провайдер услуг может похвастаться такими показателями? Очень сомневаюсь.

pushkinist комментирует...

ну скайп же как раз недавно падал

doom комментирует...

Соглашусь с pushkinist - что Skype, что гугл - иной раз подводят. А спросить не с кого (если бы правительство имело договор с гуглом с конкретным SLA - другое дело).

Ну а эффективность от совместной работы при использовании Skype, gmail и Googledocs совершенно несравнима от, например, связки Sharepoint, Office, Lync, Exchange и та же телефония от Cisco.

P.S. Кроме того не надо понимать, что я против облачных ресурсов - пожалуйста, но в частном облаке, а не публичном (которое вполне может быть при этом внешним).

Алексей Волков комментирует...

> Хоть бы кто вопрос о модели угроз поднял ;-( А от нее и зависит правомочность использования облачных западных ресурсов.

Я вроде говорил об этом - но не терминами ФСТЭК, а нормальным языком.

> Ну а про то, что облачные технологии не могут обеспечить доступность... Как будто российские технологии могут ;-)

Зато вряд ли зарубежные облака и Гугл обеспечат конфиденциальность. Они же за бугром - там БэБэ хозяева ;)

> Не говоря уже о желании снижения издержек, что является одной из задач ИТ.

Бесплатный сыр? :)

avetjan комментирует...

Есть такая байка про то как иракские ПВО тоже 100% uptime 12 (!) лет, а потом бац и какбе не стратанули вовремя...

Алексей Волков комментирует...

> иракские ПВО

Наши стратегические тоже uptime и гораздо дольше, да только стартанут ли? Вон Булава - и та валится как птичье д... :)

Алексей Лукацкий комментирует...

Ох уж эти поиски врага там, где его нет ;-) Если большинство граждан привыкает пользоваться Skype, то почему чиновники для общения с гражданами не могут это делать? Если администрации не дают денег на ИТ и она не может купить продукцию MS и отсутствуют отечественные ИТ-решения, то почему чиновники не могут использовать западные облака для обработки несекретной информации?

Да, Skype и Google иногда падают. И что? Возможно BIA показывает, что это не критично, а моделирование угроз считает угрозы нарушения конфиденциальности и целостности неактуальными.

ЗЫ. Интересно, много ли из спорящих ездит на отечественных авто?

Алексей Волков комментирует...

> Ох уж эти поиски врага там, где его нет

Не скажите ;)

> почему чиновники не могут использовать западные облака для обработки несекретной информации

Потому что ББ смотрит за ними, а что видит - третий камент сверху :)

> Интересно, много ли из спорящих ездит на отечественных авто?

Я ездю на импортном (европейском), и скажу, что немногим лучше нашего.

Алексей Лукацкий комментирует...

Ну то есть все-таки на импортном ;-) С софтом и ИТ также ;-) Я уже не говорю, что все эти споры вокруг закладок в иностранном софте смешны при условии, что у нас вся элементная база иностранного происхождения.

Алексей Волков комментирует...

> Ну то есть все-таки на импортном ;-)

Ну да... :) Немногим, но все-таки лучше ;) То что с софтом и ИТ такая же петрушка - согласен, и потому в этой связи смешно выглядят наши потуги:

http://anvolkov.blogspot.com/2011/01/blog-post_18.html

Сначала спасали АвтоВАЗ, валя им бабло, которое оседало в карманах 25 его вице-президентов, теперь - отечественный софт, по такой же схеме.

> вокруг закладок в иностранном софте

Это вообще - как у Задорнова :)