27.04.2012

Делай, что должен, и будь, что будет!

Сразу хочу сделать замечание: я комментировать опубликованные проекты Постановлений Правительства по персданным пока не буду. Ключевые моменты я отразил, рассказывая про Форум директоров по ИБ. Дальше начинается уже глубокий анализ текста, который сейчас, наверное, не имеет смысла. Кто хочет, может посмотреть комментарии Алексея Волкова.

Я от текста тоже не в восторге, но и критиковать их, не делая попытки что-то поправить, считаю не совсем правильным. Разумеется при условии, что можно что-то поправить. Это вам не законопроект, выложенный на сайте Минэкономразвития, - там аккредитованным экспертом надо быть. Лично я внес свои предложения по изменению текста проектов постановлений. До их принятия или непринятия комментировать считаю бессмысленным. Сейчас можно что угодно говорить, но это не продуктивно. Надо вносить предложения. Если их примут, то комментировать Постановление с учетом уже внесенных правок. Если не примут, то критиковать Постановление и рассказать о сделанных предложениях, которые отвергли.

Пессимизм коллег, которые считают, что авторы постановлений хотят только собрать возражения, чтобы быть к ним готовым, когда тексты финализируют и подпишут, не разделяю. Также как и не разделяю мнение, что авторы соберут предложения и выбросят их на помойку. Тогда можно было бы вообще не собирать, а просто поставить всех перед фактом, как это было не раз в прошлом. Ну и опять же, есть у меня положительный опыт общения с авторами нормативной базы ФСБ. Если предложения здравое и не вступают в жесткую конфронтацию с позицией регулятора, то они вполне готовы их рассматривать и править текст. Я в своих предложениях старался не менять концепцию на 100% и переворачивать все с ног на голову, говоря, что все плохо и все надо менять коренным образом. В прошлогоднем протоколе Правительства, в котором предписывалось разработать эти Постановления, говорилось, что надо сохранить преемственность с уже принятыми нормативными актами. Эта задача была решена. Так что коренным образом поменять проекты не удастся, а вот убрать оттуда явные ляпы можно. Что и советую тем, кто хочет перейти от обычной критики к реальным предложениям.

1 коммент.:

andrewz66 комментирует...

Смею предположить, что все, что можно сделать в этой ситуации - это попытаться предельно конкретизировать категории потенциальных злоумышленников. В текущем виде они выглядят противоречиво. Ясно, что KH2 и KH3 - это ГРУППЫ лиц (из определения следует, что привлекаются люди из сообщества кулхацкеров). С точки зрения кулхацкеров нет особой разницы какие эксплойты писать сложнее: для приклада или для ОС. KH2 и KH3 в сущности одно и то же.
Предлагаю следующую классификацию: 1) KH1 - это те, кто реализует угрозы, используя исключительно штатные возможности ПО (кривые настройки). 2) КН2 - это те, кто использует чужие (публичные) средства реализации атак и ограничен ими (скрипт киддис). 3) КН3 - это те, кто способен самостоятельно разрабатывать новые средства и способы реализации атак, включая использование НДВ. Для параноиков можно добавить KH4 - это те, кто способен снимать информацию с физических полей, а также внедрять аппаратные закладки.