В среду меня неожиданно, в связи с отказом одного из докладчиков, коллеги из ФСТЭК попросили выступить на PHDays на их секции с интригующим названием "Почему госсекреты появляются в Интернете". Пришлось придумывать про что рассказывать и срочно ваять презентацию. Выбрал тему СТР-К, т.к. делиться деталями или недостатками СТР для публичной аудитории не совсем правильно (или совсем неправильно). Учитывая, что готовится новая версия СТР-К, старую версию можно было покритиковать, что я и сделал ;-)
Собственно, критика достаточно проста и понятна - СТР-К морально устарел. Все-таки с 2002-го года госорганы давно ушли вперед в части информатизации - стали применять Интернет, облака, мобильные устройства, аутсорсинг, Web-сайты и т.д. СТР-К, да и другие РД ФСТЭК 92-го года на все это ну никак не натягивается.
Собственно, критика достаточно проста и понятна - СТР-К морально устарел. Все-таки с 2002-го года госорганы давно ушли вперед в части информатизации - стали применять Интернет, облака, мобильные устройства, аутсорсинг, Web-сайты и т.д. СТР-К, да и другие РД ФСТЭК 92-го года на все это ну никак не натягивается.
Алексей, зря вы не вспомнили про свой же пост по поводу психологии для CISO.
ОтветитьУдалитьСТР и СТР-К конечно марально устарели, однако как мне кажется не это является первопричиной утечек тех баз данных, которые продаются на рынках. Все же понимают, что их не хакеры своровали :). А свои же допущенные сотрудники вынесли.
При том уровне оплаты в госорганах, отсутствии хоть какой-то идеологической мотивации, которая была в СССР (ды вы что, продажа секретов шпиенам??!) ну и конечно отсутствие неотвратимости наказания (кто слышал про наказание за продажу служебной информации?) и дает текущую ситуацию.
И никакой суперсовременный и технологичный СТР(-К)-2012 это не исправит. В коммерческих компаниях не понимают, что для эффективной ИБ надо работать с людьми, а уж в госорганах...
Ну я выступал после Андрея Федичева из ФСТЭК, который про все это говорил. Я его только дополнил
ОтветитьУдалитьСоглашусь с теской)...Если организационной защиты нет, то защиты нет как таковой. Нужна лояльность, мотивация ответственности, неотвратимость наказания) с мотивацией конечно трудно) за секретность платят, почему бы за конфиденциальность не приплачивать) И конечно же "контроль и учет, а над этим сверх контроль и сверх учет")
ОтветитьУдалитьНу самое главное, что на месте не стоит Иб..только жаль, что мнения экспертов под час мало влияют(
А вчерашний переход на полный электронный документооборот правительства на айпеды? Как Вам?
ОтветитьУдалитьhttp://www.rg.ru/2012/05/31/dokumenti-site-anons.html
Алексей, извиняюсь за небольшой офтопик.
ОтветитьУдалитьНе у Вас ли в блоге проскакивала ссылка на англоязычную статью с описанием двух подходов к монетизации последствий рисков ИБ? Ищу-ищу, не могу найти, может не там ищу?:)
Ну СТР-К только ленивый не пинает, мне кажется это уже не модно, Алексей. Гостайна появляется в энторнетах по двум причинам:
ОтветитьУдалить1. Потому что это совсем не гостайна (хотя бы проанализируйте все последние уголовные дела за разглашение).
2. Потому что гостайну воруют везде и никакие СТР-К здесь не помогут.
PHD удался, но доклады честно говоря там были не главное и фактически никакие :-)