22.10.12

Еще один бриллиант моей библиотеки

Иногда, в минуты отчаяния по поводу того, что происходит в области регулирования ИБ, я обращаюсь к своей библиотеке, которая уносит меня в мир грез и фантазий на тему: "Как могла бы развиваться информационная безопасность в России, если бы приняли все те документы, что разрабатывались в свое время". Про "Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России" 92-го года выпуска я уже писал 3 года назад. Про проект системы нормативных актов ФСТЭК 2005-го года тоже писал и тоже 3 года назад.

И вот новый бриллиант, который казался мне утерянным. Это тоже проект Концепции защиты информации в системах обрработки информации (СОИ). Причем этот документ является нечто средним между Доктриной информационной безопасности и Концепцией защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, разработанной Гостехкомиссией. Если Доктрина очень высокоуровнева и ничего конкретного о защите информации не говорит, то второй документ достаточно узок и описывает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.

А вот бриллиант из моей библиотеки достаточно конкретен и при этом высокоуровневый. Как видно из оглавления он описывает то, как должна строиться защита информации в государстве, какие нормативные акты должны быть приняты для регулирования данного вопроса, какие государственные органы должны заниматься защитой информации, что должно финансироваться государством для того, чтобы отрасль ИБ не загнила, как готовить кадры. Сразу отвечу на вопрос по поводу быка на иллюстрации. Фиг знает откуда он, как собственно и куча рукописных пометок на страницах. Они точно не мои. Есть у меня подозрения, чья это рука, но озвучивать не буду ;-)



Вернемся к документу. Я думаю его отсканировать и выложить, а пока только некоторые выдержки (тезисно). О чем же писали разработчики?
  • Описываемый в концепции ущерб связан с материальными, финансовыми, политическими, военными, экономическими потерями, снижением обороноспособности страны, нарушениями и изменениями прав и интересов государства, организаций и граждан и т.д. (в приложении даже перечислены конкретные виды ущерба).
  • Целью защиты является предотвращение или минимизация ущерба. Ну чем не подход на базе анализа рисков? И вообще, документ базируется на том, что нет ущерба от реализации угрозы и беспокоиться по ее поводу не надо.
  • Принцип неполной формализуемости, которые предполагал, что защита не может быть формализована до конца и содержание этапов защиты информации формулироваться должно только на содержательном уровне и их механическое осуществление в общем случае невозможно.
  • Осуществление непрерывного процесса защиты информации возможно лишь на базе промышленного производства средств защиты.
  • Активизация разведывательной деятельности США, появление новых стратегий и устремлений на ведение "информационной войны" против государства. Уже в 92-м году упоминались информационные войны!
  • Дифференциация степени конфиденциальности информации.
  • Рост квалификации пользователей, которые могут использовать свою квалификацию для создания вредоносного кода.
  • Система защиты информации должна строиться на 3-х уровнях иерархии - государственное управление, уровень министерства, ведомства, отрасли и уровень организации.
  • Госорган управления по защите информации должен быть один! И он должен в том числе осуществлять международное сотрудничество с другими госорганами по защите информации!
  • Разработка отраслевых требований по безопасности информации.
  • Техническая политика в области защиты информации должна строиться на базе практики (в том числе и мировой).
  • СЗИ не должны разрабатываться отдельно, а должна быть составной частью процесса разработки системы обработки информации.
  • Одним из перспективных направлений в области аутентификации считалось применение одноразовых паролей (в 92-м году), биометрии, генераторов и хранилищ паролей, диалоговых паролей (звуковых и графических).
  • СЗИ от НСД должны интегрироваться с СКУД.
  • Описаны направление стандартизации вопросов защиты информации. При этом одной из целей стандартизации является повышение качества отечественных СЗИ и их конкурентоспособности на мировом рынке.
  • Очень интересный раздел по правовому и кадровому обеспечению защиты информации
Вот такой документ... Кстати, кто его автор я тоже не знаю. От руки написано, что это проект Гостехкомиссии. Вполне допускаю. Но ходу ему так и не дали - в числе принятых документов ФСТЭК или иных регуляторов по ИБ его нет.

6 коммент.:

Алексей Т. комментирует...

Увы и ах...

ZZubra комментирует...

Текст таких документов - это здорово!

Алексей Т. комментирует...

Юбилей между прочим - 20 лет документу. Представляете что бы было сейчас, если бы его приняли и использовали все 20 лет ? ;-)

Алексей Лукацкий комментирует...

Ну начало 90-х вообще были переломными. Если бы результаты комиссии Рыжова приняли (http://lukatsky.blogspot.com/2012/06/blog-post_20.html), то мы бы жили в другом обществе. Как минимум, с точки зрения безопасности

Атаманов Г. А. комментирует...

Попробую угадать: автором этого опуса, скорее всего, был господин С.Вихорев?

Алексей Лукацкий комментирует...

Честно говоря, не знаю. У меня даже названия документа нет - только рукописный текст на первой странице