Вчера появился проект приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Что интересного в этом документе? Я бы выделил несколько моментов:
Революции не произошло. Год назад я уже примерно говорил о том, к чему стоит готовиться с точки зрения применения сертифицированных СКЗИ, и вот мои слова подтвердились.
Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает свои же требования. Про другие госорганы я и не говорю даже.
Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.
Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(
В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.
ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(
Что интересного в этом документе? Я бы выделил несколько моментов:
- Даны разъяснения (имеющие характер обязательных) положений ПП-1119. Например, что такое "организация режима обеспечения безопасности помещений", "сохранность персональных данных", "электронный журнал сообщений" и т.п.
- Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными. И это, пожалуй, самая большая засада, которая только возможна. При условии, что для огромного числа сценариев обработки ПДн сертифицированных СКЗИ попросту нет. Я еще три с лишним года назад об этом писал. Как эта коллизия будет разрешаться я даже и не знаю. Точнее знаю - стандартным методом 8-го Центра - "в частном порядке" :-(
- По моему скромному мнению 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше. Почему я так считаю? Все просто. Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то будьте добры применять СКЗИ не ниже КС3.
- Хотя если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ. А сейчас нет ограничений на таких специалистов - вот у меня такой опыт есть - я с 92-го по 95-й годы разрабатывал СКЗИ в одном из московских "ящиков". А сейчас с этим ситуация и подавно стала легче - криптографию преподают в 100 с лишним ВУЗах России.
- СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО. Прощай open source ибо наличие исходников сразу повышает класс сертификации до почти недосягаемых высот (в России СКЗИ, сертифицированных по КВ2, раз-два и обчелся).
- Вы уже догадались, что СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО. И вновь забор для open source операционных систем, распространенных в России. Недокументированных возможностей там может быть выше крыши.
- Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!). Это минимум требований для 4-го уровня защищенности. На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!). Я могу понять, как такое требование выполнить к зданию ФСБ на Лубянке, но к той же "Стекляшке" на Ярцевской это требование уже неприменимо. А ведь современные бизнес-центры вообще не используют конструкций, к которым можно было бы прикрутить решетки или ставни (достаточно посмотреть на Москва-Сити).
- Все носители персональных данных должна учитываться поэкземплярно (!). Все без исключения. Если у ФСТЭК в 21-м приказе речь шла только о машинных носителях, то в 8-м Центре решили под одну гребенку еще и бумажные носители отнести и все остальные.
 |
| Здание ФСБ на Ярцевской |
Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает свои же требования. Про другие госорганы я и не говорю даже.
Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.
Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(
В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.
ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(
52 коммент.:
Писать неадекватные неисполнимые требования, которые будут решаться в частном порядке - это «интересы государства»?
Государство должно быть заинтересовано в своём развитии, а не в стагнации.
Опять проблемы со скачиванием (((
Такой вопрос возник, стоит ли считать угрозы перехвата трафика..и др. (то есть связанных с передачей по открытым каналам связи) актуальными, если у провайдера арендован выделенный канал VPN по городской сети? Но не сертифицированными СКЗИ и не по ГОСТу. Нельзя ли уйти тем что канал все таки защищен и не закупать СКЗИ с сертификатом, не дешево встанет на несколько точек))Я так понял, документ ФСБ для тех кто использует СКЗИ, посчитав соответствующие угрозы актуальными! И ПП таких требований нет. У ФСТЭКа в приложении к 21му Приказу «Состав и содержание мер по обеспечению безопасности персональных данных..» входит обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи. Тоже не сказано, что нужны наши СКЗИ. Люди мудрые, вразумите)
Evgeniy, достаточно в договоре с провайдером указать, что защиту данных при передаче по каналам связи берёт на себя исполнитель.
Возможно, я ошибаюсь.
Опять 25 (((( VPN провайдера - это каналобразование!!! Аналог телефонной пары или канала ТЧ! Всего лишь разделение потоков! Хотите не покупать СКЗИ (если его требуется покупать) и защитить - купите ВЕСЬ кабель и поставьте его под давление. Сомневаюсь что выйдет дешевле. Да и службу специальную создайте по поиску, ремонту и расследованию порывов.
2Юрий Апарин
Может я ошибаюсь, но похоже что Вы хотите поручить ОБРАБОТКУ ПДн провайдеру. Если так, то такой фразы мало: в ФЗ152 есть требования к поручению. А если Вы их впишите в договор с провайдером, то провайдер тоже не дурак - переложит затраты на Вас, но с накруткой )))))
Солидарен с Юрием на счет договора с провайдером, но при условии того, что СКЗИ должен будет предоставить провайдер, обслуживать его (соответственно наличие лицензий ФСБ...). Далее, обязанность задать требования провайдеру все равно за оператором, т.е. если в договоре не будет указано, что требуется предоставить сертифицированные СКЗИ для защиты канала, а при этом по каналу будут "ходить" ПДн - проблемы оператора! Т.е. если в договоре будет все нужное указано, то нормально, если размыто - ждите проблем!
Алексей, из текста приказа не следует, что ФСБ защищает интересы государства :-( Какой смысл издавать невыполнимые приказы? Чтобы у нас медицина встала? Чтобы у нас и без того "закошмаренный" бизнес был еще более "закошмарен"? А может, чтобы права граждан в стране соблюдались?
Скорее всего было так, что руководство прочитало про Сноудена и поручило ФСБ принять меры, ФСБ - приняла меры, как умеет. Причем слеудет сказать, что в свете темы с АНБ и Сноуденом меры абсолютно верные, ...только... сколько не поручай АвтоВАЗу сделать автомобиль, лучше BMW, - одними поручениями не получится.
А какое отношение бумажные носители имеют к ИСПДн?
Если кто не может скачать с сайта правительства, вот прямой линк http://goo.gl/CQhRDe
причем тут Сноуден?
ФСБ специально завысила требования в проекте, чтобы потом принять более мягкий вариант, но с обязаловкой по сертификации СКЗИ.
После первого варианта на второй уже ни у кого лаять сил не останется, заявят мол: поправки внесены, замечания учтены, и вроде как все довольны.
а текст таки не качается, поделитесь люди добрые
Именно этот текст по сути я видел больше года назад. Еще до Сноудена
Правильно ли я понимаю, что организациям, не использующим СКЗИ, этот документ можно игнорировать?
Бумага, имеющая признаки систематизированной обработки, - это ИСПДн. В законе, в первой статье про это говорится
Артем, при условии, что у тебя нет угроз, которые можно закрыть только СКЗИ, например, передачу по открытым каналам сети Интернет
Сергей, ты судишь со своей позиции (гражданина или бизнеса), но не с позиции государства
Алексей, ды, вроде нет, после статьи:
http://rusrep.ru/article/2013/06/19/dusha/
в целом, логика понятна.
2 Алексей: "Бумага, имеющая признаки систематизированной обработки, - это ИСПДн. В законе, в первой статье про это говорится" - ты действительно считаешь, что в первой статье об этом говорится???? Вот это открытие...
Ну отлично. Вот типичный пример инициативы, за неучастие в которых ты меня критикуешь. И что? Как я могу посоветовать "изменить" этот документ?
Любому здравомыслящему человеку понятно, что угрозы, закрываемые сертифицированными СКЗИ для ИСПДн неактуальны ВООБЩЕ. То есть от слова "совсем", а если еще точнее, в тех сотых долях процента существующих ИСПДн, где они были бы актуальны, использование сертифицированных СКЗИ уже регламентируется другими документами. Однако у ФСБ логика другая и мы ее прекрасно знаем. Что тут можно ответить кроме "с пидорами не пью"? Никак этот документ невозможно скорректировать, чтобы в нем появился хоть грамм здравого смысла, его можно только выкинуть.
Вот и получается, угрозы государству, которое видит ФСБ, оператор сам в свою модель угроз не включит - они ему неинтересны. Потому фсб и выпускает такую бумаженцию.
Позиция государства проста -- так как ФСБ действует по поручению государства, все что она делает, делается в интересах государства.
Уважаемые коллеги! В связи с тем, что нынешнем виде приказ УЖЕ абсурдно коррупционно ёмкий, НО недостаточно смешной, давайте предложим ФСБ распорядиться замуровать окна всех этажей, а не только первое и последнее. Если уж ФСБ видит актуальную угрозу в ниньзя с альпинистским снаряжением, то эти самые ниньзя могут на любой этаж спуститься, а не только на последний.
Также непонятно почему надо опечатывать помещения (атавизм же, видеонаблюдение давно как бы) НО ни слова нет про прочие наследия средних веков: не написано какой ширины должен быть РОВ перед зданием, какой высоты СТЕНА, сколько бойниц для ЛУЧНИКОВ, сколько СМОЛЫ запасать. Предлагаю эти предложение тоже выслать. Пусть будут последовательны в своём консерватизме.
Zubra, Лучше уж предметно. Частный случай, думаю не единичный. Сеть на маршрутизаторах. 20 точек, более 100 пользователей централизованной ИСПДн. Каналы арендованные, на М используется IPsec, передаваемые данные шифруются. И при этом нужно признать угрозы актуальными и навесить еще сертифицированные СКЗИ?)Программные не пойдет, в некоторых местах ПК старинные, на шлюзы 5 миллионов вынь. А ПДн только работников, грубо то не сдались ни кому, да и безопасность их в принципе обеспечивается. Разве нельзя просто в модели угроз, в тех мерах указать это и признать неактуальной угрозы и забыть про документ ФСБ?) Где сказано, что таких мер не достаточно в таком случае, нигде) Вопрос скорее провокационный, нежели по отсутствию знаний как должно быть...интересно мнение)Хочется так с СКЗИ возиться из за ПДн и с ФСБ подружиться))
>Zubra, Лучше уж предметно. Частный случай, думаю не единичный. Сеть на маршрутизаторах. 20 точек, более 100 пользователей централизованной ИСПДн. Каналы арендованные, на М используется IPsec, передаваемые данные шифруются.
К сожалению, ничего предметного Вы не сообщили. Вот у меня сразу возник вопрос - что ж это за деятельность в которой более чем 100 пользователей работает с персданными работников? Зачем? Может организация сама себя в петлю загоняет? Ну типа я знаю что при покупке ружья мне нужен будет сейф и разрешение из МВД - но покупаю РПГ-7 и потом возмущаюсь, что меня за такую покупку наказывают. Конкретика должна быть конкретной.
>И при этом нужно признать угрозы актуальными и навесить еще сертифицированные СКЗИ?)
"Надо признать" - Вы используете странный подход. Есть объективная реальность и есть Ваше желание представить ее в нужном Вам свете. Вы можете убедить людей, что камни падают вверх, но объективно они падают на землю. Поставили эксперимент. Камень упал на землю, а Вы говорите - да нет же! Ни о каких "надо признать угрозы актуальными" - никто не говорит - они или актуальные или нет. Да, на такое решение влияет квалификация (профессионализм) определяющего, но никак не величина штрафа за невыполнение чего-то. Это профессиональная сфера. Как производство сыра и рекомендации по его лучшему производству от бухгалтера технологу.
>Программные не пойдет, в некоторых местах ПК старинные, на шлюзы 5 миллионов вынь.
Опять про РПГ?! Вы гарантированно уверены, что Вам нужны именно ЭТИ шлюзы? И нет альтернатив. И Вы готовы при их выборе не учитывая иных факторов ПОТОМ бороться с возникшими проблемами выполнения иного законодательства. А может за 5 лямов компы обновить? Ну как вариант? К сожалению конкретики нет.
>А ПДн только работников, грубо то не сдались ни кому, да и безопасность их в принципе обеспечивается.
У Вас "в принципе" равна "по закону"? В чем измерить Ваше "в принципе". Наглядный пример из жизни: допустим Вы умеете водить машину; объясните мне ЗАЧЕМ Вам получать права??? Ну Вы же умеете водить!!! Права зачем? Вы же уверены, что Вы умеете водить. (перевожу: у меня в виндоусе стоит пароль - зачем мне аттестат? Ведь все же защищено!)
>Разве нельзя просто в модели угроз, в тех мерах указать это и признать неактуальной угрозы и забыть про документ ФСБ?)
Можно все. Но некоторые вещи не законны. Вы можете признать, что угроза быть сбитым на пешеходном переходе при переходе на красный - неактуальна. И потом в Раю долго возмущаться, что Вас сбила машина при переходе на красный (ни дай Бог). Слышал где-то даже памятник есть сбитым пешеходам, которые были правы.
>Где сказано, что таких мер не достаточно в таком случае, нигде)
Вы желаете, чтобы Вам описали АБСОЛЮТНО ВСЕ возможные случаи и ситуации??? Вам мало тех ДЕСЯТКОВ ТЫСЯЧ Федеральных законов? Вы их вообще ВСЕ прочитали? Может там все написано?! Потому я такими фразами, например, не разбрасываюсь. В лучшем случае, говорю "не нашел" или "не знаю". И еще одно. Система законодательства, построенная на канонических текстах - смерть законодательству. Есть СИСТЕМА законодательства, которая рассматривает ВСЕ НПА В СОВОКУПНОСТИ и она и существует в РФ.
>Вопрос скорее провокационный, нежели по отсутствию знаний как должно быть...интересно мнение)Хочется так с СКЗИ возиться из за ПДн и с ФСБ подружиться))
Ну я на Вашу провокацию, думаю ответил. Ваши знания даже не подвергаю сомнению и не считаю, что Вы ничего не понимаете, а я такой весь из себя знающий. Скорее совсем наоборот )))) Все что написано - это просто мое личное мнение.
Вот у ФСБ ВООБЩЕ отличный от ФСТЭК подход к определению необходимости защиты. Потому и непонятки идут. Как это отталкиваться от нарушителя, а не от угроз??? А вот так. Подход у них такой. И он может быть гораздо правильнее чем риски-угрозы, а может и нет. Но он есть. Хотите угодить всем - будьте гибче.
ZZubra, Сфера деятельности такая, что по разным причинам, как например масса филиалов и доступ тем кто выписывает доверенности используя ПДн (+кадровики, бухгалтера, руководство), получается такое количество пользователей. Это не суть. Я пытался конкретизировать задачу в которой пытаюсь разобраться не только чтением НПА, но и мнениями людей с опытом, потому что приходится одному. Впринципе для меня значило, что защита каналов осуществляется (арендованные каналы провайдера+IPsec на своих маршрутизаторах), но не средствами прошедшими процедуру оценки соответствия. Хотя знаю, что ФЗ 152 это требует, но так же например в 21 приказе ФСТЭК: можно применять иные (компенсирующие)меры с учетом экономической целесообразности, направленные на нейтрализацию актуальных угроз безопасности ПДн. Холивары поддерживать не желаю. Читая НПА у меня сложилось двоякое мнение, поэтому буду рад конкретному мнению, нужно ли в таком случае применять помимо имеющихся мер, сертифицированные СКЗИ, так как актуальность и целесообразность не считаю уместной(в разрез с мнением от НПА). Как по Вашему регулятор на это посмотрит? Если у Вас снова появится масса философских сравнений, оставьте для тех кто лепит листочек с паролем под монитор.Со всем уважением, спасибо за внимание.
С регулятором все просто. Если Вы используете СКЗИ (любые) и он к Вам пришел - то все будет строго по нормативке (сертификаты, журналы учета и т.п.). Если регулятор у Вас не найдет СКЗИ или Вы их реально не используете - то и претензий скорее всего не будет. Опять же все зависит от цели проверки и квалификации проверяющих. Слышал о реально крутых проверках, когда сотрудники реально знали в каком коммутационном оборудовании какие криптоалгоритмы используются и какой длинны ключик применяется. Еще очень важно что говорят сотрудники. Если они/Вы скажете, что ЗАЩИЩАЕТЕ не сертифицированными средствами - хана, если скажете, что IPsec используется не для защиты, а как средство каналообразования вопросы должны отпасть.
Ни разу не видел и не слышал (кроме госсистем, разработчиком которой является само ФСБ), чтобы ФСБ поднимало вопрос о необходимости применения СКЗИ для защиты персоналки (хотя все бывает в первый раз). Обычно проверяют то что есть - и так нарушений набегает выше крыши даже по СКЗИ для отчетности и госзакупок.
Мое личное мнение в Вашем случае - СКЗИ применять надо: и профессионально, и по закону, и с точки зрения опасности для бизнеса (коль есть много филиалов - денег хватает->есть деньги значит есть те кто на них зуб точит->хищения по поддельным платежкам с поддельными доверенностями из ПФР тому подтверждение).
А насчет "оставьте философские сравнения" - это из области двойных стандартов, кои не нравятся никому, но к которым сами все прибегают.
Evgeniy West, кстати, по поводу "арендованные каналы провайдера". Скажите, у вас в договоре написано, что провайдер обеспечивает конфиденциальность передаваемой информации (даже не касаемся ПДн)? Или же только услуга арендованных каналов связи?
ZZubra, признателен за ответ!Чего то такого и хотелось узнать!)) Терзали смутные сомнения) Есть ли правда в обосновании необходимости проведения данных мер. Спасибо)
Евгений, нет не прописано. Я так понимаю, если такое в договоре прописывать, они должны будут, точно так же выполнять защиту, а затраты все равно к нам будут адресованы. Они предоставляют канал, как они считают безопасный) Но суть в том что разделены потоки и трафик ходит по их линиям по определенному маршруту.
Zzubra, ну конечно, с точки зрения "опасности для бизнеса" очень актуальна угроза, что злоумышленник нападет на неправославный несертифицированный ipsec и будет проводить против него криптографическую атаку.
Смех и грех.
Хоу-хоу. Не перевирайте мои слова. Вопрос стоял о применении СКЗИ вообще в такой ситуации. А не о применении сертифицированных СКЗИ поверх ipsec. Сами предположение сделали и других в нем обвинили. Не комильфо.
ZZubra, а с точки зрения ФСБ СКЗИ бывают или сертифицированные или неправильные. А с точки зрения здравого смысла и бизнес-потребностей -- скорее наоборот.
А дальше происходит подмена понятий. Криптографическая защита нужна, но в гражданском смысле, а не ФСБшном.
Вряд ли АНБ рассматривается в качестве предполагаемого нарушителя. Так что ФСБ тут делать нечего.
У каждого своя правда. Чаще всего она основана на знаниях, которые дает круг общения человека (в широком смысле), или на интересах. Надо ли рассматривать АНБ в качестве нарушителя - дело крайне спорное: слишком от многих факторов это зависит, НАПРИМЕР, от вида деятельности или личности владельца негосударственной организации. У Газпрома, Роснефти, металлургических организаций и т.п. - АНБ в первых рядах; в бизнесе наших олигархов - думаю тоже; в бухгалтерии ООО "РиК", торгующей продуктами в деревне Гадюкино - и нет и да (писать пишут, если попадается в сети, но не используют, но и не выбрасывают, так, на всякий случай). А маленькое ООО, обслуживающее участок связи нефтепровода Роснефти? Они интересны АНБ? Шпионские истории говорят "да" ))))
Предполагаю, что у ФСБ свой железобетонный резон есть подходить к этим вопросам так, как они подходят. Сколько бы у их подхода не было противников, но когда им (противникам) выпадает счастье на эту тему плотно пообщаться с ФСБ - их точка зрения меняется ВСЕГДА (в моем жизненном опыте обратных примеров не встречалось). Тот же наш министр связи - раз и другой человек после посещения занятия должности и посещения заседания совбеза. Почему? Ну дык )))))
>у ФСБ свой железобетонный резон есть подходить к этим вопросам так, как они подходят
подскажите, какой резон опечатывать на ночь помещения в коммерческом ОАО (банке) в собственном здании с собственной охраной с видеонаблюдением с записью во всех коридорах и с СКД на каждый этаж?
Ну это диалектика )))) одно маленькое правило для всех или много правил на все случаи жизни ))))) Они выбрали первый путь - точность маленькая зато все просто и понятно (например, для главврача районной больницы - типа СКЗИ хранить как медицинскую наркоту). Вы предлагаете 2 путь - но полномочия выбирать пути у них ))))))
ЗЫ Почему они выбрали 1 путь - история говорит что он более ПРАКТИЧЕН для МАССОВОГО использования НЕКВАЛИФИЦИРОВАННЫМ персоналом, чем сложные правила в каждой ситуации. И тут пока у ФСБ не отнять - практичность у них стоит на первом месте, в отличии от остальных норматворческих органов. И да - это обидно, когда профессионала ровняют под одну гребенку со всеми. Но, например, в авиации правила полетов одинаковы для новичка и для старпера с 20к налета, потому как отступления там от правил нагляднее некуда получаются ((((.
>Почему они выбрали 1 путь - история говорит что он более ПРАКТИЧЕН для МАССОВОГО использования НЕКВАЛИФИЦИРОВАННЫМ персоналом, чем сложные правила в каждой ситуации.
Ага, альтернативные варианты не описаны из-за сложности. Ну, то есть, вы другими словами написали слово ЛЕНЬ.
Ну не согласен. Это как М-16 и АК-47. Вы выбираете точный и сложный М-16, ФСБ - неточный но простой АК. Простота АК - из-за лени?
ZZubra, когда модель угроз и требования к защите информации от ФСБ, которые настолько принципиально несовместимы с бизнес-требованиями и здравым смыслом, что их даже в самой ФСБ с ее почти неограниченными ресурсами применяют выборочно и абы как, называют ПРАКТИЧНЫМИ ДЛЯ МАССОВОГО ИСПОЛЬЗОВАНИЯ, мне трудно поверить, что человек не троллит.
>ZZubra пишет...Ну не согласен. Это как М-16 и АК-47. Вы выбираете точный и сложный М-16, ФСБ - неточный но простой АК. Простота АК - из-за лени?
Пример не релевантный. Раз уж потянуло вас на военную тематику - есть АК, есть ПКМ. Но нет, мы заставляем пулеметчика таскать и автомат тоже. Второй вариант - есть РПГ-7, есть АГС-17. Но у нас чел с автоматическим гранатомётом будет таскать еще и РПГ.
Войско получилось малоподвижное. А когда у штабистов спросили, откуда такие требования, они сказали, что расписывать про всяких пулеметчиков гранатомётчиков и снайперов это слишком сложно.
А ведь есть еще и танкисты которые с АК в танк не влезут)
2арканоид
я Вам про принцип, а Вы мне про частные случаи. фсб у себя не применяет, потому что заражается таким "я профи, потому дляменя законы не писаны". к хорошему это не приведет.а вот в массовом смысле все именно так как я и написал. я миллион раз слышал про "поставить решетки и успокоиться". таких большинство из тех кто ОБЯЗАН защищать.для них такие требования и написали.
2Фин
Будем военным опытом меряться? ))) ак нужен и гранатометчику и тяжелому пулеметчику и птурснику и пзркашнику. про рпг и агс в одном флаконе Вы явно переборщили-ни в документах ни в реале никогда даже не слышал. в конце концов бусв отделения и роты такого не предусматривает.или у нас уже армия не по уставам живет? а для танкистов аксу был придуман.
Zzubra, вся бизнес-практика состоит из таких "частных случаев". Они и есть "принцип".
Требование что МСЭ должен заносить в системный журнал информацию о каждом заблокированном IP-пакете, а при невозможности ведения системного журнала -- отключать прохождение трафика, не отменили часом? Думаю, нет. Хи-хи. Принцип!
Вот Вы ругались-ругались, а фсб читало-читало да проект приказа вроде и удалила. вот как теперь замечания отправлять?
А чем требование прекращать обработку при выходе из строя сзи Вам не нравится? Что предлагаете Вы?
>ZZubra пишет...Будем военным опытом меряться? )))
Да запросто. Я стрелял из того что перечислил. И знаю кто чего таскает на маршах. АГС-17 например таскают двое - один пушку, второй треногу. А вы по-моему не очень внимательно читали мой пример. Ну да ладно, еще раз всё объяснять не буду, так как здесь это явно оффтоп.
> А чем требование прекращать обработку при выходе из строя сзи Вам не нравится? Что предлагаете Вы?
ZZubra, меряйтесь уж лучше военным опытом, зачем вы пошли в инфобез?
Ну подумайте головой хоть немного? Как вы собираетесь писать в системный журнал 100 миллионов сообщений в секунду? Чем? В какой? Сколько это будет стоить?
2Фин
бусв Вас не убедил. ок. ну и ладно.
2арканоид
к сожалению не являюсь узким специалистом по МЭ, потому не могу Вам открыто возразить цифрами и кодом.
Но на концептуальном уровне возникает вопрос - принимать решение о пропуске и блокировке каждого пакета IP со скоростью 100 миллионов в секунду можно, а записывать с такой скоростью нет? И еще: значит на рынке нет ни одного МЭ который выполняет "Требование что МСЭ должен заносить в системный журнал информацию о каждом заблокированном IP-пакете"?
Вообще цифра в 10в8 в секунду - это для МЭ какого масштаба? если оттолкнуться от "Как видно на графике, 300K запросов в секунду примерно соответствуют 500 МБ/с, тогда как в Рунете не раз наблюдались DDoS-атаки в десятки гигабит/с, а самая крупная была в 100 Гбит/с" (взято http://www.xakep.ru/post/58249/), то похоже Вы имели ввиду какой-то немерянный канал ЦОДов. И тогда такая скорость (очень грубо) соответствует каналу в 170 гигабит/с. Опять же если все это примерно так, то количество организаций, гоняющих персданные с такой скоростью не сопоставимо с количеством бухгалтерий и отделов кадров сидящих на 128к или даже на 1 мегабите в секунду. И тогда для МАССОВОГО потребителя такое требование к МЭ вполне реализуемо и разумно. Так? Или я где-то ошибся?
Уважаемый Алексей! Мне нравится ваш грамотный блог, я постоянный читатель, поэтому, желая только лучшего, обращаю ваше внимание на "в соответствиИ с".
А как же быть с Типовыми требованиями ФСБ и Методическим рекомендациями ФСБ? В проекте нет ни слова о том, что они отменяются.
А некоторые требования указанных документов дублируются (учет всех носителей, решетки на окнах и др.)
Эти два документа не были приняты и не являются легитимными
Получается, что использование криптосредств (при обеспечении безопасности ПДн) должно осуществляться только в соответствии с требованиями эксплуатационной и технической документации к ним (естественно, до вступления в силу обсуждаемого Приказа)? И при проверках не требуются Журналы учета криптосредств, Функциональные обязанности ответственных пользователей криптосредств и проч.?
А как же http://www.fsb.ru/fsb/science/single.htm!id%3D10434826@fsbResearchart.html, http://www.consultant.ru/document/cons_doc_LAW_126991/ ?
Эти документы не были утверждены в необходимом порядке
Отправить комментарий