20 октября 2019, воскресенье, 12:54
VK.comFacebookTwitterTelegramInstagramYouTubeЯндекс.Дзен

НОВОСТИ

СТАТЬИ

PRO SCIENCE

МЕДЛЕННОЕ ЧТЕНИЕ

ЛЕКЦИИ

АВТОРЫ

15 ноября 2012, 18:39

Правительство РФ как угроза информационной безопасности

Защита информации
Защита информации
ossbe.com

На днях вступило в силу новое постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменившее одноименное постановление, действовавшее с 2007 года. В новом постановлении приводится новое описание классов информационных систем персональных данных, типов информационных угроз и требований к защите информации. Вице-спикер Госдумы, член комитета по информационной политике, информационным технологиям и связи Сергей Железняк заявил тогда, что «таким образом государство последовательно и максимально стремится обеспечить реализацию конституционного права граждан на тайну личной жизни и переписки». Насколько государство «стремится», и насколько «последовательно», «Полит.ру» рассказал старший аналитик компании «Доктор Веб» Вячеслав Медведев.

Формально 1-го ноября правительство всего лишь утвердило новое постановление «Об утверждении требований к защите персональных данных…». Фактически же оно вместо худо-бедно работавшего на пользу страны и граждан, чьи персональные данные обрабатываются государством и иными операторами, ввело документ, который уменьшает требования к информационной безопасности. Прописанных в нем мер защиты просто недостаточно. По сути – это шаг назад в вопросах информационной безопасности.

Начнем с того, что

из новой редакции исчезло определение того, что такое несанкционированный доступ. Видимо оно больше не нужно.

Кроме того, ушло положение о соответствии программных средств требованиям обеспечения безопасности. То есть, если раньше надо было ставить не абы какой антивирус, а тот, который ловит вирусы, то теперь это неважно. Можно ставить что угодно, лишь бы оно правильно называлось. Пропало из нового постановления и требование к программным средствам «удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Что, очевидно, явный шаг в сторону от безопасности, поскольку  

постановление не подразумевает даже «отечественной» проверки зарубежных средств безопасности.


Федеральная служба по техническому и экспортному контролю (ФСТЭК), кстати, выпустила недавно шесть документов описывающих обязательный с точки зрения государства функционал антивирусов и межсетевых экранов. Хотелось бы передать соболезнования коллегам из федеральной службы – эти бумажки, благодаря новому постановлению, теперь хотя и реально нужны, но повисли в воздухе. По сути, нужны новые.

И остается только посочувствовать тем, кто с лета исполняет согласно этим стандартам государственные контракты: их ждут реальные перспективы судебных исков и непредвиденный рост сметной стоимости проектов.

Теперь по пунктам. Пункт 6 постановления, описывающий «актуальные угрозы безопасности персональных данных» – просто смех. Первый тип – недокументированные функции в операционной системе, второй – недокументированные функции в прикладных программах, третий – все остальное. Как их определять, конечно, не сказано. И ладно еще, что никто ни разу не видел, как создатели операционки описали бы на сто процентов все ее функции (то же про все остальные программы). Но зачем это разделение вообще нужно когда, например, существующая и действующая типовая модель угроз информационных систем органов исполнительной власти города Москвы охватывает 14 типов угроз (а частные модели оперируют десятками типов угроз) и 7 их источников? Видимо, им надо проще относиться к безопасности, тем боле, что любую из описанных угроз, согласно пункту 7 теперь можно признать незначительной, если оценивать ее «с учетом оценки возможного вреда». Ну как оценить в рублях, скажем, возможный ущерб от утечки информации о ваших религиозных убеждениях? Правильно! Как «незначительный». Да и пункт 2, указывающий на защиту только от актуальных угроз, не лучше.

Согласно логике нужно защищаться только от известного в данный момент, совершенно не учитывая появления все новых и новых методов проникновения.


Пункт 5 вступившего в силу постановления, описывающий новую классификацию информсистем персональных данных, и, в частности систему обработки общедоступных персональных данных, и вовсе противоречит действующему законодательству. Закон «О персональных данных» подразумевает два источника таких данных. Первый – это данные, которые сам субъект обозначил как общедоступные, второй – данные, которые полученные из открытых источников. Новое же постановление понимает общедоступные данные лишь как полученные из открытых источников. И теперь, оператор, выполняя данное постановление, не может взять данные напрямую у субъекта.

 

Оператор теперь, видимо, должен сказать человеку, который принес свои персональные данные: «Вы их сначала в блоге у себя опубликуйте, приложив в письменном виде свое согласие на их публикацию, а также подтверждение нотариуса, заверяющего подлинность согласия, а мы уже оттуда сами возьмем».


Еще более абсурдными являются пункты 8 и 9 принятого постановления, которые определяют 4 уровня защищенности персональных данных.

Здесь необходимо пояснить, что ранее, в отмененных документах, также было предусмотрено 4 класса защиты. И в большинстве случаев можно была ориентироваться на схему: обезличенные данные – класс К4, минимальный уровень защиты; данные, позволяющие идентифицировать лицо – это К3; плюс к идентификации наличие дополнительных данных - К2, специальные типы данных - К1, самый высокий класс защиты.

Теперь у нас также 4 уровня, но выбор уровня сильно усложнен (точнее отсутствует вовсе). Конкретный уровень по новым правилам высчитывается исходя из класса информационной системы, актуальных для нее угроз, принадлежности и количества субъектов, данные которых обрабатываются. То есть, проще говоря, вместо 4 уровней для 4 классов систем мы имеем по факту 4 уровня для 18 различных «наборов» параметров, где каждый конкретный набор еще надо определить. Но было бы еще полбеды, если все это распределение имело бы хоть какой-то смысл. Увы, это не так.

Подпункт а) пункта 9 гласит, что наивысшая, по 1-му уровню, защита полагается если «для информационной системы актуальны угрозы 1-го типа (то есть уязвимость ОС – «Полит.ру») и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных». Но

так как «иные данные» – это фамилия-имя-отчество, а операционная система уязвима в ста процентах случаев, то абсолютно всем информсистемам теперь полагается защита по наивысшему разряду. Все, точка. Все остальные «наборы» параметров описанные в пунктах с 10 по 12 больше не нужны,

какая бы ахинея не была там написана. А ее там в достатке, взять хотя бы описание 2-го уровня защиты под который попадает обработка данных из открытых источников. Составителей документа не смутила необходимость охранять данные, которые больше никто не охраняет.

Еще одной странностью можно назвать такой параметр как «количество субъектов персональных данных». По данному критерию операторы делятся на два типа: те, кто обрабатывает данные более чем 100 тыс. субъектов и те, кто менее. При этом  

в документе ни слова нет о тех операторах, которые обрабатывают ровно 100 тыс. субъектов. Можно было бы посмеяться, если забыть, что в информационной безопасности мелочей не бывает.

Говорить без слез про описанные в документе меры защиты и контроля безопасности вообще невозможно. Скажу лишь, что все уровни с 1-го по 4-й требуют «организации режима обеспечения безопасности помещений, в которых размещена информационная система». Иначе говоря, создатели постановления уверены, что амбарный замок на серверной – главная мера защиты данных.  

То, что сотрудники спецслужб уже давно используют мобильные устройства для работы с информацией, как-то ускользнуло от разработчиков

(их теперь, если следовать букве документа, нужно включать исключительно в охраняемых помещениях), как и то, что для мобильных устройств тоже нужна защита. Столь же абсурдны и требования к контролю безопасности: «контроль проводится не реже 1 раза в 3 года».

То есть раз в три года подошел, подергал замок на двери – висит прочно, - вот и вся их безопасность.

Продолжать можно еще долго, но если обобщить, то можно сказать, что документ писали какие-то «вохровцы». Эдакие «динозавры», для которых главный носитель информации – бумажный документ. И это когда Dr. Web поставил рекорд по суточному обнаружению новых вредоносных программ и новых модификаций уже известных угроз : на днях их количество достигло 150 тыс. Ей богу, пора в модели угроз информационной безопасности вводить новый источник уязвимости – нормотворчество правительства Российской Федерации.

 

Обсудите в соцсетях

Система Orphus

Главные новости

12:04 Мексиканские футболисты устроили акцию протеста во время матча из-за задолженности по зарплате
11:27 Илон Маск рассказал участникам краснодарского бизнес-форума о своей команде, в которой есть выходцы из России
10:18 В США запущен новый сервис - доставка товаров с помощью дронов
09:43 Задержан директор и сотрудники артели, дамбу которой прорвало в Красноярском крае
19.10 19:14 В Москве будет построен Национальный космический центр в виде ракеты высотой в 200 м
19.10 17:52 Британские парламентарии отсрочили Brexit
19.10 16:49 В Лондоне проходит многотысячный марш протеста против Brexit
19.10 16:14 Житель Канады выиграл в национальную лотерею $24,5 млн
19.10 15:44 В Нальчике спецназовец из Карелии умер после драки с сотрудником ППС Чечни
19.10 15:07 Акции протеста в Каталонии: 182 пострадавших, 54 задержанных
19.10 13:19 «Аэрофлот» оштрафован за летние задержки выдачи багажа в Шереметьево
19.10 12:19 При пожаре под Ярославлем погибло семь человек
19.10 11:26 Результаты поверки счетчиков ЖКХ будут отражаться в базе данных Росстандарта. Бумажные документы потеряют юридическую силу
19.10 11:21 Forbes: семь российских компаний попали в рейтинг лучших работодателей мира
19.10 09:42 В Красноярском крае в результате прорыва дамбы на реке Сейба погибли 13 человек
18.10 21:48 В Барселоне более 500 тыс. человек вышли протестовать
18.10 20:54 Нидерландская семья, которая провела девять лет в подвале, оказалась мунистской
18.10 19:38 В Китае отложили прокат «Однажды... в Голливуде» из-за жалобы дочери Брюса Ли
18.10 19:13 Россия теряет по 150 млрд рублей в год из-за глобального потепления — такая сумма нужна на ремонт станций
18.10 18:55 Google-смартфон можно разблокировать лицом с закрытыми глазами. Когда вы спите, например
18.10 18:25 В Лондоне внука экс-президента Казахстана Назарбаева приговорили к году условно. Он ударил и укусил полицейского
18.10 18:14 «Медуза»: компании, близкие к Ротенбергу, получили почти 100% контроль над рынком школьных учебников
18.10 18:08 Новость из прошлого: 18 октября 1999 года – Путин считает необходимым улучшение условий содержания заключенных
18.10 17:43 На форуме в Сочи представили российский мессенджер «Серафим». Оценки в маркетах у него невысокие
18.10 17:37 Впервые в истории две женщины одновременно вышли в открытый космос
18.10 16:41 Москвич вынес $450 тыс. из дома экс-главы ФТС. Награбленное он отдал в счет долга «вору в законе»
18.10 15:52 Собчак оценила наряды Поклонской. Депутат обвинила журналистку в невоспитанности
18.10 15:29 Евгения Корта оштрафовали на 200 тыс. рублей за мем с Пушкиным. Когда он его выплатил, суд потребовал вернуть ему деньги
18.10 15:27 Матч между «Барселоной» и «Реалом» перенесли из-за протестов в Каталонии на декабрь
18.10 14:36 Наталью Бочкареву из «Счастливы вместе» лишили водительских прав из-за отказа пройти проверку на наркотики
18.10 14:35 Австралийцы вновь сообщают о встречах с сумчатыми волками. Этот вид считается вымершим с 1936 года
18.10 14:27 МВД проверит конвойный полк из-за фигурантов дела «Нового величия», порезавших себе руки в суде
18.10 14:23 Патриарх Кирилл сравнил аборты с языческими жертвоприношениями
18.10 14:06 Замглавы Генштаба обвинили в хищении 2,2 млрд рублей. Он поставлял китайскую спецтехнику под видом российских разработок
18.10 14:00 Новый вид богомолов из Перу притворяется осой
18.10 13:44 Путин: нацбезопасность зависит от укрепления духовных основ
18.10 13:36 «Ростов» показал первые тренировки Павла Мамаева. Футболист вернулся после 11 месяцев заключения
18.10 13:00 Необычные микроорганизмы с острова Кюрасао собираются в чашечку и в шарик
18.10 12:28 Спонсор ФБК из Испании не смог объяснить, зачем переводил фонду деньги
18.10 12:20 В Екатеринбурге посетитель банка погиб, пытаясь задержать грабителя
18.10 11:30 Судебные разбирательства вокруг «Витрувианского человека» продолжаются
18.10 11:19 Более миллиона кредитных историй россиян оказались в открытом доступе
18.10 11:02 Жителя Калуги обвинили в оправдании терроризма из-за комментария о взрыве в архангельском УФСБ. Во время задержания его избили
18.10 10:18 ЦБ РФ выявил в России 240 финансовых пирамид. В прошлом году их было 134
18.10 10:10 Среди обломков корабля лорда Элгина найдены золотые украшения
18.10 09:48 В США закроют крупнейшую в мире тюрьму на острове Райкерс
18.10 09:04 РБК: россиянам разрешат пользоваться облачной цифровой подписью
18.10 08:32 В Арктике российская экспедиция нашла бочку кофе, сохранившуюся с 1902 года
18.10 08:09 В США число заболевших после курения вейпов приближается к 1,5 тыс. человек. 33 человека умерли
18.10 07:38 На Сахалине одноклассники избили девочку за напоминание о домашнем задании. СКР и Минобразования начали проверку
«АвтоВАЗ» «ВКонтакте» «Газпром» «Зенит» «Мемориал» «Мистраль» «Оборонсервис» «Роснефть» «Спартак» «Яблоко» Абхазия Австралия Австрия Азербайджан Антимайдан Аргентина Арктика Армения Афганистан Аэрофлот Башкирия Белоруссия Бельгия Бразилия ВВП ВКС ВМФ ВПК ВТБ ВЦИОМ Ватикан Великобритания Венгрия Венесуэла Владивосток Внуково Волгоград ГИБДД ГЛОНАСС Генпрокуратура Германия Голливуд Госдеп Госдума Греция Гринпис Грузия ДТП Дагестан Домодедово Донецк ЕГЭ ЕСПЧ Евровидение Еврокомиссия Евромайдан Евросоюз Египет Екатеринбург ЖКХ Израиль Ингушетия Индия Индонезия Интерпол Ирак Иран Испания Италия Йемен КНДР КПРФ Казань Казахстан Калининград Камчатка Канада Каталония Кемерово Киев Кипр Киргизия Китай Коми Конституция Кремль Крым Куба Курилы ЛГБТ ЛДПР Латвия Ливия Литва Лондон Луганск МВД МВФ МГУ МКС МОК МЧС Малайзия Мексика Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минпромторг Минсельхоз Минск Минтранспорта Минтруд Минфин Минэкономразвития Минэнерго Минюст Молдавия Мосгордума Мосгорсуд Москва НАСА Нигерия Нидерланды Новосибирск Норвегия ОБСЕ ООН ОПЕК Одесса ПДД Пакистан Паралимпиада Париж Пентагон Польша Приморье РАН РЖД РПЦ РФС Росавиация Росгвардия Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Россия Росстат СМИ СССР США Сахалин Сбербанк Севастополь Сербия Сирия Сколково Славянск Сочи Таджикистан Таиланд Татарстан Трансаэро Турция УЕФА Узбекистан Украина ФАС ФБР ФИФА ФСБ ФСИН ФСКН Филиппины Финляндия Франция Харьков ЦИК ЦРУ ЦСКА Центробанк Чехия Чечня Швейцария Швеция Шереметьево Эбола Эстония ЮКОС Якутия Яндекс Япония авиакатастрофа автопром алкоголь амнистия арест армия археология астрономия аукционы банкротство беженцы бензин беспилотник беспорядки биатлон бизнес бокс болельщики вандализм взрыв взятка вирусы вузы выборы гаджеты генетика гомосексуализм госбюджет госзакупки госизмена деньги дети доллар допинг драка евро журналисты законотворчество землетрясение изнасилование импорт инвестиции инновации интернет инфляция ипотека искусство ислам исследования история казнь кино кораблекрушение коррупция космос кража кредиты культура лингвистика литература математика медиа медицина метро мигранты монархия мошенничество музыка наводнение налоги нанотехнологии наркотики наука недвижимость некролог нефть образование обрушение общество ограбление оппозиция опросы оружие офшор палеонтология педофилия пенсия пиратство планетология погранвойска пожар полиция похищение правительство право православие преступность продовольствие происшествия ракета рейтинги реклама религия ретейл робототехника рубль санкции связь сепаратизм следствие смартфоны социология спецслужбы спутники страхование стрельба строительство суды суицид тарифы театр телевидение теракт терроризм технологии транспорт туризм убийство фармакология физика фоторепортаж футбол хакеры химия хоккей хулиганство цензура школа шпионаж экология экономика экспорт экстремизм этология «Единая Россия» «Исламское государство» «Нафтогаз Украины» «Правый сектор» «Северный поток» «Справедливая Россия» «болотное дело» Александр Лукашенко Александр Новак Александр Турчинов Алексей Кудрин Алексей Навальный Алексей Улюкаев Амурская область Анатолий Сердюков Ангела Меркель Антон Силуанов Аркадий Дворкович Арсений Яценюк Астраханская область Барак Обама Басманный суд Башар Асад Белый дом Борис Немцов Бутовский полигон Валентина Матвиенко Верховная Рада Верховный суд Виктор Янукович Виталий Мутко Владимир Жириновский Владимир Зеленский Владимир Маркин Владимир Мединский Владимир Путин Вячеслав Володин Дальний Восток День Победы Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин Дональд Трамп Евгения Васильева Забайкальский край Интервью ученых Ирина Яровая Иркутская область История человечества Калужская область Кирилл Серебренников Кировская область Конституционный суд Космодром Байконур Краснодарский край Красноярский край Ксения Собчак Ленинградская область МИД России Мария Захарова Михаил Прохоров Михаил Саакашвили Михаил Ходорковский Московская область Мурманская область Надежда Савченко Наталья Поклонская Николас Мадуро Нобелевская премия Новосибирская область Новый год Олимпийские игры Ольга Голодец Павел Дуров Палестинская автономия Папа Римский Первый канал Пермский край Петр Порошенко Почта России Приморский край Рамзан Кадыров Реджеп Эрдоган Республика Карелия Ростовская область Саратовская область Саудовская Аравия Свердловская область Сергей Лавров Сергей Нарышкин Сергей Полонский Сергей Собянин Сергей Шойгу Следственный комитет Совбез ООН Совет Федерации Ставропольский край Счетная палата Тереза Мэй Франсуа Олланд Хабаровский край Хиллари Клинтон Человек дня Челябинская область Черное море Эдвард Сноуден Элла Памфилова Эльвира Набиуллина Южная Корея Юлия Тимошенко Юрий Чайка авторское право администрация президента акции протеста атомная энергия баллистические ракеты банковский сектор биология большой теннис визовый режим военная авиация выборы губернаторов газовая промышленность гражданская авиация гуманитарная помощь декларации чиновников дороги России информационные технологии климат Земли компьютерная безопасность космодром Восточный крушение вертолета легкая атлетика лесные пожары междисциплинарные исследования мобильные приложения морской транспорт некоммерческие организации общественный транспорт патриарх Кирилл пенсионная реформа пищевая промышленность права человека правозащитное движение преступления полицейских публичные лекции российское гражданство русские националисты русский язык сельское хозяйство сотовая связь социальные сети стихийные бедствия телефонный терроризм уголовный кодекс фигурное катание финансовый рынок фондовая биржа химическое оружие эволюция экономический кризис ядерное оружие Великая Отечественная война Вторая мировая война Ирак после войны Ким Чен Ын Революция в Киргизии Российская академия наук Стихотворения на случай Федеральная миграционная служба Федеральная таможенная служба борьба с курением выборы мэра Москвы здравоохранение в России связь и телекоммуникации тюрьмы и колонии Совет по правам человека аварии на железной дороге естественные и точные науки закон об «иностранных агентах» компьютеры и программное обеспечение видеозаписи публичных лекций «Полит.ру» Новые технологии, инновации Сочи 2014 Кабардино-Балкария Левада-Центр Нью-Йорк Санкт-Петербург отставки-назначения шоу-бизнес Ростов-на-Дону ЧМ-2018 Книга. Знание ВИЧ/СПИД Apple Bitcoin Boeing Facebook G20 Google iPhone IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Telegram Twitter Wikileaks

Редакция

Электронная почта: [email protected]
Телефон: +7 929 588 33 89
Яндекс.Метрика
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003 года. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2019.