Полiт.ua Государственная сеть Государственные люди Войти
17 ноября 2018, суббота, 05:21
Facebook Twitter VK.com Telegram

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

15 ноября 2012, 18:39

Правительство РФ как угроза информационной безопасности

Защита информации
Защита информации
ossbe.com

На днях вступило в силу новое постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменившее одноименное постановление, действовавшее с 2007 года. В новом постановлении приводится новое описание классов информационных систем персональных данных, типов информационных угроз и требований к защите информации. Вице-спикер Госдумы, член комитета по информационной политике, информационным технологиям и связи Сергей Железняк заявил тогда, что «таким образом государство последовательно и максимально стремится обеспечить реализацию конституционного права граждан на тайну личной жизни и переписки». Насколько государство «стремится», и насколько «последовательно», «Полит.ру» рассказал старший аналитик компании «Доктор Веб» Вячеслав Медведев.

Формально 1-го ноября правительство всего лишь утвердило новое постановление «Об утверждении требований к защите персональных данных…». Фактически же оно вместо худо-бедно работавшего на пользу страны и граждан, чьи персональные данные обрабатываются государством и иными операторами, ввело документ, который уменьшает требования к информационной безопасности. Прописанных в нем мер защиты просто недостаточно. По сути – это шаг назад в вопросах информационной безопасности.

Начнем с того, что

из новой редакции исчезло определение того, что такое несанкционированный доступ. Видимо оно больше не нужно.

Кроме того, ушло положение о соответствии программных средств требованиям обеспечения безопасности. То есть, если раньше надо было ставить не абы какой антивирус, а тот, который ловит вирусы, то теперь это неважно. Можно ставить что угодно, лишь бы оно правильно называлось. Пропало из нового постановления и требование к программным средствам «удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Что, очевидно, явный шаг в сторону от безопасности, поскольку  

постановление не подразумевает даже «отечественной» проверки зарубежных средств безопасности.


Федеральная служба по техническому и экспортному контролю (ФСТЭК), кстати, выпустила недавно шесть документов описывающих обязательный с точки зрения государства функционал антивирусов и межсетевых экранов. Хотелось бы передать соболезнования коллегам из федеральной службы – эти бумажки, благодаря новому постановлению, теперь хотя и реально нужны, но повисли в воздухе. По сути, нужны новые.

И остается только посочувствовать тем, кто с лета исполняет согласно этим стандартам государственные контракты: их ждут реальные перспективы судебных исков и непредвиденный рост сметной стоимости проектов.

Теперь по пунктам. Пункт 6 постановления, описывающий «актуальные угрозы безопасности персональных данных» – просто смех. Первый тип – недокументированные функции в операционной системе, второй – недокументированные функции в прикладных программах, третий – все остальное. Как их определять, конечно, не сказано. И ладно еще, что никто ни разу не видел, как создатели операционки описали бы на сто процентов все ее функции (то же про все остальные программы). Но зачем это разделение вообще нужно когда, например, существующая и действующая типовая модель угроз информационных систем органов исполнительной власти города Москвы охватывает 14 типов угроз (а частные модели оперируют десятками типов угроз) и 7 их источников? Видимо, им надо проще относиться к безопасности, тем боле, что любую из описанных угроз, согласно пункту 7 теперь можно признать незначительной, если оценивать ее «с учетом оценки возможного вреда». Ну как оценить в рублях, скажем, возможный ущерб от утечки информации о ваших религиозных убеждениях? Правильно! Как «незначительный». Да и пункт 2, указывающий на защиту только от актуальных угроз, не лучше.

Согласно логике нужно защищаться только от известного в данный момент, совершенно не учитывая появления все новых и новых методов проникновения.


Пункт 5 вступившего в силу постановления, описывающий новую классификацию информсистем персональных данных, и, в частности систему обработки общедоступных персональных данных, и вовсе противоречит действующему законодательству. Закон «О персональных данных» подразумевает два источника таких данных. Первый – это данные, которые сам субъект обозначил как общедоступные, второй – данные, которые полученные из открытых источников. Новое же постановление понимает общедоступные данные лишь как полученные из открытых источников. И теперь, оператор, выполняя данное постановление, не может взять данные напрямую у субъекта.

 

Оператор теперь, видимо, должен сказать человеку, который принес свои персональные данные: «Вы их сначала в блоге у себя опубликуйте, приложив в письменном виде свое согласие на их публикацию, а также подтверждение нотариуса, заверяющего подлинность согласия, а мы уже оттуда сами возьмем».


Еще более абсурдными являются пункты 8 и 9 принятого постановления, которые определяют 4 уровня защищенности персональных данных.

Здесь необходимо пояснить, что ранее, в отмененных документах, также было предусмотрено 4 класса защиты. И в большинстве случаев можно была ориентироваться на схему: обезличенные данные – класс К4, минимальный уровень защиты; данные, позволяющие идентифицировать лицо – это К3; плюс к идентификации наличие дополнительных данных - К2, специальные типы данных - К1, самый высокий класс защиты.

Теперь у нас также 4 уровня, но выбор уровня сильно усложнен (точнее отсутствует вовсе). Конкретный уровень по новым правилам высчитывается исходя из класса информационной системы, актуальных для нее угроз, принадлежности и количества субъектов, данные которых обрабатываются. То есть, проще говоря, вместо 4 уровней для 4 классов систем мы имеем по факту 4 уровня для 18 различных «наборов» параметров, где каждый конкретный набор еще надо определить. Но было бы еще полбеды, если все это распределение имело бы хоть какой-то смысл. Увы, это не так.

Подпункт а) пункта 9 гласит, что наивысшая, по 1-му уровню, защита полагается если «для информационной системы актуальны угрозы 1-го типа (то есть уязвимость ОС – «Полит.ру») и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных». Но

так как «иные данные» – это фамилия-имя-отчество, а операционная система уязвима в ста процентах случаев, то абсолютно всем информсистемам теперь полагается защита по наивысшему разряду. Все, точка. Все остальные «наборы» параметров описанные в пунктах с 10 по 12 больше не нужны,

какая бы ахинея не была там написана. А ее там в достатке, взять хотя бы описание 2-го уровня защиты под который попадает обработка данных из открытых источников. Составителей документа не смутила необходимость охранять данные, которые больше никто не охраняет.

Еще одной странностью можно назвать такой параметр как «количество субъектов персональных данных». По данному критерию операторы делятся на два типа: те, кто обрабатывает данные более чем 100 тыс. субъектов и те, кто менее. При этом  

в документе ни слова нет о тех операторах, которые обрабатывают ровно 100 тыс. субъектов. Можно было бы посмеяться, если забыть, что в информационной безопасности мелочей не бывает.

Говорить без слез про описанные в документе меры защиты и контроля безопасности вообще невозможно. Скажу лишь, что все уровни с 1-го по 4-й требуют «организации режима обеспечения безопасности помещений, в которых размещена информационная система». Иначе говоря, создатели постановления уверены, что амбарный замок на серверной – главная мера защиты данных.  

То, что сотрудники спецслужб уже давно используют мобильные устройства для работы с информацией, как-то ускользнуло от разработчиков

(их теперь, если следовать букве документа, нужно включать исключительно в охраняемых помещениях), как и то, что для мобильных устройств тоже нужна защита. Столь же абсурдны и требования к контролю безопасности: «контроль проводится не реже 1 раза в 3 года».

То есть раз в три года подошел, подергал замок на двери – висит прочно, - вот и вся их безопасность.

Продолжать можно еще долго, но если обобщить, то можно сказать, что документ писали какие-то «вохровцы». Эдакие «динозавры», для которых главный носитель информации – бумажный документ. И это когда Dr. Web поставил рекорд по суточному обнаружению новых вредоносных программ и новых модификаций уже известных угроз : на днях их количество достигло 150 тыс. Ей богу, пора в модели угроз информационной безопасности вводить новый источник уязвимости – нормотворчество правительства Российской Федерации.

 

Обсудите в соцсетях

Система Orphus
Loading...

Главные новости

16.11 19:35 Экс-депутат Госдумы Маевский арестован по обвинению в вымогательстве 37 млн долларов
16.11 19:17 Путин посетил аптеку в Санкт-Петербурге
16.11 19:04 Минтруд разработал форму заявления об отказе от депутатской пенсии
16.11 18:39 Православная церковь Польши запретила священникам контакты с Киевским патриархатом
16.11 18:28 «Яндекс» начал удалять из поисковой выдачи ссылки на пиратский контент
16.11 18:09 Bloomberg подсчитал потери экономики России из-за санкций
16.11 17:45 Рейтинг одобрения Путина перестал расти
16.11 17:16 Все основные единицы СИ привязали к фундаментальным физическим константам
16.11 16:46 Путин задался вопросом о рациональности расходования средств на лекарства
16.11 16:15 КС РФ позвал Евкурова и Кадырова на заседание по вопросу о чечено-ингушской границе
16.11 16:00 В Кремле допустили принятие мер для защиты российских судов в Азовском море
16.11 15:34 Банк РИБ из топ-200 приостановил операционную деятельность
16.11 15:20 «Аэрофлот» наложил табу на гаджеты в офисах
16.11 14:52 Петров и Боширов подарили россиянам слово года
16.11 14:33 Каждый десятый опрошенный россиянин не поддержал запрет продажи оружия
16.11 14:26 В любой точке мира половина ежегодной нормы осадков выпадает за 12 дней
16.11 14:13 Снимки Цеповяза с икрой и крабами дошли до Кремля
16.11 13:57 На гемме римской эпохи из Турции изображена гонка колесниц
16.11 13:50 В британском парламенте набрали подписи для вотума недоверия Терезе Мэй
16.11 13:26 Три горшка доколумбовых времен возвращены через 38 лет после кражи
16.11 13:25 Главный тренер «Зенита» отказался ставить крест на Кокорине
16.11 13:01 МВФ включил показатели Крыма в перечень российских
16.11 12:41 Анапа возглавила рейтинг самых чистых российских городов
16.11 12:12 Опрос ВЦИОМ показал резкое ухудшение социального самочувствия в России
16.11 11:44 Минюст США случайно рассекретил секретные обвинения против Ассанжа
16.11 11:26 СМИ назвали кандидатов на пост омбудсмена по ОСАГО
16.11 11:01 Кабмин РФ перенес отключение аналогового телевещания на февраль 2019 года
16.11 10:41 МФЦ ответили на обвинения в возможной утечке персональных данных
16.11 10:32 Суд развел Петросяна и Степаненко
16.11 10:22 Американская торговая палата нашла позитив во второй волне санкций против России
16.11 10:03 В Турции завершено расследование убийства российского посла Карлова
16.11 09:46 Черчесов побил рекорд сборной России по поражениям
16.11 09:42 СМИ выявили риск утечки личных данных россиян через МФЦ
16.11 09:26 Голикова пообещала оздоровить минимальный набор продуктов
16.11 09:11 В ООН в третий раз приняли резолюцию об ущемлении прав человека в Крыму
16.11 08:50 Адвокат объявил о трехстороннем договоре по выдаче Ассанжа США
16.11 08:31 СМИ узнали об испытании Северной Кореей нового оружия
16.11 08:18 Япония пообещала России уступки в случае передачи части Курил
16.11 07:56 Германия разгромила Россию в товарищеском матче по футболу
15.11 19:52 США ввели санкции против Саудовской Аравии из-за убийства Хашогги
15.11 19:39 Мосгорсуд оставил фигурантов дела «Седьмой студии» под домашним арестом
15.11 19:28 Хакеры атаковали российские банки под видом ЦБ
15.11 19:06 Суд отказался рассматривать просьбу выпустить Мамаева под залог
15.11 18:35 Оксфордский словарь выбрал слово года
15.11 18:05 Росгвардия предложила выдавать разрешения на оружие лишь с 21 года
15.11 17:48 ФАС и Минэнерго проверят информацию о дефиците топлива в регионах
15.11 17:40 Павлу Мамаеву смягчили статью
15.11 17:20 Цукерберг запретил сотрудникам Facebook использовать гаджеты Apple
15.11 16:45 Россельхознадзор предупредил о риске «обрушения» молочного рынка
15.11 16:30 Тестостерон полезен мужчинам при депрессии
Apple Bitcoin Boeing Facebook Google iPhone IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Telegram Twitter Абхазия аварии на железной дороге авиакатастрофа Австралия Австрия автопром авторское право администрация президента Азербайджан акции протеста Александр Лукашенко Александр Турчинов Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Антон Силуанов Аргентина Аркадий Дворкович Арктика Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Басманный суд Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия бензин беспилотник беспорядки биатлон бизнес биология бокс болельщики «болотное дело» большой теннис Борис Немцов борьба с курением Бразилия Валентина Матвиенко вандализм Ватикан ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ Внуково военная авиация Волгоград ВПК ВТБ Вторая мировая война вузы ВЦИОМ выборы выборы губернаторов выборы мэра Москвы Вячеслав Володин гаджеты газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки госизмена гражданская авиация Греция Гринпис Грузия гуманитарная помощь Дагестан Дальний Восток декларации чиновников деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль импорт инвестиции Ингушетия Индия Индонезия инновации Интервью ученых интернет инфляция информационные технологии ипотека Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Кабардино-Балкария Казань Казахстан казнь Калининград Камчатка Канада Каталония Кемерово Киев Ким Чен Ын кино Киргизия Китай климат Земли КНДР Книга. Знание компьютерная безопасность Компьютеры, программное обеспечение Конституционный суд Конституция кораблекрушение коррупция Космодром Байконур космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым Ксения Собчак Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика Ленинградская область лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия Мария Захарова МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минпромторг Минсельхоз Минтранспорта Минтруд Минфин Минэкономразвития Минэнерго Минюст «Мистраль» Михаил Прохоров Михаил Саакашвили Михаил Ходорковский МКС мобильные приложения МОК Молдавия монархия морской транспорт Мосгорсуд Москва Московская область мошенничество музыка Мурманская область МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука «Нафтогаз Украины» недвижимость некоммерческие организации некролог нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры Ольга Голодец ООН ОПЕК оппозиция опросы оружие отставки-назначения офшор Павел Дуров Пакистан палеонтология Палестинская автономия Папа Римский Париж патриарх Кирилл ПДД педофилия пенсионная реформа пенсия Пентагон Первый канал Петр Порошенко пиратство пищевая промышленность погранвойска пожар полиция Польша похищение Почта России права человека правительство Право правозащитное движение православие «Правый сектор» преступления полицейских преступность Приморский край Приморье Продовольствие происшествия публичные лекции ракета Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги реклама религия Республика Карелия РЖД ритейл Росавиация Роскомнадзор Роскосмос «Роснефть» Роспотребнадзор Россельхознадзор Российская академия наук Россия Росстат Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Нарышкин Сергей Полонский Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид Счетная палата США Таджикистан Таиланд тарифы Татарстан театр телевидение телефонный терроризм теракт терроризм технологии Трансаэро транспорт туризм Турция тюрьмы и колонии убийство уголовный кодекс УЕФА Узбекистан Украина фармакология ФАС ФБР Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие химия хоккей хулиганство цензура Центробанк ЦИК ЦРУ ЦСКА Челябинская область Чехия Чечня ЧМ-2018 Швейцария Швеция школа шоу-бизнес шпионаж Эбола эволюция Эдвард Сноуден экология экономика экономический кризис экстремизм Элла Памфилова Эстония этология Южная Корея ЮКОС Юлия Тимошенко «Яблоко» ядерное оружие Якутия Яндекс Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129090, г. Москва, Проспект Мира, дом 19, стр.1, пом.1, ком.5
Телефон: +7 495 980 1894.
Яндекс.Метрика
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.