Полiт.ua Государственная сеть Государственные люди Войти
28 июля 2017, пятница, 03:46
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

15 ноября 2012, 18:39

Правительство РФ как угроза информационной безопасности

Защита информации
Защита информации
ossbe.com

На днях вступило в силу новое постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменившее одноименное постановление, действовавшее с 2007 года. В новом постановлении приводится новое описание классов информационных систем персональных данных, типов информационных угроз и требований к защите информации. Вице-спикер Госдумы, член комитета по информационной политике, информационным технологиям и связи Сергей Железняк заявил тогда, что «таким образом государство последовательно и максимально стремится обеспечить реализацию конституционного права граждан на тайну личной жизни и переписки». Насколько государство «стремится», и насколько «последовательно», «Полит.ру» рассказал старший аналитик компании «Доктор Веб» Вячеслав Медведев.

Формально 1-го ноября правительство всего лишь утвердило новое постановление «Об утверждении требований к защите персональных данных…». Фактически же оно вместо худо-бедно работавшего на пользу страны и граждан, чьи персональные данные обрабатываются государством и иными операторами, ввело документ, который уменьшает требования к информационной безопасности. Прописанных в нем мер защиты просто недостаточно. По сути – это шаг назад в вопросах информационной безопасности.

Начнем с того, что

из новой редакции исчезло определение того, что такое несанкционированный доступ. Видимо оно больше не нужно.

Кроме того, ушло положение о соответствии программных средств требованиям обеспечения безопасности. То есть, если раньше надо было ставить не абы какой антивирус, а тот, который ловит вирусы, то теперь это неважно. Можно ставить что угодно, лишь бы оно правильно называлось. Пропало из нового постановления и требование к программным средствам «удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Что, очевидно, явный шаг в сторону от безопасности, поскольку  

постановление не подразумевает даже «отечественной» проверки зарубежных средств безопасности.


Федеральная служба по техническому и экспортному контролю (ФСТЭК), кстати, выпустила недавно шесть документов описывающих обязательный с точки зрения государства функционал антивирусов и межсетевых экранов. Хотелось бы передать соболезнования коллегам из федеральной службы – эти бумажки, благодаря новому постановлению, теперь хотя и реально нужны, но повисли в воздухе. По сути, нужны новые.

И остается только посочувствовать тем, кто с лета исполняет согласно этим стандартам государственные контракты: их ждут реальные перспективы судебных исков и непредвиденный рост сметной стоимости проектов.

Теперь по пунктам. Пункт 6 постановления, описывающий «актуальные угрозы безопасности персональных данных» – просто смех. Первый тип – недокументированные функции в операционной системе, второй – недокументированные функции в прикладных программах, третий – все остальное. Как их определять, конечно, не сказано. И ладно еще, что никто ни разу не видел, как создатели операционки описали бы на сто процентов все ее функции (то же про все остальные программы). Но зачем это разделение вообще нужно когда, например, существующая и действующая типовая модель угроз информационных систем органов исполнительной власти города Москвы охватывает 14 типов угроз (а частные модели оперируют десятками типов угроз) и 7 их источников? Видимо, им надо проще относиться к безопасности, тем боле, что любую из описанных угроз, согласно пункту 7 теперь можно признать незначительной, если оценивать ее «с учетом оценки возможного вреда». Ну как оценить в рублях, скажем, возможный ущерб от утечки информации о ваших религиозных убеждениях? Правильно! Как «незначительный». Да и пункт 2, указывающий на защиту только от актуальных угроз, не лучше.

Согласно логике нужно защищаться только от известного в данный момент, совершенно не учитывая появления все новых и новых методов проникновения.


Пункт 5 вступившего в силу постановления, описывающий новую классификацию информсистем персональных данных, и, в частности систему обработки общедоступных персональных данных, и вовсе противоречит действующему законодательству. Закон «О персональных данных» подразумевает два источника таких данных. Первый – это данные, которые сам субъект обозначил как общедоступные, второй – данные, которые полученные из открытых источников. Новое же постановление понимает общедоступные данные лишь как полученные из открытых источников. И теперь, оператор, выполняя данное постановление, не может взять данные напрямую у субъекта.

 

Оператор теперь, видимо, должен сказать человеку, который принес свои персональные данные: «Вы их сначала в блоге у себя опубликуйте, приложив в письменном виде свое согласие на их публикацию, а также подтверждение нотариуса, заверяющего подлинность согласия, а мы уже оттуда сами возьмем».


Еще более абсурдными являются пункты 8 и 9 принятого постановления, которые определяют 4 уровня защищенности персональных данных.

Здесь необходимо пояснить, что ранее, в отмененных документах, также было предусмотрено 4 класса защиты. И в большинстве случаев можно была ориентироваться на схему: обезличенные данные – класс К4, минимальный уровень защиты; данные, позволяющие идентифицировать лицо – это К3; плюс к идентификации наличие дополнительных данных - К2, специальные типы данных - К1, самый высокий класс защиты.

Теперь у нас также 4 уровня, но выбор уровня сильно усложнен (точнее отсутствует вовсе). Конкретный уровень по новым правилам высчитывается исходя из класса информационной системы, актуальных для нее угроз, принадлежности и количества субъектов, данные которых обрабатываются. То есть, проще говоря, вместо 4 уровней для 4 классов систем мы имеем по факту 4 уровня для 18 различных «наборов» параметров, где каждый конкретный набор еще надо определить. Но было бы еще полбеды, если все это распределение имело бы хоть какой-то смысл. Увы, это не так.

Подпункт а) пункта 9 гласит, что наивысшая, по 1-му уровню, защита полагается если «для информационной системы актуальны угрозы 1-го типа (то есть уязвимость ОС – «Полит.ру») и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных». Но

так как «иные данные» – это фамилия-имя-отчество, а операционная система уязвима в ста процентах случаев, то абсолютно всем информсистемам теперь полагается защита по наивысшему разряду. Все, точка. Все остальные «наборы» параметров описанные в пунктах с 10 по 12 больше не нужны,

какая бы ахинея не была там написана. А ее там в достатке, взять хотя бы описание 2-го уровня защиты под который попадает обработка данных из открытых источников. Составителей документа не смутила необходимость охранять данные, которые больше никто не охраняет.

Еще одной странностью можно назвать такой параметр как «количество субъектов персональных данных». По данному критерию операторы делятся на два типа: те, кто обрабатывает данные более чем 100 тыс. субъектов и те, кто менее. При этом  

в документе ни слова нет о тех операторах, которые обрабатывают ровно 100 тыс. субъектов. Можно было бы посмеяться, если забыть, что в информационной безопасности мелочей не бывает.

Говорить без слез про описанные в документе меры защиты и контроля безопасности вообще невозможно. Скажу лишь, что все уровни с 1-го по 4-й требуют «организации режима обеспечения безопасности помещений, в которых размещена информационная система». Иначе говоря, создатели постановления уверены, что амбарный замок на серверной – главная мера защиты данных.  

То, что сотрудники спецслужб уже давно используют мобильные устройства для работы с информацией, как-то ускользнуло от разработчиков

(их теперь, если следовать букве документа, нужно включать исключительно в охраняемых помещениях), как и то, что для мобильных устройств тоже нужна защита. Столь же абсурдны и требования к контролю безопасности: «контроль проводится не реже 1 раза в 3 года».

То есть раз в три года подошел, подергал замок на двери – висит прочно, - вот и вся их безопасность.

Продолжать можно еще долго, но если обобщить, то можно сказать, что документ писали какие-то «вохровцы». Эдакие «динозавры», для которых главный носитель информации – бумажный документ. И это когда Dr. Web поставил рекорд по суточному обнаружению новых вредоносных программ и новых модификаций уже известных угроз : на днях их количество достигло 150 тыс. Ей богу, пора в модели угроз информационной безопасности вводить новый источник уязвимости – нормотворчество правительства Российской Федерации.

 

Обсудите в соцсетях

Система Orphus
Loading...

Главные новости

21:01 Двукратный чемпион Европы по тяжёлой атлетике утонул на Кубани
20:54 Капитализация Facebook превысила полтриллиона долларов
20:17 США прекратили сотрудничество с одной из оппозиционных группировок в Сирии
19:59 При крушении самолета в Абхазии погибли трое россиян
19:50 В Германии увидели в новых санкциях США помощь «Северному потоку-2»
19:30 Путин разрешил выезжать за рубеж при долге не более 30 тысяч рублей
19:10 Владелец «Югры» пообещал банку 21 млрд рублей в случае санации
18:52 Власти Москвы выставили на аукцион 33 здания рядом с Кремлем
18:29 Путин назвал особым цинизмом новые санкции США
18:04 Кадыров заявил о готовности сложить полномочия ради охраны мечети
17:49 Основатель Amazon отобрал у Гейтса звание богатейшего бизнесмена мира
17:32 «Яндекс» добавил сноску к новому слогану после угрозы ФАС
17:12 Росавиация опровергла дефицит пилотов
17:03 В Бразилии открыт новый птичий вирус
17:00 Багдасарян оштрафовали за вождение без прав на 15 тысяч
16:31 Всех выселенных в Мармарисе российских туристов разместили по отелям
16:15 Минтранс намерен проверять пилотов на ВИЧ и наркотики
15:45 В Белом доме намекнули на еще большее ужесточение Трампом санкций против РФ
15:30 Гуцериев решил снять «высокохудожественный фильм»
15:15 Собянин разрешил жениться в зоопарке и музеях
15:14 Бозон Хиггса способен распадаться на два прелестных кварка
15:00 Сергея Доренко вызвали в Роскомнадзор
14:45 Песков отказался комментировать возможные новые санкции ЕС и США
14:30 СМИ сообщили о вырубке «Парка вдов» в Волгограде ради ЧМ-2018
14:16 Савченко изъявила намерение баллотироваться в президенты Украины
14:06 Путин назначил Василия Небензю постпредом России при ООН
13:49 Суд отказался взыскать с Потанина 850 млрд рублей в пользу бывшей жены
13:31 Прокуратура оспорила освобождение Полонского от наказания
13:12 Путин ужесточил наказание за производство алкоголя без лицензии
12:49 Овечкин занял первое место в рейтинге российских знаменитостей Forbes
12:26 Генетики создали синюю хризантему
12:22 Лишенную прав Багдасарян задержали за рулем автомобиля
11:57 «Яндекс» назвал законным новый слоган «Поиск №1 в России»
11:37 Израиль убрал камеры наблюдения с Храмовой горы
11:35 Россиян могут освободить от поверок счетчиков воды в 2018 году
11:23 Роспотребнадзор дал рекомендации клиентам барбершопов
11:18 Чайка рассказал о сокращении числа выявленных случаев коррупции
11:02 Арестован еще один вице-губернатор Приморского края
10:41 В лонг-лист Букеровской премии вошли 13 авторов
10:31 Найдена гробница знатного жителя Помпей
10:17 СКР завершил расследование дела Никиты Белых
10:06 ФАС пригрозила «Яндексу» наказанием за новый слоган
09:49 Франция сократит срок оформления виз туристам до двух дней
09:32 Россию обвинили в слежке за кампанией Макрона через соцсети
09:15 Саакашвили решил побороться за гражданство Украины
09:00 В Израиле узаконили празднование Дня Победы 9 мая
08:43 Адвокат Азимова рассказал о принуждении отказаться от слов о секретной тюрьме
08:25 СМИ анонсировали сокращение дипмиссии США в РФ из-за санкций
08:14 ФРС США сохранила базовую ставку на прежнем уровне
07:55 Путин запретил уклонистам работать на государственных постах
Apple Boeing Facebook Google IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия беспорядки бизнес биология ближневосточный конфликт бокс болельщики «болотное дело» большой теннис Борис Немцов Бразилия ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ военная авиация Волгоград ВТБ Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Киев кино Киргизия Китай Климат Земли, атмосферные явления КНДР Книга. Знание Компьютеры, программное обеспечение кораблекрушение коррупция космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минтранспорта Минтруд Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» недвижимость некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Петр Порошенко пищевая промышленность погранвойска пожар полиция Польша похищение права человека правительство Право правозащитное движение «Правый сектор» преступления полицейских преступность Приморский край происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Реформа армии РЖД ритейл Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид США Таджикистан Таиланд Татарстан театр телевидение телефонный терроризм теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство УЕФА Украина Условия труда ФАС Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие хоккей хулиганство Центробанк ЦИК Цикл бесед "Взрослые люди" ЦСКА Челябинская область Чехия Чечня ЧМ-2018 шахты Швейцария Швеция школа шоу-бизнес шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефон: +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.