Pages - Menu

Страницы

21.12.12

Сравнение четверокнижия, приказа 58 и проекта нового приказа по ПДн

Прочитал на DLP-Expert открытое письмо Геннадия Атаманова директору ФСТЭК с резкой критикой нового проекта приказа ФСТЭК. К сожалению, 40 страниц конкретных замечаний, о которых пишет Геннадий, я не видел, поэтому не буду обсуждать данное письмо. Скажу только, что я не согласен с оценкой, данной Геннадием. Я считаю, что новый проект не просто коренным образом отличается от всего предыдущего сделанног оФСТЭК, но и является серьезным скачком вперед, о чем я также написал на DLP Expert'е.

Но чтобы не давать качественных оценок, а говорить предметно, я попробовал сравнить три документа по ПДн, которые ФСТЭК выпустила за последние 5 лет. Речь идет о первом "четверокнижии" 2008-го года, приказе №58 года 2010-го и проекте нового приказа выпуска 2012-го года. Я не стал пока сравнивать наборы защитных мер в этих документах - результат будет явно не в пользу предыдущих документов. Не только по числу защитных мер, но и по их сути. Обманные системы, DLP, обнаружение скрытых каналов, SIEM-решения, терминальный доступ... Всего этого раньше в документах ФСТЭК просто не было. Спорить можно только о "русском языке" в названии предлагаемых защитных мер - там есть что править. Но на качестве документа это не сказывается, на мой взгляд. Тем более, что речь идет о проекте, а не финальной версии, в которой будут еще правки.

Итак, конкретные защитные меры я не рассматриваю. Поэтому концентрируюсь на немного иных критериях оценки, которые всегда вызывали вопросы и нарекания со стороны операторов ПДн. Это не только вопросы оценки соответствия (сертификация и аттестация) или лицензирования деятельности оператора ПДн в части ТЗКИ, но и требования борьбы с утечками по техническим каналам, требование проверки ПО ИСПДн и СЗИ на отсутствие НДВ, возможность выбора защитных мер в зависимости от актуальности угроз и используемых технологий обработки информации (очевидно, что защитные меры для мобильного устройства, станционарного ПК и сервера в облаке будут совершенно разными). Взяв эти критерии за основу, я свел их в единую табличку и вот, что получилось.


На мой взгляд, все очевидно. Ухудшение только по двум направлениям. Первое - оценка соответствия средств защиты в форме обязательной сертификации. Насколько я знаю, от этого требования откажутся и останется "старая" формулировка из закона - оценка соответствия в установленном порядке. И второе - раньше для ИСПДн низшего класса защитные меры можно было выбирать самостоятельно (или вообще ничего не делать). Сейчас такого нет и защищать ПДн надо, начиная с 4-го уровня защищенности, даже если данные общедоступные. Но тут, увы, поделать ничего нельзя, - таковы требования вышестоящего нормативного акта - Постановления Правительства №1119.

И в чем же тогда ухудшение ситуации, о котором часто говорят эксперты? В отсутствии литературного русского языка? В возможности самостоятельно выбирать оператору защитные меры? В учете используемой для обработки ПДн технологии?

Да, пока не решен вопрос с методикой моделирования угроз. Но документ пишется и в 2013-м году будет опубликован. Вопрос определения актульности типа угроз я считаю неактуальным ;-) В ПП-1119 написано, что это ответственность оператора. Да, пока не понятно, что скрывается за каждой из мер, указанной в проекте нового приказа. Но документ с описанием состава мер также пишется и будет в 2013-м году опубликован.

Так в чем же хуже стало?

44 комментария:

  1. Алексей, я уважаю Вашу точку зрения и конечно трудно судить о критике не видя предмета обсуждения. Правильнее было бы увидеть эти 40 листов, мало того сообществу это необходимо! Но …. Вы как эксперт ну не могли «заметить» (ну так, для начала) речь то в проектах идет только об ИС, а в указе Президента от 17 марта 2008 г. № 351 (кстати на него ссылка в этих документах) речь то идет не только об ИС, а это самое начало документа и вопрос: вроде как собрались защищать ИС, а меры описываемые там гораздо шире ….. Вы как эксперт – высказались, и ушли в тень …., простите но нам работать надо и, что не маловажно, общаться с Регуляторами. Опять вопросы, опять грабли ….
    Вас интересуют векторы заданные в «Требованиях …..», но векторы и так заданы в ПП, а тут мы (те кому ручками-ручками) ждем готовых бизнес процессов и что бы без лишних вопросов.
    Да я видел эти 40 страниц, да там критика, в основном, по методологии и по вопросам однозначности применяемых терминов-понятий-тезауруса в целом, НО! не зная как устроена система (однозначно!) нельзя написать бизнес процесс!, причем понимаемый однозначно и Регулятором, и тем кто управляет этим бизнес-процессом!
    Вы не представляете, но до сих пор РКН требует у оператора ПДн (при проверках) какие то Положения …… А вот потому что!

    ОтветитьУдалить
  2. Ан нет, Алексей Вы не правы,40 страниц то есть в приложениях к статье! Прошу прощения.

    ОтветитьУдалить
  3. Их выложили после написания заметки. Я почитаю и отвечу

    ОтветитьУдалить
  4. Константин, вы про проект по ПДн или про проект по госорганам говорите?

    ОтветитьУдалить
  5. Прочитал все замечания. Очень много здравого смысла и попытки выйти на научный уровень.
    С чем-то можно спорить, как с "профессиональными" понятиями, но в целом комментарии поддерживаю. Проблемы реализации документа возникают именно по указанным причинам толкования непонятных (понимаемых как угодно) требований.
    Возможно ли учесть эти замечания. Нет, потому что их учет требует создания в первую очередь тезауруса ясно и однозначно понимаемого, что как показывает практика и система нормативных документов в РФ невозможно.
    А вообще вспомню свою сказочку по этому поводу:
    Зюзючно
    Дело было так. Собрались Законотворцы и решили написать Закон - очень уж народ ждал его и почти отчаялся. Но вот поди ж. И получился он у них правильный. И написан он был именно для народа - понятен, прозрачен, с примерами и, что самое главное, не требовал толкования шаманов-юристов, дерущих непомерных грошей за свои толкования 50 на 50, что угадают.
    Только одна неувязочка с ним вышла. Написано было, что исполняться все, что положено, должно зюзючно.
    И касался тот Закон Башковитого Мужика. Вся округа ходила к нему за советом. Почитал он тот Закон и призадумался. Все ясно ему стало, кроме этого самомго зюзючно. Посетовал Мужик, что отстал от жизни и полез по другим Законам искать объяснение. Не нашел.
    Поискал он тогда в понятиях Главного Надзорного за исполнением Закона, что сие зюзючно означает. И тут не нашел.
    Решил Мужик, что совсем от жизни отстал и давно все знают, что такое зюзючно и это есть устаканившееся понятие. Прошерстил библиотеку. И получил он такие результаты:
    1. БСЭ: зюзючно - есть с максимальными усилиями.
    2. Энциклопедический словарь Брокгауза и Ефрона: зюзючно - есть с минимальными усилиями.
    3. Толковый словарь живого великорусского языка Владимира Даля: зюзючно - есть с минимальными затратами.
    4. Словарь русских синонимов и сходных по смыслу выражений: зюзючно - есть с максимальными затратами.
    5. Большой юридический словарь: зюзючно - не прилагая усилий и затрат.
    Призадумался Мужик. Не сходились у него концы с концами. Решился тогда он тогда на последний шаг и запустил новомодную штукенцию Тырнет. Нашел самые посещаемые форумы, где обсуждали Закон.
    И увидел Мужик, что все Мудрые Мужи, коих в тайне почитал он за Учителей своих, давно поделились на 5 лагерей. И каждый из них пользуется понятием из своего любимого словаря. И доказывает кто как может, что прав он. Было еще несколько индивидуумов - так те свои определения выдумывали.
    И так стало Мужику тошно. Взял он тот Закон и пустил на самокрутки. А когда приходили к нему за советом, как сделать зюзючно - только морщился, фыркал и наливал посетителю чаю с баранками. Только зимой, когда Мужик рубил дрова, соседи могли разобрать его бормотание, мол придет Главный Надзорный за исполнением Закона и тогда всем зюзючно будет...

    Мораль: Закон должен писаться для простого человека со средним образованием и не требовать дополнительного толкования.
    Следствие: базовые однозначно трактуемые понятия являются основой любого законотворчества.

    ОтветитьУдалить
  6. Алексей, Да, конечно, про «Требования для госов», которые и рассматривает Атаманов Г.А., они ведь тоже предназначены и для ИСПДн только гос. и муниципальных. А что в «Требованиях для всех остальных» все хорошо и прозрачно, ой ли? Дело в том, что по логике вещей ПД обрабатываемые в гос ИС не становятся «персональней» от этих же ПД но во всех остальных ИС – или я не прав?

    ОтветитьУдалить
  7. Алексей, а как Вы считаете (
    с правовой точки зрения) проект документов ФСТЭК соответствует норме ФЗ 152 о том, что федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, определяются меры необходимые для выполнения установленных Правительством Российской Федерации требований (в проекте меры связаны с абстрактными цифрами уровней защищенности, а требования из ПП 1119 "повисли в воздухе")?

    ОтветитьУдалить
  8. Как подтверждение того, что в документе должно быть всё точно: в моей реплике тоже речь шла не о 40 страницах замечаний к тексту, а о том, что в документе 40 страниц. А замечания сделаны только к некоторым пунктам (это уже в тексте письма).
    А почему к некоторым, а не ко всему тексту? А потому, что для того, например, чтобы поставить диагноз, нет необходимости выкачивать из человека всю кровь. Достаточно всего одной капли. Если в ней есть частицы яда, то и вся кровь отравлена.
    Я мог бы проанализировать каждый пункт и даже со ссылками на законы логики и правила русского языка. Но зачем? Зачем тратить огромное количество времени на подтверждение того, что очевидно? Кроме того одни и те же недостатки встречаются там десятки раз в разных пунктах и в разных интерпретациях. Я один раз уже потратил кучу времени на такую работу – анализировал 152-ФЗ. И то к концу устал. По тексту это, наверное, чувствуется.
    И скажите, пожалуйста, зачем искать в «отравленной ядом крови» здоровые эритроциты? Если организм ещё жив, то они наверняка там есть. Лечить надо организм! Весь! И первое, что в таких случаях нужно делать – избавить кровь от яда. В нашем случае – документ от логических, стилистических и грамматических ошибок.
    Ведь не зря же англичане придумали закон, по которому НПА, в котором 3 и более всего лишь грамматических (а не логических и стилистических, как в нашем случае) ошибок, не подлежит исполнению.
    И как выполнять требования, если (цитирую Вас) "… пока не понятно, что скрывается за каждой из мер, указанной в проекте нового приказа" и «не решен вопрос с методикой моделирования угроз» и не решено ещё много других вопросов, но при этом создана огромная масса неоднозначностей и откровенных глупостей?

    ОтветитьУдалить
  9. ZZubra, огромное спасибо за притчу!
    Авторская? Можно использовать?

    ОтветитьУдалить
  10. 2Атаманову

    Авторская. Пользуйтесь по своему усмотрению.

    Еще один вопрос по ФЗ152 и мерам защиты, о котором ВООБЩЕ никто не говорит. В новой редакции говорится, что закон распространяется на бумажные картотеки. Согласно положениям закона ФСТЭК и ФСБ должны установить требования по обеспечению безопасности не только в автоматизированных системах, но и для бумажных картотек. А кто нибудь слышал хотя бы о проектах таких документов? Надеюсь конкретные выдержки из закона приводить не понадобится. Вот по такому попустительству возникает "не исполнение федерального закона". В общем ситуация не ахти (((

    ОтветитьУдалить
  11. Геннадий, вы 20 лет прослужили во ФСТЭК и должны знать правила игры. Есть распоряжение Правительства к определенному сроку выпустить КОНКРЕТНЫЙ документ. Он выпущен. В нем не хватает всего 2-х моментов - толкования описанных мер и методики моделирования. Они сейчас в процессе разработки. Не выпускать из-за них первый документ невозможно. Поэтому ждем оставшихся двух. После них можно уже критиковать весь комплект.

    А сейчас обливать грязью труд своих бывших сослуживцев, не видя всей работы целиком, не совсем корректно на мой взгляд. Также как и предъявляться претензии ФСТЭК в отношении ФЗ-152 или даже ПП-1119 - это не их епархия.

    Давайте сначала область ограничений определим, а потом в ней уже будем дисскутировать.

    Меня тоже не устраивают определенные вещи в проектах документах. Например, требование сертификации СЗИ, если оно не сертифицировано. А что делать до получения сертификата? ФСТЭКу было предложено ввести переходный период - они не могут, т.к. в ФЗ написано про сертификацию; без всяких переходных периодов. А что делать в той ситуации, когда сертификация вообще непонятно кем и как должна осуществляться? Например, для open source KVM? Вопросов больше чем ответов, но это не повод требовать выкинуть весь документ в корзину.

    Надо быть позитивнее. Критикуя, предлагать. Не приняли, выложить в Интернет. Может быть другие коллеги при общении с ФСТЭК это предложат. Вода камень точит. Но вода "конструктивная".

    ОтветитьУдалить
  12. По сравнению с ФСБ ФСТЭК - это образец для подражания ;-) За 39 лет впервые они обратились к экспертному сообществу публично. Без всяких междусобойчиков с лицензиатами, которым как раз привычнее и выгоднее работать по старым правилам. Уже за одну эту открытость можно снять перед ФСТЭК шляпу. Может быть следующим шагом у них будет краудсорсинг? Кто знает...

    ОтветитьУдалить
  13. Совсем недавно читал Долгина "Как нам стать договоропригодными или Практическое руководство по коллективным действиям. Начала экономической теории клубов" http://www.adolgin.ru/
    Так вот в одной из глав Долгин говорит, что краудсорсинг малопригодная для конструктивных решений конструкция и в мире начинается переход к клабсорсингу, как более заточеному под конкретные проблемы сообществу. Лицензиаты же - это и есть "клуб". Кроме того достаточно убедительно доказывается, что правильный краудсорсинг НЕ БЫВАЕТ бесплатным. Бесплатность (в чем заключается платность, Долгин поясняет тоже подробно) и отсутствие обратной связи (что тоже есть одна из сторон бесплатности) быстро отбивают у волонтеров (коими являются те, кто пишет замечания по документам) охоту к дальнейшей работе.

    Другое дело, что ФСТЭК в общем то в последние 8 лет не работал с лицензиатами (по крайне мере точно в регионах) по документам, за исключением нескольких крупных московских: РНТ, Маском, Информзащита(?), ЦБИ, да и.. все, пожалуй. Хотя сейчас я знаком с одним из почитаемых мною специалистов, который посвятил защите информации всю жизнь, и вот он рассказывает о невероятных для меня вещах из 90-х, когда в регионах ПРОЕКТЫ документов ФСТЭК появлялись за НЕСКОЛЬКО лет до их принятия и велась серьезная СОВМЕСТНАЯ работа по их доработке.

    И вообще, раньше трава была зеленее, небо голубее, люди летали на Луну, ... С наступающим Новым годом!!!!

    ОтветитьУдалить
  14. Клабсорсинг - это тоже краудсорсинг. И бесплатно не значит плохо. Вон все, кто написал во ФСТЭК, сделали это бесплатно

    ОтветитьУдалить
  15. Этот комментарий был удален автором.

    ОтветитьУдалить
  16. Этот комментарий был удален автором.

    ОтветитьУдалить
  17. Этот комментарий был удален автором.

    ОтветитьУдалить
  18. Этот комментарий был удален автором.

    ОтветитьУдалить
  19. Проблема всего лишь одна: постоянные заимствования иностранных стандартов.
    Сначала была "оранжевая книга", потом Общие критерии, сейчас стандарты Nist. Где последовательность и что дальше? Какие еще стандарты мы не попытались перевести? Может все-таки попробуем проанализировать, обобщить и сделать свое? нет, так не будет - ни воли, ни человеческих и ни материальных ресурсов не осталось. (сам спрашиваю, сам отвечаю)

    ОтветитьУдалить
  20. Специалисту:
    1. В отношении закона Вы отчасти правы: не то место и не та тема.
    2. Не боги горшки обжигают. Равно как и не боги законы принимают. Не нужно драматизировать. Законы отменяют. Это обычная практика. Рано или поздно и этот отменят или заменят другим. Закон ведь можно не отменять, а изменять, адаптировать. Со 152-ФЗ это уже не раз делали.
    3. «Бывшие», если их правильно использовать, могут много пользы принести. Ленин привлёк «бывших» и войну гражданскую выиграл. А если бы не привлёк?
    4. В Гостехкомиссии и времени и, главное, возможностей было на порядок больше. Необходимости не было. Написали предложения, их либо приняли, либо объяснили, почему не приняли. В том, о чём ZZubrу рассказывал его знакомый специалист, мы принимали непосредственное участие. Не всегда, но было.
    5. В администрации и статус не тот, и времени нет совсем свободного, потому что львиная его доля уходит на разработку и утверждение никому ненужных бумаг, в основном, по 152-ФЗ. С апреля не можем принять ни одного документа по ПП-211. Юристы не пропускают. И 152-ФЗ, и ПП-211, и ПП-1119 не коррелированы со 131-ФЗ «Об основах местного самоуправления», ни с 94-ФЗ, ни с многими другими. По воле регуляторов ЗИ превратилась из технического процесса в бумаготворческий.
    6. Вы не Госдепа «специалист»? А то сразу за плакат …. Есть другие – цивилизованные и легитимные – способы решения таких вопросов. Например, открытые письма. Чем я, собственно, и воспользовался. Кстати, по примеру Лукацкого и других. Только уровень выбрал ниже. А читать или нет, принимать во внимание или нет, это уже дело адресатов.
    7. За совет и пожелания спасибо. Учту.

    ОтветитьУдалить
  21. Этот комментарий был удален автором.

    ОтветитьУдалить
  22. Алексей, ну зачем Вы так. Я грязью никого не поливаю. Только констатирую факт. И переживаю больше, чем вы все вместе взятые. Но честь мундира ведь состоит не в том, чтобы "хвалить кукушку", а в том, чтобы помочь исправить недостатки. Вот я и пытаюсь помочь. Как могу.
    Вы все обсуждаете не то, что я там написал в приложении, а сам факт написания. Но Вы же сами писали письмо Президенту! Зачем? Хотели обратить его внимание на проблему или пиарились? Это одно из модных обвинений сейчас в мой адрес. И в Ваш тогда тоже?
    У Вас есть претензии по тем замечаниям, которые я написал? Они не соответствуют действительности? Давайте обсудим. Некоторых не устраивает, например, стиль. Признаю. Есть местами такой недостаток. Его наличие уже объяснил. Дальше что?
    Если Вы все считаете, что я не прав, зачем тогда весь этот сыр-бор? Если честно, я и не рассчитывал, что мои замечания будут учтены, как это было уже не раз. Высказал его как раз по тому принципу: вода камень точит. Только «камней» всё больше, а «воды» всё меньше.
    А зачем «критиковать весь комплект», когда он будет принят? Когда примут, нужно будет не критиковать, а ВЫПОЛНЯТЬ! Или я опять не прав?
    Время – лучший судья. Оно покажет, кто был прав, а кто нет.

    ОтветитьУдалить
  23. Уважаемые коллеги. Я тут надысь с Геннадием Альбертовичем вступил в переписку по открытым письмам (и мне http://dlp-expert.ru/blog/4042/38820 и во ФСТЭК http://dlp-expert.ru/blog/4042/38617 ). Прочитал комментарии Г. А. Атаманова, взгрустнул, написал постатейные комментарии на комментарии Г. А. Атаманова (сегодня отослал на DLP-эксперт, обещали опубликовать), вступил в полемику, стал приводить аргументы. Но только когда в ответном послании Г. А. Атаманова (правда на открытое письмо мне) прочитал фразу: «Я уже больше шести лет жду, когда, наконец, народ увидит и поймёт, что единственно правильный подход к трактовке понятия безопасность – это мой» - мне стало многое понятно. Мне кажется, уважаемый коллега Г. А. Атаманов создал свой фэнтази-мир наподобие Лорда Джона Рональда Руэла Толкина, придумал своих хобитов, орков, харадримов, написал свои законы, терминологию и прочая и живет в этом мире. Переубедить – невозможно, потому, что есть только два мнения: г-на Г. А. Атаманова и неправильное. Выбирайте. Конструктивизм в такой ситуации в принципе невозможен. (Хотя, скажу, дискуссия, правда не с Г. А. Атамановым, на DLP- эксперт завязалась, в том числе и про тезаурусы с К. Ржавским и. на мой взгляд, конструктивная).
    P.S. И очень прошу, коллеги, не надо переходить на личности и на историю бытия. Все мы где-то «бывшие»…

    ОтветитьУдалить
  24. На DLP-эксперт выложили мои комментарии на комментари Г. А. Атаманова (как ссылку в комментариях - ищите http://dlp-expert.ru/comment/347#comment-347 .

    ОтветитьУдалить
  25. Я не очень понял, чем Атаманову Г.А. не понравился перевод дефиниции из ФЗ152.
    ИМХО он практически подстрочный:
    "personal data" means any information relating to an identified or identifiable individual"
    "Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу"
    с точностью до:
    1. means <=> -
    2. an identified <=> прямо или косвенно определенному

    ОтветитьУдалить
  26. Сергей Викторович!
    А Вы пытались со мной что-то обсуждать, прежде, чем "навешивать ярлыки". А читали что-нибудь из написанного мной?
    Вы призываете все не переходить на личности, но именно это делаете постоянно. И ещё: выдёргивая фразы из контекста можно кого угодно выставить в негодном свете. Не корректно это и не конструктивно.

    ОтветитьУдалить
  27. Вот это вежливый срач на DLP... давненько такого не было :-)
    А вообще Атаманова я бы поддержал - первые замечания к документу достаточно объективны, но ближе к середине документа видна усталость рецензента, формулировки конечно все жестче и жестче... Сколько оказывается полковников из ФСТЭК поуходило... Но капитанов и майоров все равно больше, а именно они и могли бы написать новые документы...

    ОтветитьУдалить
  28. Геннадий Альбертович, пытался, не получилось. Поэтому для объективности и дал ссылки на наши с Вами дебаты. И Ваши работы читал, правда немного, но когда Вы говорите по теме - я даже Вас цитирую. Но, по этим комментариям - к сожалению не могу. Ярлыки не навешиваю, просто высказываю свою точку зрения. Кстати, Ваша точка зрения также имеет право быть и я Вам об этом говорил. Цитирование - это не выдергивание фраз. Я дал ссылку на полный текст, так что считаю что это корректно.

    По сути - готов обсуждать. Вот с К. Ржавским диалог идет. хотя мы друг с другом не всегда согласны, однако, приводим аргументы и полемизируем. У Вас же, к сожалению, аргументов - нет. О том, что прогрессивного в документах писал и Лукацкий, и Шахалов и я и другие. Но, Вы же не приемлите существующую терминологию, как же с Вами разговаривать, если мы говорим именно на этом "суржике"?

    Алексею Т. Коллега, не могли бы Вы упомянуть хотябы 1-2 замечания, которые Вы считаете объективными в комментариях Г. А. Атаманова? Прошу с одной целью - посмотреть(может быть я действительно чего-то недосмотрел) и аргументированно вам оветить (высказать свою точку зрения) Это будет и конкретно и корректно.

    ОтветитьУдалить
  29. Г.А.Атаманову: В связи с тем, что Вы удалили свои посты от 21.12.2012 и 23.12.2012 считаю себя вправе удалить и свой от 22.12.2012 как утративший актуальность.

    ОтветитьУдалить
  30. О как тут все закрутилось то …. Каюсь, сегодня изредка писал на DLP по уважительной причине, сюда только сейчас зашел.
    Снимаю шляпу перед мужеством Г.А. Атаманова прорвать круг молчания – наболело! Резко, иногда излишне – накипело (поверьте – есть причина)! Сергей Викторович т.к. Вы громоотвод – уж не обессудьте! Обидно, …ну …. ну вот так вот получилось!
    Постараюсь, попробую во всяком случае, как то сгладить. Сказать, что Г.А. Атаманов хочет плохого в отношении ЗИ, так ведь и не скажешь, он ей дышит….
    Говорит на непонятном для многих «языке», ну так для того чтобы узнать о чем он говорит можно и «язык» выучить, а вдруг …. Москва, поди, тоже не сразу построилась.
    Его область не методика, а логика, …. ну не сходится у него … – зачем мы сами усложняем себе жизнь, если можно поступить гораздо проще и эффективнее! ЭТО ЕГО МНЕНИЕ, ЭТО ОН ТАК ДУМАЕТ.
    Во всяком случае, он может сказать, что сделал попытку изменить, то что он считает нужным, ну так давайте спокойно посмотрим, что приемлемо, а что нет. Почитайте, скажите! А то так и будем присутствовать на вебинарах, где с трепетом будем выслушивать, как обвести вокруг пальца регулятора, полагая какие же мы умные, а они недалекие …. НРАВИТСЯ?
    Выскажете свою точку зрения, аргументируйте, а то народу-то подтянулось, а читает – то еще поболе – предлагайте, С.В. Вихорев здесь, …. глядишь и квадратное покатится!

    ОтветитьУдалить
  31. Большой, однако, Вы мастер Сергей Викторович по передёргиванию. Но Вы забыли, что кроме КВИРТУ у меня аспирантура по философии. Действительно, не всякое цитирование есть выдёргивание фраз, но всякое выдёргивание фраз - цитирование. Только некорректное. В данном случае - фрагментарное. И комментарии Ваши построены по тому же принципу. Где я анализирую термин "требование", Вы - предлог "о". Я - на соответствие логики, Вы - закону. Я - стиль, Вы - грамматику. Далеко пойдём ...

    ОтветитьУдалить
  32. Сергей Викторович! Зачем спрашивать человека, который не имеет к этому никакого отношений?
    Спросите меня. Я вам приведу, на скидку, несколько:
    1. Меры по защите технических средств включают … защиту информации от ее утечки по техническим каналам.
    2. Меры по защите технических средств включают … защиту от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).
    3. ДЗГ.1: Блокировка доступа к ресурсам средств вычислительной техники.
    4. «загрузочная область штатной операционной системы».
    5. ИАФ.5: Защита обратной связи при вводе аутентификационной информации.
    Мне особенно первый нравится. Перл, достойный Задорнова. Какие тут могут быть комментарии ....

    ОтветитьУдалить
  33. Геннадий Альбертович, давайте по порядку.
    Позвольте, вначале о предыдущей реплике. КАК Вы анализируете ТРЕБОВАНИЯ, если в Ваших Комментариях написано (цитирую полностью, чтобы не вызвать Вашего гнева): ««Требований О» быть не может! Это не по-русски! Требования предъявляются «К» субъектам, в крайнем случае – к объектам.» И покажите мне пальчиком где в этой фразе Вы анализируете термин «требования»? По-моему здесь идет типичный грамматический (синтаксический) разбор предложения.
    Теперь о нынешней. Почему Вы так легко обижаете Алексея Т.? Вы говорите: «Зачем спрашивать человека, который не имеет к этому никакого отношений?». Почему же Вы сделали вывод о том, что Алексей Т. не имеет к этому отношения? Ведь он написал: «А вообще Атаманова я бы поддержал - первые замечания к документу достаточно объективны…», значит он читал комментарии и имеет об этом свое суждение. Не Ваше, а свое. Вот я и хотел услышать ЕГО суждение по данному вопросу. Его, а не Ваше.
    По существу. Чем Вам не угодил п. 29.9 Требований? Почему Вы считаете, что меры по защите технических средств не могут включать в том числе и защиту информации от ее утечки по техническим каналам? (для справки Ваш комментарий: «Меры по защите ТС включают … защиту информации», да ещё от утечки по ТК. Эту глупость сложно комментировать. Лучше на примере: меры по защите лопаты включают защиту картошки от гниения. Или так: в огороде бузина, а в Киеве дядька»).
    Давайте разберем ситуацию. Для начала посмотрим на контекст. Вы совершенно правильно заметили, что любую цитату надо смотреть в контексте, чтобы правильно ее понять. А перед цитируемой Вами фразой в п. 29.9 имеется целый абзац (а по правилам, все, что объединено в один пункт документа имеет взаимосвязь. Итак абзац: «Меры по защите технических средств информационной системы ДОЛЖНЫ ОБЕСПЕЧИВАТЬ ограничение доступа к техническим средствам обработки информации, средствам обеспечения функционирования информационной системы и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.» Этот абзац дет расшифровку словосочетания «Меры по защите технических средств», так сказать, дает определение, которое справедливо для данного документа. Следовательно, исходя из данного абзаца можно сказать (немного упрощенно, хотя упрощение в документе не допускается), что указанные меры включают в себя (1) ограничение доступа к ТСОИ и (2) защиту информации в виде электрических сигналов и физических полей. (Кстати, этот абзац как ни странно, не вызвал ваших комментариев из чего я могу сделать логический вывод о том, что он не вызвал у Вас нареканий). Методами такой защиты являются: (а) экранирование ТСОИ, (б) установка фильтров в цепях электропитания и пр., то есть выполнение определенных операций, направленных на установку некоторых средств защиты непосредственно на ТСОИ. Следовательно, следуя логике, можно сказать, что словосочетание «Меры по защите технических средств» является в некотором роде специфическим термином, принятом в данном документе и которому дано определение, объединяющее два близких действия, связанных с «доработкой» ТСОИ. Естественно и вполне логично, в дальнейшем в документе может использоваться это словосочетание, как термин, имеющий свое значение. Далее в данном пункте, в следующем абзаце идет цитируемый Вами текст, который направлен на конкретизацию и раскрытие этих мер. И что же здесь нарушено? Логика? Грамматика? Стилистика? По-моему все в порядке. Продолжение следует…

    ОтветитьУдалить
  34. Ах, да, чуть не забыл. Вам в этом же пункте не понравилось то, что «меры по защите технических средств включают … защиту от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)». Вы даете следующий комментарий: ««защиту от … кондиционирования»?! Абсурд! Равно как «защита от электроснабжения». От перепадов напряжения – да, но от электроснабжения, т.е. вида деятельности – полный абсурд!» Но, все-таки давайте глянем на подлинный текст «абсурдного» пункта: «защиту от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов). Для начала вспомним правило: скобки в русском языке употребляются для выделения пояснительного слова или вставного предложения. Следовательно, в скобках дано пояснение к словосочетанию «внешние воздействия». Надо заметить, что в официально-деловом стиле изложения, особая полнота и точность перечисления однородных понятий, является обязательным требованием. Итак, посмотрим, какие «внешние воздействия» перечисляются в скобках: (а) воздействие окружающей среды, (б) нестабильность электроснабжения, (в) нестабильность кондиционирования (в данном случае имеет место быть перечисление в перечислении: «нестабильность» - основное слово, а «электроснабжение» и «кондиционирование» – уточнение, которое идет в виде перечисления) и (г) иные внешние факторы. Список открытый и может быть дополнен. На мой взгляд – все логично и грамотно. Вы же почему-то это предложение прочитали «по своему», по Вашим правилам, а не по правилам русского языка (может и правила русского языка «рябые»?), вот у Вас и получился абсурд. Продолжение следует…

    ОтветитьУдалить
  35. Следуем дальше. Вам не понравился п. ДЗГ.1: Блокировка доступа к ресурсам средств вычислительной техники. Вы даете такой комментарий: «Абсурдное требование: блокировка доступа для всех!? Ресурс СВТ – это либо наработка на отказ, либо срок службы. Если имелся ввиду информационный ресурс, то он является ресурсом субъекта, но не СВТ. Например, информационный ресурс (ИР) муниципалитета, ИР предприятия и т.д.» Меду тем, ресурсы вычислительных систем – это одного из ключевых понятий, используемое при изучении компьютерных сетей и сетевых операционных систем. Ресурсы вычислительной системы — это набор ее возможностей. Ресурсы имеют исчисляемые характеристики, которые показывают степень эффективности их работы и готовность к увеличению нагрузки. Таким ресурсами могут быть:
    (а) Процессорный ресурс - Аппаратный ресурс вычислительной системы, выражающий мощность центрального процессора (или нескольких процессоров). Для каждого процесса в компьютере используется характеристика «процессорное время» — доля времени, уделяемая данному процессу центральным процессором.
    (б) Свободная оперативная память - Аппаратный ресурс, показывает, какая часть оперативного запоминающего устройства свободна для размещения необходимых программ и данных. Измеряется в кратных единицах байта: кб, Мб.
    (в) Свободное дисковое пространство - Аппаратный ресурс, показывает, какая часть жесткого диска свободна для размещения необходимых данных. Измеряется в кратных единицах байта: Мб, Гб.
    (г) Прочие - Базы данных, файлы и т. д.
    Можно еще привести определение из Википедии: «Вычислительными ресурсами называются возможности, обеспечиваемые компонентами вычислительной системы, расходуемые (занимаемые) в процессе её работы». http://ru.wikipedia.org/wiki/%C2%FB%F7%E8%F1%EB%E8%F2%E5%EB%FC%ED%FB%E5_%F0%E5%F1%F3%F0%F1%FB
    Или еще: «К ресурсам вычислительной системы относят такие средства вычислительной системы, которые могут быть выделены процессу обработки данных на определенный квант времени. Основными ресурсами ВС являются процессоры, области оперативной памяти, наборы данных, периферийные устройства, программы».
    И с точки зрения безопасности информации именно к этим ресурсам и должен быть заблокирован доступ ВСЕХ, кому не положено.
    Понимаю, что данное определение не вписывается в Ваш тезаурус, но, к сожалению, широко используется в ИТ и ИБ сфере.
    Я бы и дальше мог анализировать Ваши комментарии, но, боюсь, А. Лукацкий меня выгонит с этого поста – слишком много места занимаю.
    Однако даже этот краткий анализ показывает, что «быть в обществе и быть свободным от общества – нельзя». И разговаривать надо не на языке Майя, а на общепринятом, тогда сами собой снимаются вопросы: наступает взаимопонимание, которого мы с вами пока не достигли…

    ОтветитьУдалить
  36. Этот комментарий был удален автором.

    ОтветитьУдалить
  37. Этот комментарий был удален автором.

    ОтветитьУдалить
  38. Геннадий Альбертович, поскольку Вы удалили свой комментарий (причин не знаю, но могу догадываться), я счел правильным удалить и свой.

    И вместе стем, хочу поздравить Вас с наступающим Новым Годом и светлым праздником Рождества Христова и пожелать Вам в новом году отменного здоровья, крепкого материального благополучия, и дальнейших творческих успехов на ниве эпистолярного жанра!
    За сим позвольте откланяться, так как надо все-таки доделать неотложные дела...

    ОтветитьУдалить
  39. Сергей Викторович!
    Не стоит сотрясать клавиши. Вашу позицию я давно понял. Своё отношение к ней выразил в посте "Неотправленное письмо": на чёрное можно говорить белое, но оно от этого белым не станет! Можно утверждать, что король одет в шикарный наряд, но ... он то ГОЛЫЙ!
    Понять многое мне помог "Анализ писем". Рекомендую. Сравните мои и свои показатели. Особенно в отношении способности договариваться. А хотите, я опубликую? Сохранил. На память.
    В отношении языка: уже заметил, что человек, говорящий на более-менее правильном русском языке становится анахронизмом. Сленг стал нормой (об этом и в письме есть). Жаль, конечно.

    PS: Забота о товарищах "по партии" - черта хорошая. Но товарищи, думаю, и сами за себя постоять могут. Если я действительно обидел Алексея Т., он бы мне об этом сам написал. Думаю, то, что я открыт для общения, видно даже слепому.

    PPS: Помните: практика - главный критерий?
    Будете обедать в ресторане, скажите официанту: "Выдвигаю требование О принесении счёта!". И посмотрите на его реакцию. Потом подставьте вместо "ресурсов" "возможности" и прочитайте. А то, что «меры» включают «защиту» - это как? Доступ-то, оказывается, должен быть заблокирован не для всех, а только для тех, кому не положено? Ну и т.д. А про "загрузочную область операционной системы" и «обратную связь» и вовсе не сложилось?
    Ответ не требуется. И так слишком много времени потрачено на никчёмную работу.
    Мой совет: покажите тексты проектов лингвисту или простому корректору.

    ОтветитьУдалить
  40. Геннадий Альбертович! Поскольку Вы восстановили свой комментарий, восстановлю свой и я.

    Ну, мне ли лапотному, учить Вас русскому языку! Конструкции "Выдвигаю требование О принесении счёта!" - быть не может! Во-первых, от официанта мне требуется счет, а не требования к нему. Требования будет выдвигать бухгалтер. Во-вторых, слово после предлога "о" должно быть уточняющим основное. Основное, как я вижу, это "требование", значит уточняющее - "принесении", то есть требование принесения (если брать по аналоги с обсуждаемой темой). А такие "требования принесения" могут содержать процедуру "принесения" (в коробочке, в папочке, со жвачкой, без таковой и прочая), но это не воппросы официанта и уж тем более клиента. Коллега, я не спорю, что фраза "требование о защите" - режет слух. Но, великий и могучий ПОЗВОЛЯЕТ ТАКУЮ ФОРМУ, а значит, претензий к авторам быть не может: каждый пишет, так как пишет.

    О заботе о "товарищах по партии". Во-первых, я, к сожалению, не знаком ни лично ни по блогам с Алексеем Т. (впервые стокнулся с ним здесь) и поэтой причине не могу отнести его к "товарищам по партии", однако, считаю неэтичным отвечать на вопросы, заданные другим. Вы этим просто хотели показать еще раз на "абсурдность" документа. А что это, как не самопиар? Чистой воды.

    По поводу Вашей позиции у меня тоже сомнений нет. И я ее тоже высказал и в этом посте, и в Вашем посте "неотправленое письмо" и в посте про открытое письмо ФСТЭК.

    Так что на этой дружественной ноте, предлагаю завершить обсудение.

    ОтветитьУдалить
  41. Спасибо за поздравления! Взаимно!
    С Вашей помощью я понял, что в следующем году просто обречён на успех.

    PS: Про пост: нашёл ошибку. Исправил. Вывесил. Прошу считать его за удалённый.

    ОтветитьУдалить
  42. Алексей!

    Все что здесь написано - это клабсортинг? ))) Нет, это аутсортинг, когда волонтеры не учитывают мнения других волонтеров. Это их отличие, хотя конечно методологически одно вытекает из другого (по спиралькам).

    На мой взгляд недоговоропригодность - самый что ни на есть к месту придуманный термин. Именно из-за таких баталий я и вижу отсутствие СООБЩЕСТВА ИБ в России. Появится ли центр кристаллизации такого сообщества, в котором разные научные школы будут дополнять друг друга, а не разрушать в беспощадной битве все вокруг? А вот пусть появятся! Этого и желаю в Новом году всем!

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.