Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
14.11.12
Выложил бриллиант своей библиотеки
22 октября я написал про проект концепции защиты информации в системах обрработки информации, разработанный ФСТЭК в 92-м году. Наконец-то я отсканировал этот документ и выкладываю его для всеобщего доступа (он большой - 11 Мб).
Спасибо огромное!!! Гигантское! На первый взгляд, обалденный документ, раскрывающий суть и причины многих государственных решений (в том числе современных и непопулярных).
Обратите внимание, несмотря на классические заявленные характеристики безопасности информации - конфиденциальность, целостность, доступность - направления защиты (п.17) по сути своей направлены только на обеспечение конфиденциальности. Некоторое отношение к целостности имеет странная фраза "восстановление испорченного информационного продукта". Я так понимаю испорченного вирусами. То есть восстановление информации в случае ее утери, контроль ее целостности и достоверности в процессе обработки, обеспечение доступности СОИ (методом дублирования средств обработки, меры по восстановлению нарушенных процессов и т.п.) это типа неважно. Оно и понятно, люди, которые разрабатывали тогда этот документ, были нацелены на защиту конфиденциальности гостайны от иностранных разведок.
Проблема в том, что эти же люди, с теми же концептуальными взглядами до сих пор "рулят" этой сферой. В том числе подготовкой "специалистов по безопасности" в современных вузах. И когда эти спецы приходят на работу в обычную коммерческую фирму, то почти все их знания оказываются не очень востребованными. Ну не считая "системного подхода". И ведь простой факт - в большинстве своем для организаций важна именно целостность и доступность информационных систем, достоверность информации, а конфиденциальность ... Очень немного у нас компаний (ИМХО), раскрытие коммерческой тайны которых может нанести им ущерб, соизмеримый с затратами на создание полноценной технической системы защиты от НСД. Остальным же компаниям предлагаемые государством подходы к защите с точки зрения эффективности процессов нанесут больший ущерб, чем возможное нарушение конфиденциальности.
ЗЫ. Вспоминаю какую-то конференцию осени 2009 года, когда начали активно и широко обсуждать тему защиты ПДн. В президиуме сидели в том числе представители ФСБ и Элвис+. На вопрос из зала "этож какие затраты потребуются на выполнение требований по защите от ФСТЭК и ФСБ в современных ИС??" представитель Элвис'а так неторопливо ответил "можно сделать очень недорого - вытаскиваете дисководы и CD-ROM'ы, отключаете от ЛВС, заклеиваете USB,LPT,COM,RJ45-порты, ограничиваете вход в помещение - вуаля, дешево и сердито, мы так и предлагаем".
Зал тогда посмеялся. Время показало что зря смеялись, они были более чем серьезны в своем желании навязать свои представления о защите информации.
С сожалением приходится констатировать, в очередной раз, что идеология и концепция защиты информации (любого вида) устарела и не успевает за развитием инфокоммуникаций. «Что делать?» – вопрос такой не стоит, скорее «С чего начать?» ….. вот тут и начинаются проблемы! Высшая школа – логично, но где преподавателей взять, столько и «правильных»?, да и не с руки то как то это ….. вроде как с головы положено ….. Последние «веяния активности», вроде как и настраивают на позитив, но все это более походит на решение проблемы в контексте: «Что делать?», а вот про «С чего начать?» и где взять тех кто знает …… наверное пока проблематично. Хотелось бы верить, что ПОКА ….
Начинать надо ТОЛЬКО со школы/высшей школы. Это вопрос мышления, стереотипов (индоктринации). И время на изменение ситуации сопоставимо со временем нескольких поколений. Потому начинать надо ПРЯМО СЕЙЧАС. Естественно, что ПОКА кроме пути волонтерства в этой сфере - решений нет. А волонтерство - надо чтобы накипело и не жлобничать с имеющейся информацией/данными/наработками/опытом. За что особо благодарен Алексею Лукацкому и некоторым другим блогерам. Только вот до своего "клуба" мы все (безопасники) еще просто не доросли.
Я с обидой на нонешнею систему образования читаю возможности преподавателей в ВУЗАХ до-после войны читать открытые лекции всем подряд в ВУЗАх СССР. Бесплатно и для всех. Если ты кандидат - то можешь 4 часа читать, доктор - 8 часов. Именно МОЖЕШЬ, а не должен. Так создаются/создавались НАУЧНЫЕ ШКОЛЫ. Почти все наши великие академики начинали с прослушивания таких лекций (насколько читал и помню).
Но вот ни ВУЗ сейчас, ни преподаватель такого в большинстве делать не будет ((( Не говоря уже о том, что лично я, например, если пойду в наш политех, при всем моем желании не смогу читать лекции по своей рабочей специальности. Система не позволит.
Гы )))) Когда домой прихожу силов не хватает, возраст что ли... Но именно по этому пути и иду, когда удается себя заставить)))) Ну может чуть более извилистому пути но направление именно это.
Когда писал предположение относительно автора к предыдущему посту, не рискнул опубликовать вторую часть реплики, в которой высказывал предположение о том, что презентируемый "бриллиант" не может быть лучше ныне существующих документов (это очень мягкий пересказ смысла реплики). Решил дождаться и ознакомиться с исходником. Дождался! И не обманулся! - Бред полный!!! Терминологический эквилибр и словесное жонглирование, причем и то и другое за гранью логики. Неужели вы этого не видите? Вчитайтесь, вдумайтесь, сопоставьте. Вы всё увидите и поймёте. Начинать со школы (в т.ч. и высшей) - утопия. Школа дает результат минимум через 10 лет. Это при правильном преподавании. А его-то как раз и нет. Преподаватели вбивают в головы студентов ту лабуду, которая есть в учебниках, а после обучения все должны выполнять то, что написано в законах. Это порочный круг. Его разорвать может только самая врхняя власть. Но для этого нужна политическая воля. Тут даже ФСТЭК бессильна: нужно менять законодательство, а это не в их компетенции, менять нужно научную парадигму, а это не в их возможностях. Замкнутый и порочный круг, причём расширяющийся. Ведь в результате аутопоэтического воспроизводства система воспроизводит не только саму себя, коммуникации и смыслы, но и тенденции. А тенденции переломить труднее всего. Вот такая нерадостная "картина маслом".
Спасибо огромное!!! Гигантское! На первый взгляд, обалденный документ, раскрывающий суть и причины многих государственных решений (в том числе современных и непопулярных).
ОтветитьУдалитьОбратите внимание, несмотря на классические заявленные характеристики безопасности информации - конфиденциальность, целостность, доступность - направления защиты (п.17) по сути своей направлены только на обеспечение конфиденциальности. Некоторое отношение к целостности имеет странная фраза "восстановление испорченного информационного продукта". Я так понимаю испорченного вирусами. То есть восстановление информации в случае ее утери, контроль ее целостности и достоверности в процессе обработки, обеспечение доступности СОИ (методом дублирования средств обработки, меры по восстановлению нарушенных процессов и т.п.) это типа неважно.
ОтветитьУдалитьОно и понятно, люди, которые разрабатывали тогда этот документ, были нацелены на защиту конфиденциальности гостайны от иностранных разведок.
Проблема в том, что эти же люди, с теми же концептуальными взглядами до сих пор "рулят" этой сферой. В том числе подготовкой "специалистов по безопасности" в современных вузах. И когда эти спецы приходят на работу в обычную коммерческую фирму, то почти все их знания оказываются не очень востребованными. Ну не считая "системного подхода". И ведь простой факт - в большинстве своем для организаций важна именно целостность и доступность информационных систем, достоверность информации, а конфиденциальность ... Очень немного у нас компаний (ИМХО), раскрытие коммерческой тайны которых может нанести им ущерб, соизмеримый с затратами на создание полноценной технической системы защиты от НСД. Остальным же компаниям предлагаемые государством подходы к защите с точки зрения эффективности процессов нанесут больший ущерб, чем возможное нарушение конфиденциальности.
ЗЫ. Вспоминаю какую-то конференцию осени 2009 года, когда начали активно и широко обсуждать тему защиты ПДн. В президиуме сидели в том числе представители ФСБ и Элвис+. На вопрос из зала "этож какие затраты потребуются на выполнение требований по защите от ФСТЭК и ФСБ в современных ИС??" представитель Элвис'а так неторопливо ответил "можно сделать очень недорого - вытаскиваете дисководы и CD-ROM'ы, отключаете от ЛВС, заклеиваете USB,LPT,COM,RJ45-порты, ограничиваете вход в помещение - вуаля, дешево и сердито, мы так и предлагаем".
ОтветитьУдалитьЗал тогда посмеялся. Время показало что зря смеялись, они были более чем серьезны в своем желании навязать свои представления о защите информации.
С сожалением приходится констатировать, в очередной раз, что идеология и концепция защиты информации (любого вида) устарела и не успевает за развитием инфокоммуникаций. «Что делать?» – вопрос такой не стоит, скорее «С чего начать?» ….. вот тут и начинаются проблемы! Высшая школа – логично, но где преподавателей взять, столько и «правильных»?, да и не с руки то как то это ….. вроде как с головы положено ….. Последние «веяния активности», вроде как и настраивают на позитив, но все это более походит на решение проблемы в контексте: «Что делать?», а вот про «С чего начать?» и где взять тех кто знает …… наверное пока проблематично. Хотелось бы верить, что ПОКА ….
ОтветитьУдалитьНачинать надо ТОЛЬКО со школы/высшей школы. Это вопрос мышления, стереотипов (индоктринации). И время на изменение ситуации сопоставимо со временем нескольких поколений. Потому начинать надо ПРЯМО СЕЙЧАС. Естественно, что ПОКА кроме пути волонтерства в этой сфере - решений нет. А волонтерство - надо чтобы накипело и не жлобничать с имеющейся информацией/данными/наработками/опытом. За что особо благодарен Алексею Лукацкому и некоторым другим блогерам. Только вот до своего "клуба" мы все (безопасники) еще просто не доросли.
ОтветитьУдалитьЯ с обидой на нонешнею систему образования читаю возможности преподавателей в ВУЗАХ до-после войны читать открытые лекции всем подряд в ВУЗАх СССР. Бесплатно и для всех. Если ты кандидат - то можешь 4 часа читать, доктор - 8 часов. Именно МОЖЕШЬ, а не должен. Так создаются/создавались НАУЧНЫЕ ШКОЛЫ. Почти все наши великие академики начинали с прослушивания таких лекций (насколько читал и помню).
Но вот ни ВУЗ сейчас, ни преподаватель такого в большинстве делать не будет ((( Не говоря уже о том, что лично я, например, если пойду в наш политех, при всем моем желании не смогу читать лекции по своей рабочей специальности. Система не позволит.
Онлайн-курсы делай. На youtube
ОтветитьУдалитьГы )))) Когда домой прихожу силов не хватает, возраст что ли... Но именно по этому пути и иду, когда удается себя заставить)))) Ну может чуть более извилистому пути но направление именно это.
ОтветитьУдалитьКогда писал предположение относительно автора к предыдущему посту, не рискнул опубликовать вторую часть реплики, в которой высказывал предположение о том, что презентируемый "бриллиант" не может быть лучше ныне существующих документов (это очень мягкий пересказ смысла реплики). Решил дождаться и ознакомиться с исходником. Дождался! И не обманулся! - Бред полный!!! Терминологический эквилибр и словесное жонглирование, причем и то и другое за гранью логики. Неужели вы этого не видите? Вчитайтесь, вдумайтесь, сопоставьте. Вы всё увидите и поймёте.
ОтветитьУдалитьНачинать со школы (в т.ч. и высшей) - утопия. Школа дает результат минимум через 10 лет. Это при правильном преподавании. А его-то как раз и нет. Преподаватели вбивают в головы студентов ту лабуду, которая есть в учебниках, а после обучения все должны выполнять то, что написано в законах. Это порочный круг. Его разорвать может только самая врхняя власть. Но для этого нужна политическая воля. Тут даже ФСТЭК бессильна: нужно менять законодательство, а это не в их компетенции, менять нужно научную парадигму, а это не в их возможностях. Замкнутый и порочный круг, причём расширяющийся. Ведь в результате аутопоэтического воспроизводства система воспроизводит не только саму себя, коммуникации и смыслы, но и тенденции. А тенденции переломить труднее всего.
Вот такая нерадостная "картина маслом".