Полiт.ua Государственная сеть Государственные люди Войти
21 ноября 2017, вторник, 07:39
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

15 ноября 2012, 18:39

Правительство РФ как угроза информационной безопасности

Защита информации
Защита информации
ossbe.com

На днях вступило в силу новое постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменившее одноименное постановление, действовавшее с 2007 года. В новом постановлении приводится новое описание классов информационных систем персональных данных, типов информационных угроз и требований к защите информации. Вице-спикер Госдумы, член комитета по информационной политике, информационным технологиям и связи Сергей Железняк заявил тогда, что «таким образом государство последовательно и максимально стремится обеспечить реализацию конституционного права граждан на тайну личной жизни и переписки». Насколько государство «стремится», и насколько «последовательно», «Полит.ру» рассказал старший аналитик компании «Доктор Веб» Вячеслав Медведев.

Формально 1-го ноября правительство всего лишь утвердило новое постановление «Об утверждении требований к защите персональных данных…». Фактически же оно вместо худо-бедно работавшего на пользу страны и граждан, чьи персональные данные обрабатываются государством и иными операторами, ввело документ, который уменьшает требования к информационной безопасности. Прописанных в нем мер защиты просто недостаточно. По сути – это шаг назад в вопросах информационной безопасности.

Начнем с того, что

из новой редакции исчезло определение того, что такое несанкционированный доступ. Видимо оно больше не нужно.

Кроме того, ушло положение о соответствии программных средств требованиям обеспечения безопасности. То есть, если раньше надо было ставить не абы какой антивирус, а тот, который ловит вирусы, то теперь это неважно. Можно ставить что угодно, лишь бы оно правильно называлось. Пропало из нового постановления и требование к программным средствам «удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Что, очевидно, явный шаг в сторону от безопасности, поскольку  

постановление не подразумевает даже «отечественной» проверки зарубежных средств безопасности.


Федеральная служба по техническому и экспортному контролю (ФСТЭК), кстати, выпустила недавно шесть документов описывающих обязательный с точки зрения государства функционал антивирусов и межсетевых экранов. Хотелось бы передать соболезнования коллегам из федеральной службы – эти бумажки, благодаря новому постановлению, теперь хотя и реально нужны, но повисли в воздухе. По сути, нужны новые.

И остается только посочувствовать тем, кто с лета исполняет согласно этим стандартам государственные контракты: их ждут реальные перспективы судебных исков и непредвиденный рост сметной стоимости проектов.

Теперь по пунктам. Пункт 6 постановления, описывающий «актуальные угрозы безопасности персональных данных» – просто смех. Первый тип – недокументированные функции в операционной системе, второй – недокументированные функции в прикладных программах, третий – все остальное. Как их определять, конечно, не сказано. И ладно еще, что никто ни разу не видел, как создатели операционки описали бы на сто процентов все ее функции (то же про все остальные программы). Но зачем это разделение вообще нужно когда, например, существующая и действующая типовая модель угроз информационных систем органов исполнительной власти города Москвы охватывает 14 типов угроз (а частные модели оперируют десятками типов угроз) и 7 их источников? Видимо, им надо проще относиться к безопасности, тем боле, что любую из описанных угроз, согласно пункту 7 теперь можно признать незначительной, если оценивать ее «с учетом оценки возможного вреда». Ну как оценить в рублях, скажем, возможный ущерб от утечки информации о ваших религиозных убеждениях? Правильно! Как «незначительный». Да и пункт 2, указывающий на защиту только от актуальных угроз, не лучше.

Согласно логике нужно защищаться только от известного в данный момент, совершенно не учитывая появления все новых и новых методов проникновения.


Пункт 5 вступившего в силу постановления, описывающий новую классификацию информсистем персональных данных, и, в частности систему обработки общедоступных персональных данных, и вовсе противоречит действующему законодательству. Закон «О персональных данных» подразумевает два источника таких данных. Первый – это данные, которые сам субъект обозначил как общедоступные, второй – данные, которые полученные из открытых источников. Новое же постановление понимает общедоступные данные лишь как полученные из открытых источников. И теперь, оператор, выполняя данное постановление, не может взять данные напрямую у субъекта.

 

Оператор теперь, видимо, должен сказать человеку, который принес свои персональные данные: «Вы их сначала в блоге у себя опубликуйте, приложив в письменном виде свое согласие на их публикацию, а также подтверждение нотариуса, заверяющего подлинность согласия, а мы уже оттуда сами возьмем».


Еще более абсурдными являются пункты 8 и 9 принятого постановления, которые определяют 4 уровня защищенности персональных данных.

Здесь необходимо пояснить, что ранее, в отмененных документах, также было предусмотрено 4 класса защиты. И в большинстве случаев можно была ориентироваться на схему: обезличенные данные – класс К4, минимальный уровень защиты; данные, позволяющие идентифицировать лицо – это К3; плюс к идентификации наличие дополнительных данных - К2, специальные типы данных - К1, самый высокий класс защиты.

Теперь у нас также 4 уровня, но выбор уровня сильно усложнен (точнее отсутствует вовсе). Конкретный уровень по новым правилам высчитывается исходя из класса информационной системы, актуальных для нее угроз, принадлежности и количества субъектов, данные которых обрабатываются. То есть, проще говоря, вместо 4 уровней для 4 классов систем мы имеем по факту 4 уровня для 18 различных «наборов» параметров, где каждый конкретный набор еще надо определить. Но было бы еще полбеды, если все это распределение имело бы хоть какой-то смысл. Увы, это не так.

Подпункт а) пункта 9 гласит, что наивысшая, по 1-му уровню, защита полагается если «для информационной системы актуальны угрозы 1-го типа (то есть уязвимость ОС – «Полит.ру») и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных». Но

так как «иные данные» – это фамилия-имя-отчество, а операционная система уязвима в ста процентах случаев, то абсолютно всем информсистемам теперь полагается защита по наивысшему разряду. Все, точка. Все остальные «наборы» параметров описанные в пунктах с 10 по 12 больше не нужны,

какая бы ахинея не была там написана. А ее там в достатке, взять хотя бы описание 2-го уровня защиты под который попадает обработка данных из открытых источников. Составителей документа не смутила необходимость охранять данные, которые больше никто не охраняет.

Еще одной странностью можно назвать такой параметр как «количество субъектов персональных данных». По данному критерию операторы делятся на два типа: те, кто обрабатывает данные более чем 100 тыс. субъектов и те, кто менее. При этом  

в документе ни слова нет о тех операторах, которые обрабатывают ровно 100 тыс. субъектов. Можно было бы посмеяться, если забыть, что в информационной безопасности мелочей не бывает.

Говорить без слез про описанные в документе меры защиты и контроля безопасности вообще невозможно. Скажу лишь, что все уровни с 1-го по 4-й требуют «организации режима обеспечения безопасности помещений, в которых размещена информационная система». Иначе говоря, создатели постановления уверены, что амбарный замок на серверной – главная мера защиты данных.  

То, что сотрудники спецслужб уже давно используют мобильные устройства для работы с информацией, как-то ускользнуло от разработчиков

(их теперь, если следовать букве документа, нужно включать исключительно в охраняемых помещениях), как и то, что для мобильных устройств тоже нужна защита. Столь же абсурдны и требования к контролю безопасности: «контроль проводится не реже 1 раза в 3 года».

То есть раз в три года подошел, подергал замок на двери – висит прочно, - вот и вся их безопасность.

Продолжать можно еще долго, но если обобщить, то можно сказать, что документ писали какие-то «вохровцы». Эдакие «динозавры», для которых главный носитель информации – бумажный документ. И это когда Dr. Web поставил рекорд по суточному обнаружению новых вредоносных программ и новых модификаций уже известных угроз : на днях их количество достигло 150 тыс. Ей богу, пора в модели угроз информационной безопасности вводить новый источник уязвимости – нормотворчество правительства Российской Федерации.

 

Обсудите в соцсетях

Система Orphus

Главные новости

20.11 20:52 Трамп объявит КНДР спонсором терроризма
20.11 20:33 Меркель отказалась уходить в отставку
20.11 20:10 Посольство РФ в Сирии пострадало при минометном обстреле
20.11 19:59 Спасатели зафиксировали стук в районе поисков аргентинской подлодки
20.11 19:34 В Москве суд уменьшил срок участнику протестов 26 марта
20.11 19:23 Глава ФНС посулил прозрачность мира и большую «беду»
20.11 18:59 Глава Минкомсвязи исключил легализацию биткойнов в РФ
20.11 18:46 Караченцов успешно начал курс лечения от рака
20.11 18:21 В Киеве задержан подозреваемый в убийстве Пола Хлебникова
20.11 18:00 СМИ узнали о допросе свидетелей перестрелки в «Москва-Сити»
20.11 17:43 Президент ФРГ потребовал сформировать новое правительство
20.11 17:30 Курортный сбор в Крыму составит 10 рублей в день
20.11 17:24 В Зимбабве готовят импичмент Мугабе
20.11 17:19 Посол США допустил возобновление визовых собеседований в регионах
20.11 17:07 Капитализация китайского интернет-холдинга достигла уровня Facebook
20.11 16:59 Ирина Яровая призвала отказаться от гендерного равенства
20.11 16:36 В Белоруссии раскрыли украинскую шпионскую сеть
20.11 16:10 В Минфине допустили использование криптовалют в Крыму
20.11 15:48 Кремль пообещал рассмотреть жалобы бизнеса на новые сборы
20.11 15:36 Путин и Песков наблюдают за формированием коалиции в правительстве ФРГ
20.11 15:30 Один вид голожаберных моллюсков разделили на четыре
20.11 15:09 Сбившая мальчика в Балашихе подаст иск против его отца
20.11 14:46 «Альтернатива для Германии» призвала Меркель к отставке
20.11 14:27 Школьника из Нового Уренгоя осудили за слова о «невинно погибших» солдатах вермахта
20.11 14:12 Останкинскую телебашню проверяют после звонка о минировании
20.11 13:54 Патриарх Кирилл заявил о скором конце света
20.11 13:45 ФАС не нашла нарушений в жалобе на цены iPhone X
20.11 13:39 Деревянные башмаки вызывали остеохондрит у голландских крестьян
20.11 13:24 Управление СК по особо важным делам будет расследовать стрельбу в «Москва-Сити»
20.11 12:58 Путин пожелал патриарху Кириллу не перетрудиться
20.11 12:38 Виновные в гибели 69 человек при крушении траулера получили реальные сроки
20.11 12:19 Мать и сестра полковника Захарченко выехали за пределы России
20.11 11:59 СМИ узнали о согласии Мугабе с условиями ухода в отставку
20.11 11:34 СМИ узнали о массовой перерегистрации ИП из-за «черных списков» ЦБ
20.11 11:09 Источник сообщил о покупке Foodfox сервисом «Яндекс.Такси»
20.11 10:49 Пятая часть россиян высказала недовольство школами
20.11 10:48 МИД РФ сообщил о создании ФСБ базы иностранных террористов
20.11 10:33 Опрошенные россияне рассказали о главном недостатке Путина
20.11 10:30 Зарастание торфяников способствует потеплению климата
20.11 10:02 Госдума рассмотрит запрет криминальной субкультуры в соцсетях
20.11 09:35 СМИ узнали о жалобе предпринимателей Путину на новые сборы
20.11 09:32 Тельман Исмаилов заявил о своей непричастности к организации убийств
20.11 09:14 Сорванные переговоры немецких партий могут привести к перевыборам бундестага
20.11 09:04 Убийца Чарльз Мэнсон умер в заключении
20.11 08:49 ВМС США направили на поиск аргентинской подлодки четыре дрона
20.11 08:33 Роберт Мугабе в обращении к народу ничего не сказал о своей отставке
19.11 20:43 В Черное море вошел французский фрегат-«невидимка»
19.11 20:11 Источник сообщил о согласии Мугабе на отставку
19.11 19:34 В Росгвардии сообщили о похищении пистолета у своего бойца в «Москва-Сити»
19.11 18:55 Мединский ответил на обвинения Райкина в мести чиновников
Apple Boeing Facebook Google iPhone IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter Абхазия аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Аркадий Дворкович Арктика Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия беспорядки бизнес биология ближневосточный конфликт бокс болельщики «болотное дело» большой теннис Борис Немцов борьба с курением Бразилия Валентина Матвиенко вандализм Ватикан ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ военная авиация Волгоград ВТБ Вторая мировая война вузы ВЦИОМ выборы выборы губернаторов выборы мэра Москвы Вячеслав Володин гаджеты газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток декларации чиновников деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Ингушетия Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Киев кино Киргизия Китай Климат Земли, атмосферные явления КНДР Книга. Знание Компьютеры, программное обеспечение Конституционный суд Конституция кораблекрушение коррупция космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика Ленинградская область лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия Мария Захарова МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минсельхоз Минтранспорта Минтруд Минфин Минэкономразвития Минэнерго Минюст «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС мобильные приложения Молдавия Мосгорсуд Москва Московская область мошенничество музыка Мурманская область МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» недвижимость некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН ОПЕК оппозиция опросы оружие отставки-назначения офшор Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Петр Порошенко пищевая промышленность погранвойска пожар полиция Польша похищение Почта России права человека правительство Право правозащитное движение православие «Правый сектор» преступления полицейских преступность Приморский край Продовольствие происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Республика Карелия Реформа армии РЖД ритейл Роскомнадзор Роскосмос «Роснефть» Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Полонский Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид Счетная палата США Таджикистан Таиланд Татарстан театр телевидение телефонный терроризм теракт терроризм технологии Трансаэро транспорт туризм Турция тюрьмы и колонии убийство уголовный кодекс УЕФА Узбекистан Украина Условия труда фармакология ФАС ФБР Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие химия хоккей хулиганство цензура Центробанк ЦИК Цикл бесед "Взрослые люди" ЦРУ ЦСКА Челябинская область Чехия Чечня ЧМ-2018 шахты Швейцария Швеция школа шоу-бизнес шпионаж Эбола эволюция Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Якутия Яндекс Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129090, г. Москва, Проспект Мира, дом 19, стр.1, пом.1, ком.5
Телефон: +7 495 980 1894.
Яндекс.Метрика
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.