будущее есть!
  • После
  • Конспект
  • Документ недели
  • Бутовский полигон
  • Колонки
  • Pro Science
  • Все рубрики
    После Конспект Документ недели Бутовский полигон Колонки Pro Science Публичные лекции Медленное чтение Кино Афиша
После Конспект Документ недели Бутовский полигон Колонки Pro Science Публичные лекции Медленное чтение Кино Афиша

Конспекты Полит.ру

Смотреть все
Алексей Макаркин — о выборах 1996 года
Апрель 26, 2024
Николай Эппле — о речи Пашиняна по случаю годовщины геноцида армян
Апрель 26, 2024
«Демография упала» — о демографической политике в России
Апрель 26, 2024
Артем Соколов — о технологическом будущем в военных действиях
Апрель 26, 2024
Анатолий Несмиян — о технологическом будущем в военных действиях
Апрель 26, 2024

После

Смотреть все
«После» для майских
Май 7, 2024

Публичные лекции

Смотреть все
Всеволод Емелин в «Клубе»: мои первые книжки
Апрель 29, 2024
Вернуться к публикациям
Июль 12, 2025
Страна
Медведев Вячеслав

Правительство РФ как угроза информационной безопасности

Правительство РФ как угроза информационной безопасности
info-besopasnost.gif
Защита информации. Источник: ossbe.com

На днях вступило в силу новое постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменившее одноименное постановление, действовавшее с 2007 года. В новом постановлении приводится новое описание классов информационных систем персональных данных, типов информационных угроз и требований к защите информации. Вице-спикер Госдумы, член комитета по информационной политике, информационным технологиям и связи Сергей Железняк заявил тогда, что «таким образом государство последовательно и максимально стремится обеспечить реализацию конституционного права граждан на тайну личной жизни и переписки». Насколько государство «стремится», и насколько «последовательно», «Полит.ру» рассказал старший аналитик компании «Доктор Веб» Вячеслав Медведев.

Формально 1-го ноября правительство всего лишь утвердило новое постановление «Об утверждении требований к защите персональных данных…». Фактически же оно вместо худо-бедно работавшего на пользу страны и граждан, чьи персональные данные обрабатываются государством и иными операторами, ввело документ, который уменьшает требования к информационной безопасности. Прописанных в нем мер защиты просто недостаточно. По сути – это шаг назад в вопросах информационной безопасности.

Начнем с того, что

из новой редакции исчезло определение того, что такое несанкционированный доступ. Видимо оно больше не нужно.

Кроме того, ушло положение о соответствии программных средств требованиям обеспечения безопасности. То есть, если раньше надо было ставить не абы какой антивирус, а тот, который ловит вирусы, то теперь это неважно. Можно ставить что угодно, лишь бы оно правильно называлось. Пропало из нового постановления и требование к программным средствам «удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Что, очевидно, явный шаг в сторону от безопасности, поскольку  

постановление не подразумевает даже «отечественной» проверки зарубежных средств безопасности.


Федеральная служба по техническому и экспортному контролю (ФСТЭК), кстати, выпустила недавно шесть документов описывающих обязательный с точки зрения государства функционал антивирусов и межсетевых экранов. Хотелось бы передать соболезнования коллегам из федеральной службы – эти бумажки, благодаря новому постановлению, теперь хотя и реально нужны, но повисли в воздухе. По сути, нужны новые.

И остается только посочувствовать тем, кто с лета исполняет согласно этим стандартам государственные контракты: их ждут реальные перспективы судебных исков и непредвиденный рост сметной стоимости проектов.

Теперь по пунктам. Пункт 6 постановления, описывающий «актуальные угрозы безопасности персональных данных» – просто смех. Первый тип – недокументированные функции в операционной системе, второй – недокументированные функции в прикладных программах, третий – все остальное. Как их определять, конечно, не сказано. И ладно еще, что никто ни разу не видел, как создатели операционки описали бы на сто процентов все ее функции (то же про все остальные программы). Но зачем это разделение вообще нужно когда, например, существующая и действующая типовая модель угроз информационных систем органов исполнительной власти города Москвы охватывает 14 типов угроз (а частные модели оперируют десятками типов угроз) и 7 их источников? Видимо, им надо проще относиться к безопасности, тем боле, что любую из описанных угроз, согласно пункту 7 теперь можно признать незначительной, если оценивать ее «с учетом оценки возможного вреда». Ну как оценить в рублях, скажем, возможный ущерб от утечки информации о ваших религиозных убеждениях? Правильно! Как «незначительный». Да и пункт 2, указывающий на защиту только от актуальных угроз, не лучше.

Согласно логике нужно защищаться только от известного в данный момент, совершенно не учитывая появления все новых и новых методов проникновения.


Пункт 5 вступившего в силу постановления, описывающий новую классификацию информсистем персональных данных, и, в частности систему обработки общедоступных персональных данных, и вовсе противоречит действующему законодательству. Закон «О персональных данных» подразумевает два источника таких данных. Первый – это данные, которые сам субъект обозначил как общедоступные, второй – данные, которые полученные из открытых источников. Новое же постановление понимает общедоступные данные лишь как полученные из открытых источников. И теперь, оператор, выполняя данное постановление, не может взять данные напрямую у субъекта.

 

Оператор теперь, видимо, должен сказать человеку, который принес свои персональные данные: «Вы их сначала в блоге у себя опубликуйте, приложив в письменном виде свое согласие на их публикацию, а также подтверждение нотариуса, заверяющего подлинность согласия, а мы уже оттуда сами возьмем».


Еще более абсурдными являются пункты 8 и 9 принятого постановления, которые определяют 4 уровня защищенности персональных данных.

Здесь необходимо пояснить, что ранее, в отмененных документах, также было предусмотрено 4 класса защиты. И в большинстве случаев можно была ориентироваться на схему: обезличенные данные – класс К4, минимальный уровень защиты; данные, позволяющие идентифицировать лицо – это К3; плюс к идентификации наличие дополнительных данных - К2, специальные типы данных - К1, самый высокий класс защиты.

Теперь у нас также 4 уровня, но выбор уровня сильно усложнен (точнее отсутствует вовсе). Конкретный уровень по новым правилам высчитывается исходя из класса информационной системы, актуальных для нее угроз, принадлежности и количества субъектов, данные которых обрабатываются. То есть, проще говоря, вместо 4 уровней для 4 классов систем мы имеем по факту 4 уровня для 18 различных «наборов» параметров, где каждый конкретный набор еще надо определить. Но было бы еще полбеды, если все это распределение имело бы хоть какой-то смысл. Увы, это не так.

Подпункт а) пункта 9 гласит, что наивысшая, по 1-му уровню, защита полагается если «для информационной системы актуальны угрозы 1-го типа (то есть уязвимость ОС – «Полит.ру») и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных». Но

так как «иные данные» – это фамилия-имя-отчество, а операционная система уязвима в ста процентах случаев, то абсолютно всем информсистемам теперь полагается защита по наивысшему разряду. Все, точка. Все остальные «наборы» параметров описанные в пунктах с 10 по 12 больше не нужны,

какая бы ахинея не была там написана. А ее там в достатке, взять хотя бы описание 2-го уровня защиты под который попадает обработка данных из открытых источников. Составителей документа не смутила необходимость охранять данные, которые больше никто не охраняет.

Еще одной странностью можно назвать такой параметр как «количество субъектов персональных данных». По данному критерию операторы делятся на два типа: те, кто обрабатывает данные более чем 100 тыс. субъектов и те, кто менее. При этом  

в документе ни слова нет о тех операторах, которые обрабатывают ровно 100 тыс. субъектов. Можно было бы посмеяться, если забыть, что в информационной безопасности мелочей не бывает.

Говорить без слез про описанные в документе меры защиты и контроля безопасности вообще невозможно. Скажу лишь, что все уровни с 1-го по 4-й требуют «организации режима обеспечения безопасности помещений, в которых размещена информационная система». Иначе говоря, создатели постановления уверены, что амбарный замок на серверной – главная мера защиты данных.  

То, что сотрудники спецслужб уже давно используют мобильные устройства для работы с информацией, как-то ускользнуло от разработчиков

(их теперь, если следовать букве документа, нужно включать исключительно в охраняемых помещениях), как и то, что для мобильных устройств тоже нужна защита. Столь же абсурдны и требования к контролю безопасности: «контроль проводится не реже 1 раза в 3 года».

То есть раз в три года подошел, подергал замок на двери – висит прочно, - вот и вся их безопасность.

Продолжать можно еще долго, но если обобщить, то можно сказать, что документ писали какие-то «вохровцы». Эдакие «динозавры», для которых главный носитель информации – бумажный документ. И это когда Dr. Web поставил рекорд по суточному обнаружению новых вредоносных программ и новых модификаций уже известных угроз : на днях их количество достигло 150 тыс. Ей богу, пора в модели угроз информационной безопасности вводить новый источник уязвимости – нормотворчество правительства Российской Федерации.

 

Медведев Вячеслав
читайте также
Страна
«Россия – административно-территориальный монстр» — лекция географа Бориса Родомана
Февраль 19, 2022
Страна
Сколько субъектов нужно Федерации? Статья Бориса Родомана
Февраль 12, 2022
ЗАГРУЗИТЬ ЕЩЕ

Бутовский полигон

Смотреть все
Начальник жандармов
Май 6, 2024

Человек дня

Смотреть все
Человек дня: Александр Белявский
Май 6, 2024
Публичные лекции

Лев Рубинштейн в «Клубе»

Pro Science

Мальчики поют для девочек

Колонки

«Год рождения»: обыкновенное чудо

Публичные лекции

Игорь Шумов в «Клубе»: миграция и литература

Pro Science

Инфракрасные полярные сияния на Уране

Страна

«Россия – административно-территориальный монстр» — лекция географа Бориса Родомана

Страна

Сколько субъектов нужно Федерации? Статья Бориса Родомана

Pro Science

Эксперименты империи. Адат, шариат и производство знаний в Казахской степи

О проекте Авторы Биографии
Свидетельство о регистрации средства массовой информации Эл. № 77-8425 от 1 декабря 2003 года. Выдано министерством Российской Федерации по делам печати, телерадиовещания и средств массовой информации.

© Полит.ру, 1998–2024.

Политика конфиденциальности
Политика в отношении обработки персональных данных ООО «ПОЛИТ.РУ»

В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» ООО «ПОЛИТ.РУ» является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

ООО «ПОЛИТ.РУ» осуществляет обработку персональных данных и использование cookie-файлов посетителей сайта https://polit.ru/

Мы обеспечиваем конфиденциальность персональных данных и применяем все необходимые организационные и технические меры по их защите.

Мы осуществляем обработку персональных данных с использованием средств автоматизации и без их использования, выполняя требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

ООО «ПОЛИТ.РУ» не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).