Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
1.7.10
Изменения в области ИБ: сегодня и завтра
Подготовил я тут для одной из конференций краткую презентацию по тому, что происходит в области регулирования ИБ (и что будет происходить). Может кому будет интересно...
Алексей, где можно скачать руководящие документы проекта "ТРИТОН"? Если они согласованы всеми регуляторами, думаю стоит "маленьким" телекомам озаботиться приведением своих ИСПДн в соответствие "ТРИТОН"у?
Что противно, идея делить криптографию на сильную и слабую все еще не оставляет идиотов. Нет и не должно быть никакой "слабой" криптографии, это бред, маразм и фикция.
pushkinist'у Это из проекта одного из новых документов. То, что может поменяться. А может и нет. Проект все-таки.
Andy: Их все обещают выложить в открытый доступ. Но пока нет
arkanoid: Ну идея здравая с точки зрения регулятора. Есть то, что можно сломать без ключа и то, что нельзя. Другой вопрос, что есть более простые методы доступа к шифртексту. Но это уже другой вопрос.
Если что-то можно сломать без ключа, это что-то нужно выкинуть и забыть.
Нет в области криптографии у регуляторов здравых идей и быть не может. Сначала какие-то сапоги еще в 90-х понаписали ереси, согласно которой вообще никому работать нельзя никак, а теперь придумывают официальные толкования и исключения -- здесь применяем, здесь не применяем, тут рыбу заворачивали, это как бы было нельзя, но раз уж часть операционной системы, то можно, а тут пусть будет ключ короткий и прочий подобный бред.
Единственное, что можно сделать, это переписать это все по-человечески, старую нормативную базу просто выкинув туда же, где сейчас 56-bit DES.
Моя бы воля, еще и всем причастным запретив занимать любые должности, связанные с госрегулированием, законотворчеством, нормами соответствия и т д.
..все же очень просто: сначала попытались "все запретить, насадить ГОСТ и его строго лицензировать", а когда стало понятно, что реальность устроена несколько по-другому, вместо того, чтобы признать "извините, обосрались, насочиняли херню какую-то", стали изобретать такие выкрутасы, что авторы идеи подвешивать свинью в гамаке, чтобы она стала кошерной, над ними бы рыдали.
А нам с этими козлами жить зачем-то. Будто мы их об этом просили. Зато теперь мы знаем, что если не ГОСТ, то это как бы и не совсем криптография, если эксплуатировать, а если импортировать, то все-таки немножко криптография, но не совсем, а если не часть операционной системы, только вот операционная система в компьютере и маршрутизаторе это разные вещи, и так далее ad nauseam.
А тренда-то и нет. Разве что ФСБ сейчас должно отскочить от ПДн в что-нибудь более простое.
ОтветитьУдалитьхм...
ОтветитьУдалитьна 68 слайде написано: "не относится к лицензируемой деятельности блаблабла".
как-то не очень корректно написано, ибо хоть и не относится к ТО, но к распространению и оказанию услуг относится, а значит лицензируемо.
Алексей, где можно скачать руководящие документы проекта "ТРИТОН"? Если они согласованы всеми регуляторами, думаю стоит "маленьким" телекомам озаботиться приведением своих ИСПДн в соответствие "ТРИТОН"у?
ОтветитьУдалитьЧто противно, идея делить криптографию на сильную и слабую все еще не оставляет идиотов. Нет и не должно быть никакой "слабой" криптографии, это бред, маразм и фикция.
ОтветитьУдалитьАлексей, хорошая презентация. Обо всем по-немногу. Легенькая такая, летняя :) Чтоб не расслабляться в преддверии сезона 2010-2011 :)
ОтветитьУдалитьРигелю: Где нет тренда?
ОтветитьУдалитьpushkinist'у Это из проекта одного из новых документов. То, что может поменяться. А может и нет. Проект все-таки.
Andy: Их все обещают выложить в открытый доступ. Но пока нет
arkanoid: Ну идея здравая с точки зрения регулятора. Есть то, что можно сломать без ключа и то, что нельзя. Другой вопрос, что есть более простые методы доступа к шифртексту. Но это уже другой вопрос.
Алексею Волкову: Спасибо. Самому понравилось ;-)
Если что-то можно сломать без ключа, это что-то нужно выкинуть и забыть.
ОтветитьУдалитьНет в области криптографии у регуляторов здравых идей и быть не может. Сначала какие-то сапоги еще в 90-х понаписали ереси, согласно которой вообще никому работать нельзя никак, а теперь придумывают официальные толкования и исключения -- здесь применяем, здесь не применяем, тут рыбу заворачивали, это как бы было нельзя, но раз уж часть операционной системы, то можно, а тут пусть будет ключ короткий и прочий подобный бред.
Единственное, что можно сделать, это переписать это все по-человечески, старую нормативную базу просто выкинув туда же, где сейчас 56-bit DES.
Моя бы воля, еще и всем причастным запретив занимать любые должности, связанные с госрегулированием, законотворчеством, нормами соответствия и т д.
..все же очень просто: сначала попытались "все запретить, насадить ГОСТ и его строго лицензировать", а когда стало понятно, что реальность устроена несколько по-другому, вместо того, чтобы признать "извините, обосрались, насочиняли херню какую-то", стали изобретать такие выкрутасы, что авторы идеи подвешивать свинью в гамаке, чтобы она стала кошерной, над ними бы рыдали.
ОтветитьУдалитьА нам с этими козлами жить зачем-то. Будто мы их об этом просили. Зато теперь мы знаем, что если не ГОСТ, то это как бы и не совсем криптография, если эксплуатировать, а если импортировать, то все-таки немножко криптография, но не совсем, а если не часть операционной системы, только вот операционная система в компьютере и маршрутизаторе это разные вещи, и так далее ad nauseam.
s/не ГОСТ/не сертифицировано/g
ОтветитьУдалитьтоже, кстати, распространенная ошибка среди людей, которые пытаются подходить к этому с точки зрения здравого смысла, а не талмудистики.
Этот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьСуров
ОтветитьУдалить