Подготовил я тут для одной из конференций краткую презентацию по тому, что происходит в области регулирования ИБ (и что будет происходить). Может кому будет интересно...
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
12 коммент.:
А тренда-то и нет. Разве что ФСБ сейчас должно отскочить от ПДн в что-нибудь более простое.
хм...
на 68 слайде написано: "не относится к лицензируемой деятельности блаблабла".
как-то не очень корректно написано, ибо хоть и не относится к ТО, но к распространению и оказанию услуг относится, а значит лицензируемо.
Алексей, где можно скачать руководящие документы проекта "ТРИТОН"? Если они согласованы всеми регуляторами, думаю стоит "маленьким" телекомам озаботиться приведением своих ИСПДн в соответствие "ТРИТОН"у?
Что противно, идея делить криптографию на сильную и слабую все еще не оставляет идиотов. Нет и не должно быть никакой "слабой" криптографии, это бред, маразм и фикция.
Алексей, хорошая презентация. Обо всем по-немногу. Легенькая такая, летняя :) Чтоб не расслабляться в преддверии сезона 2010-2011 :)
Ригелю: Где нет тренда?
pushkinist'у Это из проекта одного из новых документов. То, что может поменяться. А может и нет. Проект все-таки.
Andy: Их все обещают выложить в открытый доступ. Но пока нет
arkanoid: Ну идея здравая с точки зрения регулятора. Есть то, что можно сломать без ключа и то, что нельзя. Другой вопрос, что есть более простые методы доступа к шифртексту. Но это уже другой вопрос.
Алексею Волкову: Спасибо. Самому понравилось ;-)
Если что-то можно сломать без ключа, это что-то нужно выкинуть и забыть.
Нет в области криптографии у регуляторов здравых идей и быть не может. Сначала какие-то сапоги еще в 90-х понаписали ереси, согласно которой вообще никому работать нельзя никак, а теперь придумывают официальные толкования и исключения -- здесь применяем, здесь не применяем, тут рыбу заворачивали, это как бы было нельзя, но раз уж часть операционной системы, то можно, а тут пусть будет ключ короткий и прочий подобный бред.
Единственное, что можно сделать, это переписать это все по-человечески, старую нормативную базу просто выкинув туда же, где сейчас 56-bit DES.
Моя бы воля, еще и всем причастным запретив занимать любые должности, связанные с госрегулированием, законотворчеством, нормами соответствия и т д.
..все же очень просто: сначала попытались "все запретить, насадить ГОСТ и его строго лицензировать", а когда стало понятно, что реальность устроена несколько по-другому, вместо того, чтобы признать "извините, обосрались, насочиняли херню какую-то", стали изобретать такие выкрутасы, что авторы идеи подвешивать свинью в гамаке, чтобы она стала кошерной, над ними бы рыдали.
А нам с этими козлами жить зачем-то. Будто мы их об этом просили. Зато теперь мы знаем, что если не ГОСТ, то это как бы и не совсем криптография, если эксплуатировать, а если импортировать, то все-таки немножко криптография, но не совсем, а если не часть операционной системы, только вот операционная система в компьютере и маршрутизаторе это разные вещи, и так далее ad nauseam.
s/не ГОСТ/не сертифицировано/g
тоже, кстати, распространенная ошибка среди людей, которые пытаются подходить к этому с точки зрения здравого смысла, а не талмудистики.
Суров
Отправить комментарий