Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Эпидемические внушения в информационной безопасности или Защита персональных данных - проблема 2010 года
Навигация
 

Эпидемические внушения в информационной безопасности или Защита персональных данных - проблема 2010 года

Автор: Александр Астахов опубликовано: 29-10-2009 последнее изменение: 19-02-2011

Внушение, т.е. принятие без рассуждений на веру неких догматов - это всегда ложь, а всякая ложь есть зло. Внушения всегда были и есть во всех областях человеческой жизни. Примерами значительных по своему значению и распространению внушений могут служить средневековые крестовые походы, вера в ведьм, отыскивание философского камня или страсть к тюльпанам в Голландии. В сфере информационной безопасности приходит на ум, прежде всего, проблема 2000 года и, сравнимая с ней по объему, проблема 2010 года (проблема персональных данных).

Вот что писал в свое время Лев Николаевич Толстой об эпидемических внушениях (развеивая миф о гениальности весьма посредственного английского писаки Шекспира и его произведений):

"При развитии прессы сделалось то, что как скоро какое-нибудь явление, вследствии случайных обстоятельств, получает хотя сколь-нибудь выдающееся против других значение, так органы прессы тотчас же заявляют об этом значении. Как скоро же пресса выдвинула значение явления, публика обращает на него еще большее внимание. Внимание публики побуждает прессу внимательнее и подробнее рассматривать явление. Интерес публики еще увеличивается, и органы прессы, конкурируя между собой, отвечают требованиям публики.

Публика еще больше интересуется; пресса приписывает еще больше значения. Так что важность события, как снежный ком, вырастая все больше и больше, получает совершенно несвойственную своему значению оценку, и эта преувеличенная, часто до безумия, оценка удерживается до тех пор, пока мировоззрение руководителей прессы и публики остается то же самое. Примеров такого несоответствующего содержанию значения, которое в наше время, вследствии взаимодействия прессы и публики, придается самым ничтожным явлениям, бесчисленное количество. Поразительным примером такого взаимодействия публики и прессы было недавно охватившее весь мир возбуждение делом Дрейфуса. Явилось подозрение что какой-то капитан французкого штаба виновен в измене. Потому ли, что капитан был еврей, или по особенным внутренним несогласиям партий во французком обществе, событию этому, подобные которому повторяются беспрестанно, не обращая ничьего внимания и не могущеми быть интересными не только всему миру, но даже французким военным, был придан прессой несколько выдающийся интерес. Публика обратила на него внимание. Органы прессы, соревнуя между собой, стали описывать, разбирать, обсуживать событие, публика стала еще больше интересоваться, пресса отвечала требованиям публики, и снежный ком стал расти, расти и вырос на наших глазах такой, что не было семьи, где бы не спорили о l'affair. Так что карикатура Карандаша, изображавшая сперва мирную семью, решившую не говорить больше о Дрейфусе, и потом эту же семью в виде озлобленных фурий, дерущихся между собою, совершенно верно изображала отношение почти всего читающего мира к вопросу о Дрейфусе. Люди чужой национальности, ни с какой стороны не могущие интересоваться вопросом, изменил ли французкий офицер или не изменил, люди, кроме того, ничего не могущие знать о ходе дела, все разделились за и против Дрейфуса, и как только сходились, так говорили и спорили про Дрейфуса, одни уверенно утверждая, другие уверенно отрицая его виновность.

И только после нескольких лет люди стали опоминаться от внушения и понимать, что они никак не могли знать виновен или невиновен, и что у каждого есть тысячи дел, гораздо более близких и интересных, чем дело Дрейфуса. Такие наваждения бывают во всех областях...."

Ярким примером эпидемического внушения в области информационной безопасности может служить набившая в свое время оскомину проблема 2000-го года. При наступлении 1 января 2000 года при 2-значном представлении года после 99 наступал 00 год (то есть 99+1=00), что интерпретировалось многими старыми программами, как 1900, а это, в свою очередь, могло привести к серьёзным сбоям в работе критических приложений, например, систем управления технологическими процессами и финансовых программах. Разработчики подобных программ видимо и не помышляли, что человечество сможет перешагнуть рубеж 2000 года, под влиянием другого эпидемического внушения "о скором конце света".

Ошибка некоторых разработчиков ПО при определении типов данных и выделении памяти для хранения переменных (коих они допускают тысячи и до сей поры, о чем мы ежедневно узнаем из соответствующих бюллетеней) обратила на себя внимание компьютерной прессы, публика проявила интерес, пресса еще больше ухватилась за проблему, ИТ-сообщество и чиновники, предвкушая возможность легкой наживы, с энтузиазмом проблему поддержали и проявили обеспокоенность, публика вдохновилась еще больше и снежный ком начал разрастаться до величины совершенно несвойственной реальному значению данной проблемы. Во многих странах были приняты национальные планы действий по решению Проблемы 2000, созданы многочисленные комиссии и комитеты, организованы дорогостоящие исследования и разработки. По некоторым оценкам общий объём мировых инвестиций, потраченный на подготовку к 2000 году составил 300 миллиардов долларов! Куда там мировому финансовому кризису до наших проблем информационной безопасности!

Аналогичная "проблема" ожидается и в 2038 году в системах, в которых используется представление времени по стандарту POSIX (UNIX-время), которое представляет собой количество секунд, прошедшее с 1 января 1970 года. На большинстве 32-битных систем используется тип данных time_t для хранения секунд в виде signed int (32-битного целого со знаком). Более позднее время заставит поле данных, используемое в этих системах для представления времени, стать отрицательным. В результате могут быть произведены ошибочные вычисления или результаты. Переход на современные 64-битные архитектуры снимает данную проблему.

Кроме "проблемы 2038 года" в программном обеспечении существуют и другие проблемы, связанные с неправильным представлением времени и обусловленные недальновидностью разработчиков. Например, в компьютерных системах Тайваня может возникнуть "проблема 100 года". Она связана с тем, что в Тайване в официальных целях используется календарь Миньго, предполагающий отчёт летоисчисления от основания Китайской республики в 1911 году, поэтому 2011 год по григорианскому календарю будет соответствовать 100 году по официальному календарю Тайваня, что может вызвать проблемы в компьютерных системах, в которых для хранения дат используются только две цифры. А сколько еще существует потенциальных проблем, никак не связанных ни с представлением времени ни с национальными особенностями, даже сложно себе представить.

Современное эпидемическое внушение в области информационной безопасности будет вписано в историю России под названием "проблема 2010 года", т.к. именно с 1 января 2010 года всем операторам персональных данных, коих по самым скромным подсчетам официальных инстанций в России насчитывается не менее двух миллионов юридических лиц (индивидуальные предприниматели и физические лица, которые также являются операторами персональных данных по духу закона, в расчет не берутся, видимо для того, чтобы не сбиться со счета). Данная проблема возникла в 2006 году с принятием ФЗ-152 "О персональных данных", призванного гарантировать права граждан России на защиту их личной тайны от всевозможных злоупотреблений.

Возможно, никто бы у нас и не обратил на данный закон никакого особого внимания (кого, положа руку на сердце, так уж сильно волнует чья-то личная тайна, да и что это вообще такое и тайна ли это вообще?).  Например, более значимый для бизнеса ФЗ-98 "О коммерческой тайне" и даже 4 часть ГК РФ "Интеллектуальная собственность", отнюдь не пользовались такой бешеной "популярностью". Что же вызвало столь пристальное внимание и привело к образованию очередного "снежного кома"? Не будем затрагивать казуистических споров вокруг отдельных формулировок, имеющихся в законе, будь то само определение персональных данных, требование о регистрации операторов, исключения из этих требований и т.п. Пускай об этом спорят юристы, а затем, при необходимости, вносят соответствующие уточнения в законодательство в рабочем порядке. Широкий резонанс в обществе вызвали не эти прения, а требования к операторам по защите персональных данных, сформулированные в подзаконных актах, выпущенных регуляторами. В требованиях этих ничего необычного нет и даже нет ничего нового. Можно даже подумать, что с момента разработки Гостехкомиссией России в период с 1992 по 1998 год руководящих документов по защите от НСД ничего нового в области защиты информации в нашей стране придумано не было (несмотря на то, что общий ландшафт угроз безопасности и соответствующие технологии во всем мире изменились с тех пор до неузнаваемости). Что же тогда так беспокоит общественность?

Широкий резонанс и озабоченность общественности вызваны попыткой применения существующих подходов к защите информации, практикуемых до момента принятия ФЗ-152 лишь в государственных организациях (в весьма ограниченных объемах и на государственные деньги), к частному бизнесу, который с большим недоверием относится к любым расходам, не связанным с достижением целей бизнеса и не имеющим понятного экономического обоснования. "Что происходит? Какого ражна производителю самоклеющихся пленок нужно получать целый набор лицензий ФСТЭК и ФСБ на деятельность в области защиты информации? Сколько вы говорите это стоит? А вы вообще-то в своем уме? Сколько вы говорите будет стоить сертификация нашего ПО по требованиям безопасности информации? А что нам гарантирует такая сертификация? Как ничего? На соответствие каким критериям она должна проводиться? А кто это определяет? А после установки обновлений наш сертификат останется в силе? Так нам еще и процесс выпуска обновлений надо сертифицировать?  Какие еще аттестаты на ИСПД? Зачем нам приобретать оборудование для защиты от ПЭМИН? Персональные данные наших сотрудников разве представляют интерес для иностранных разведслужб? А кто это вообще все придумал? ...."

Общественность интересуется, регуляторы комментируют, пресса освещает, подстегиваемые алчным желанием погреть ручки, разработчики СЗИ и интеграторы запугивают клиентов, внося еще больше путаницы, напуганные клиенты интересуются еще больше, пресса подогревает этот интерес, к обсуждению вопроса подключают различные комитеты, ассоциации, включая депутатов и правительственные структуры, проводятся конференции, семинары, слушания, общественные дебаты и круглые столы, снежный ком разрастается все больше.....

Comments (6)

Prozorov Andrey 29-10-2009 11:25

+1

Чудесно. Просто чудесно.
А на самом деле у минкомсвязьнадзора и людей-то не хватит проверить и 1% операторов.
Александр Астахов 29-10-2009 11:37

хватит, хватит ...

Для этого регламентом Роскомнадзора предусмотрены удаленные проверки. Затраты на управление и гос. аппарат у нас в стране тоже увеличиваются год от года (согласно данным РБК), даже несмотря на кризис.
prof 31-10-2009 10:08

НДС

"с момента разработки Гостехкомиссией России в период с 1992 по 1998 год руководящих документов по защите от НДС"
Было бы крайне интерсно узнать, как защититься от НДС!
Александр Астахов 31-10-2009 10:13

защита от НДС

Спасибо. Поправил. Что касается защиты от НДС, то это тоже отдельная наука. У меня друг в этом хорошо разбирается. Вот его сайт, если интересуетесь: http://fiznalog.ru/
Михаил 09-11-2009 06:56

ай, ну как нехорошо

Уважаемый Александр!
Имхо Вы излишней жути нагоняете.

1.
"Какого ражна производителю самоклеющихся пленок" ...
Очевидно, что ИСПДн указанного предприятия тянет на К3, не больше. Соответственно - затраты на защиту К3 минимальны и связаны в основном с разработкой документов.

2. К ИСПДн 1 и 2 класса - в основном относятся базы данных банков, операторов связи и государственных учреждений (здравоохранение, ЖКХ и т.п.).
1. по поводу банков и операторов связи: бюджеты на ИБ у них всегда были большие. Такие предприятия все равно использовали антивирусы, криптографию, системы обнаружения вторжений и т.п.
ФЗ-152 требует, чтобы указанные средства были сертифицированы.

2. по поводу гос. учреждений: дейтсвительно, для них AP-152 не ввел каких-то "очень" новых требований - все уже было сформулировано ранее в СТР-К!!!

У меня складывает впечатление, что "чудо-аналитики" вместо того, чтобы вчитываться в документы - начинают кричать об их "нереальности".
А "нечистые на руку" коммерсанты "рубят" сверх-прибыль с доверчивых предприятий, которые напуганы слухами вокруг ФЗ-152...

Таким образом, я не вижу причин для страданий предприятий малого бизнеса.
Нужно рассматривать реальные ситуации.

Александр Астахов 09-11-2009 07:49

эпидемическое внушение ФЗ-152

Приводя ФЗ-152 в качестве примера современного эпидемического внушения в области ИБ, я как-раз и хотел показать, что проблема сильно раздута и что этой проблеме, в настоящее время, придается избыточное значение. Я никого не пугаю, а наоборот советую немного расслабиться и посмотреть на вещи не затуманенным взором. Вопросы о лицензировании, сертификации и аттестации - это типичные вопросы, задаваемые операторами ПД и иллюстрирующие их отношение к проблеме защиты ПД и степень понимания данной проблемы.

Что касается классификации ИСПД, то на К2 легко попадают не только банки и крупные операторы связи, но все прочие компании, обрабатывающие персональные данные более 1000 субъектов и располагающие какой-либо дополнительной информацией о них, кроме идентифицирующей, включая производственные предприятия, торговые компании и т.п. На К3 (распределенную) вообще сложно не попасть, а в этом случае лицензия требуется также как и для К2.

Да и не так кардинально от класса к классу различаются требования по защите информации, предъявляемые к ИСПД. Наиболее затратные мероприятия, такие как разработка модели угроз, проектирование СЗПД, разработка организационно-распорядительных документов, использование сертифицированных СЗИ и т.п. должны реализовываться независимо от класса. Посчитайте во сколько обойдется создание типовой СЗПД с нуля на 100 рабочих мест в полном соответствии с требованиями действующих нормативных документов для систем К3 и К2. Большая разница получается?
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex