tag:blogger.com,1999:blog-4065770693499115314.post7562550879599122090..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: О грядущем PHDays III, Жириновском, будущем молодежи, SDLC и другие размышленияАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-4065770693499115314.post-61766767139614482362013-05-31T17:35:47.392+04:002013-05-31T17:35:47.392+04:00Этот комментарий был удален автором.Anonymoushttps://www.blogger.com/profile/09972745535781253036noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59688545790697550652013-05-31T17:35:30.182+04:002013-05-31T17:35:30.182+04:00Уважаемый Алексей (или кто там будет)
Поскольку бу...Уважаемый Алексей (или кто там будет)<br />Поскольку будет "флейм" (уверен все равно) - поднимите ПЛИИИЗ и развейте следующую "глобальную тему"<br /> ЯКОБЫ ЛУЧШЕГО ПОНИМАНИЯ ЧИНОВНИКАМИ что надо для защиты безопасности бизнеса.<br />Особенно по лицензиям ФСБ на СКЗИ.<br /> ( только по отн. к ч.бизнесу а не к госам)<br />В цив.странах как: -рекомендаци дали (по ПДн) и сами решайте что выполнять из них..Хотите рискнуть реально сесть -не выполняйте. Но чьито ПДн попадутся -сядете. И бизнес гибко решает и определяет рынок(спросом)<br />У нас (в СКЗИ особенно) -наоборот ЧИНОВНИКИ "формируют спрос". <br />получается применять шифрование для лучшей защиты -себе дороже. все бегут от слова шифрование. Так чиновники насильно -"вот тут у вас должно быть шифрование -аттестуйте помещение по ПЭМИН=до100тыщ, У вас сервер и тонкие терминальн.клиенты без бумажек? выкиньте все и закупите на 500тыщ точно таких но сертифицированных + ТОЛЬКО ОТ НАШЕЙ КОНТОРЫ серт. МСЭ и НДП<br />и если вздумаете чтото поменять(кондишн встроить) -звоните скидку сделаем :)<br />ни бесплатных эффективных PGP ssl/tls, ни ssh , ни opensource вообще(если все по закону делать :)<br />В реальности большинство мелких "не тянет" ограничивается 1й р.станцией с ИСПДН и МСЭ ,платкой НДП в комнатушке или вообще на "бумагу" в 19й век уходят. реальная безопасность больше страдает. Нет реальной конкуренции и, соответственно низких цен в предлагаемых СКЗИ(и не может быть под контролем 1го естественного гос-монополиста). <br />Спасибо (вам в том числе) что хоть с СЗИ(лицензированием) полегче стало.<br />Но все равно в других странах как-то "все как у людей, а у нас ..все как всегда" (обидно:)Anonymoushttps://www.blogger.com/profile/09972745535781253036noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-22761225356565527242013-05-21T15:22:30.180+04:002013-05-21T15:22:30.180+04:00Пока секрет :-)Пока секрет :-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57872102936758648802013-05-21T11:29:05.944+04:002013-05-21T11:29:05.944+04:00>о CTD, о WAF, и о AntiDDoS
Алексей, а последн...>о CTD, о WAF, и о AntiDDoS<br /><br />Алексей, а последние 2 ветки разве ж вы не закрыли еще?<br />Cisco Guard - EOS (или EOL уже)<br />Cisco ACE - тоже уже объявили о свертывании...<br />Или вы уже дружественные решения продвигать будете?doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-88868562523420050882013-05-21T10:25:14.551+04:002013-05-21T10:25:14.551+04:004. Для ФСБ:
Пока не вышли документы ФСБ по персона...4. Для ФСБ:<br />Пока не вышли документы ФСБ по персоналке, очень бы хотелось до них донести следующее. ЕСЛИ (а оснований думать иначе очень мало) документы по персоналке будут идентичны по системе и требованиям приказу ФСБ №796, то может возникнуть страшная ситуация поголовного их неисполнения, из-за того, что строительство большинства систем уже начато, т.е. УЖЕ ЗАКУПЛЕНО ОБОРУДОВАНИЕ ШИФРОВАНИЯ (для медицины, ЕГЭ, росреестра, занятости, трудовых инстпекций и многих других). Причем закуплено от федерального до муниципального уровней. Кое где эти системы даже уже эксплуатируются (а по отчетам, наверное, вообще везде). Большинство закупленных систем классов КС2 и КС3. Если требования к прикладному и системному ПО ИСПДн будут как в 18 пункте "Требований к средствам УЦ" приказа ФСБ №796:<br /><br />"18. Требования к ПО средств УЦ:<br />18.1. Требования для средств УЦ класса КС1:<br />- ПО средств УЦ не должно содержать средств, позволяющих модифицировать или искажать алгоритм работы программных средств и АС УЦ.<br />18.2. Требования для средств УЦ класса КС2:<br />- прикладное ПО средств УЦ и СКЗИ, используемых в УЦ, должно использовать только документированные функции системного ПО.<br />18.3. Требования для средств УЦ класса КС3:<br />...<br />- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;"<br /><br />то исполнить их для КС2 и КС3 в части НДВ для прикладного ПО будет очень сложно из-за нежелания поставщиков систем заморачиваться и НЕВОЗМОЖНОСТИ отказаться (сменить на другое ПО) от МАСШТАБНЫХ УЖЕ ВНЕДРЕННЫХ программных продуктов которые контроль отсутствия НДВ не проходили (обновления на сертифицированные версии стране тоже встанет в копеечку) и для КС3 в части НДВ ОС в связи с "отсутствием таких ОС" для существующего прикладного ПО (а в случае перехода - ни один админ не согласиться под страхом остановки работы, допустим, всех медучреждений области, переустановить ОС и ВСЕ прикладное ПО МИС, которое ставили специалисты из Москвы по многомиллионному контракту).<br />Если же требования по необходимости отсутствия НДВ сдвинутся на одну ступеньку (для КС1 и КС2 - вообще не требуется контроль НДВ, для КС3 - НДВ прикладного ПО ИСПДн, для КВ1 - НДВ ПО и ОС, далее - по документу), таких ужасающих последствий массово скорее всего можно будет избежать. <br />5. Для всех :)<br />Я столкнулся с подходом разработчиков, который автоматом нивелирует работу всех безопасников. На примере ORACLE. Большинство ключевых государственных систем (баз данных) работает на этой серьезной промышленной СУБД. С сертификацией этой СУБД существуют серьезные проблемы (по моим куцым сведениям). И если, может быть, для федеральных органов они разрешимы, то когда разработчики приходят в регионы внедрять свои решения на базе того же ORACLE, попытка задать вопрос про сертифицированные механизмы контроля доступа или логирования натыкаются на бешенное возмущение: ДА ВСЕ ГОСУДАРСТВЕННЫЕ СИСТЕМЫ ...(не буду тут приводить этот перечень) РАБОТАЮТ НА ORACLE!!! Вы хотите сказать что ... (далее следует перечень из министерстви служб) НЕ ИСПОЛНЯЮТ ПРИКАЗ ФСТЭК??? <br />Естественно, что т.к. применение несертифицированных систем в работе госорганов такого уровня однозначно влияет на решения руководителей на местах, выбор идет не в пользу исполнения законодательства. А дальше наступает время проверки, при которой ни один чиновник (проверяющий)не возьмет на себя ответственность остановить работу, допустим, единой медицинской системы области. Зачем тогда вообще городить огород с нормативкой? Чтобы "враг" думал, что у нас все серьезно?<br /><br />PS Все это мое провинциально-кухонно-дилетантское личное видение проблем современной России. Как хотелось бы, чтобы моя мысленная модель действительности не соответствовала действительности...ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41145093432571840532013-05-21T10:24:54.416+04:002013-05-21T10:24:54.416+04:00Прочитал. Обглодал локти. Денег стоит много - попа...Прочитал. Обглодал локти. Денег стоит много - попасть не получается ((((<br />А "представителям Совета Федерации, Министерства связи и массовых коммуникаций, ЦИБ ФСБ; закрытая сессия ФСТЭК" у меня есть что сказать.<br />Многоуважаемый Алексей! Если посчитаете нужным и возможным, задайте этим товарищам или донесите до них, ПОЖАЛУЙСТА, следующие проблемы:<br />1. Для ФСТЭК и ФСБ: <br />не планируется ли выпустить обобщающую графическую схему с системой нормативных актов ФСТЭК и ФСБ по защите информации (в первую очередь для госорганов), чтобы видеть и представлять какие документы задумываются, что уже сделано, куда все будет двигаться дальше. Отсутствие сего документа - это создание нигилистического отношения ко всем офигительным шагам, предпринимаемым регуляторами (ну или когда документы появятся, исполнители разведут руками и скажут "кто ж знал").<br />2. Для ФСТЭК, ФСБ и Совета Федерации: <br />21 приказ минюст зарегистрировал: http://minjust.consultant.ru/page.aspx?1045253<br />НО! Сейчас активно создаются государственные системы, двигателем которых является предоставление электронных услуг. Очень жёстко устанавливаются сроки начала предоставления таких услуг (1 января 2013 и 2014 годов). Но создание систем (баз данных) для предоставления информации на госуслуги делается сейчас, В ОТСУТСТВИИ НОРМАТИВКИ ПО ЗАЩИТЕ!!! (нет методик моделирования, не ко всем СЗИ предъявлены новые требования, нет документов от ФСБ и т.п. все и так знают чего нет). Деньги выделяются бешеные НО ОДИН РАЗ, и ВТОРОЙ РАЗ для ПЕРЕДЕЛЫВАНИЯ СИСТЕМ ИХ НИКТО НЕ ДАСТ! ИХ и ПРОСИТЬ НА МЕСТАХ ПОБОЯТСЯ ВТОРОЙ РАЗ! И вся нормативка, такая классная и умная, будет лежать мертвым грузом и не исполняться. И сами проверяющие НИКОГДА УЖЕ не остановят работу ни портала госуслуг, ни цода медицины в регионе, ни системы ЕГЭ, ни ГАС Выборы, ни систем ЗАГСов, ни... Надо СЕЙЧАС исполнительной и законодательным властям выбрать одно из двух - или не прессовать по созданию информационных систем в ограниченные сроки или в кротчайшие сроки выпустить нормативку (или на крайний случай концепции этих документов с принципами, закладываемыми в них).<br />3. Для ФСБ и Совета Федерации: <br />Совет Федерации решает какие законы и когда вступают в силу и вступают ли вообще. Сейчас виден явный тренд на предоставление госуслуг в электронном виде, систему электронного межведа. Под это пишутся законы и подзаконники. Основой для них является возможность применения электронной подписи (ЭП). Большинство документов, переводимых в электронный формат, должны храниться достаточно продолжительное время (у нас в России есть даже несколько перечней архивных документов с указанием сроков их хранения, за нарушение которых карают по кодексам). Например, медицинская карточка амбулаторного больного (25 лет), запись о внесении в реестр собственников жилья и т.п. Есть документы и постоянного хранения!!! Но их нельзя подписывать электронной подписью!!! Даже квалифицированной!!! Почему? Потому что через 16 лет эти подписи станут не проверяемы (см. пункт 36 "Требований к средствам ЭП" приказа ФСБ №796: "Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет."). Итого мы получаем систему законодательства не исполнимую в принципе (хотя 15 лет ФСБ наверняка железобетонно обоснует математически) из-за отсутствия инструмента исполнения законодательства (конечно можно будет волевым решением убрать "15 лет" вообще, но какие возможности тогда открываются для высокотехнологичных мошенников... или как легко будет импортным спецслужбам перемешав записи в регистрационной палате вызвать волнения в любом субъекте РФ... А уж в каком положении окажется суд, когда подтвердить подлинность давнешних документов не представляется возможным)ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.com