пятница, 28 января 2011 г.

Сегодня - День защиты личных данных


Всех читателей блога и коллег по цеху поздравляю с праздником - международным Днем защиты личных данных (data privacy day)! Впервые этот день был отмечен на европейском календаре в 2007 году, а его основная цель - привлечение внимания граждан к проблематике защиты персональных данных.

Конечно, Европе есть что отмечать - уровень зрелости западного законодательства в этой области существенно выше отечественного. Нашей стране в этом плане похвастаться пока, увы, нечем, да и праздника такого у нас, к сожалению, нет (видимо, стереотип "праздника" в России несколько иной). Однако задумка весьма неплохая.

Что же касается мероприятий по повышению осведомленности субъектов персональных данных - это должен быть непрерывный процесс. И если мы хотим сделать как в Европе, то инициатива должна исходить от государства - прежде всего от уполномоченного органа в области защиты прав субъектов ПДн. Подойдут публикации в СМИ, тематические передачи на телеканалах, размещение в этот день ежегодного отчета о деятельности Роскомнадзора в этой области на его интернет-сайте. Коммерческие организации могут использовать тематические рассылки сотрудникам по электронной почте либо размещение информации на корпоративных порталах.

Много чего можно придумать - было бы желание. И если оно со временем не иссякнет - когда-нибудь и отпразднуем, как в Европе.

среда, 26 января 2011 г.

90 нанометров


Читателям, знакомым с основами микроэлектроники, должен быть известен знаменитый "закон Мура", согласно которому, количество транзисторов на микросхеме удваивается каждые два года. Именно этот постулат, выведенный на основе эмпирического наблюдения, в течение 45 лет определяет вектор технологического прогресса планеты Земля. Благодаря увеличению числа транзисторов при неизменной площади основы многократно возрастает функциональность и производительность микросхемы, и самое главное - снижается ее удельная стоимость. Однако есть и проблемы: дело в том, что с уменьшением размера транзисторов и увеличением их числа происходит пропорциональное увеличение энергопотребления и выделяемого тепла. Именно поэтому производители интегральных микросхем вынуждены постоянно совершенствовать технологические процессы.

Большинство современных компонентов вычислительной техники (процессоры, память и т.д.) изготавливаются при помощи технологического процесса "45 нанометров" - именно такую величину составляет размер одного транзистора на подложке. Однако электронные монстры, такие, как Intel, ни в коем случае не останавливаются на достигнутом. Согласно приведенному ниже графику, корпорация в ближайшем будущем планирует перевести свои фабрики на процесс 32 нанометра, а в обозримом будущем - представить миру процессоры, изготовленные по технологии 15 нанометров (для сравнения - диаметр ядра атома углерода составляет 0,2 - 0,3 нМ, что всего лишь в 50 раз меньше планируемого размера элемента)!


Наши, отечественные специалисты, тоже не "лыком шиты": 29 декабря 2010 года госкорпорация "Роснано" и АФК "Система" с гордостью представили российскому премьеру последнее достижение в области нанотехнологий. Как было сказано в пафосном репортаже 1 канала, "это первый в нашей стране чип размером в 90 нанометров - настолько маленький, что его сложно разглядеть без специального оборудования"!


Да уж, действительно, есть чем гордиться - отсутствием возможности разглядеть чип невооруженным глазом. Особенно принимая во внимание, что чип изготовлен на заводе "Микрон" по технологиям, купленным у французов (90 и 180 нМ), слайд из презентации Intel и тот факт, что техпроцесс 90нМ - это фактически прошлый век (в коммерческую эксплуатацию он был введен в 2002 году). Но время идет, и у россиян появляется все больше поводов для гордости. Один из таких поводов - отечественная навигационная система ГЛОНАСС - альтернатива американской GPS.

Ни для кого не секрет, что в настоящее время российская космонавтика представляет собой своего рода "космическое такси": наши хорошие ракетоносители, построенные на базе технологий 70-х годов, практически без сбоев доставляют на орбиту западные высокотехнологичные грузы и международные бригады космонавтов. Именно поэтому о ГЛОНАСС так много говорят и пишут - на нее возлагают большие надежды как на своего рода маленький "прорыв" после большого космического отставания.

Однако и здесь не все так гладко. Во-первых, в связи с потерей трех спутников, вызванной переливом топлива (однако, какова причина, а?), реализация программы ГЛОНАСС откладывается как минимум до конца 2011 года, а это означает, что у наших ближайших конкурентов - Японии с QZSS, Европы с GALILEO и китайцев со своим COMPASSом есть все шансы "сделать" ГЛОНАСС на финише. Но и это еще далеко не все: мало вывести группировку спутников на орбиту, надо еще коммерциализовать технологию - проще говоря, добиться ее проникновения в массы.

Первые потуги в этом направлении российским правительством уже сделаны, правда, как всегда - в своем репертуаре. В частности, вице-премьер С.Иванов предложил ввести заградительные пошлины на устройства, поддерживающие только GPS, в размере 25%, а также разработать и принять федеральный закон, обязывающий госорганы и автопроизводителей использовать ГЛОНАСС-навигацию. Не смотря на то, что пока ни одно из этих предложений не реализовано (очевидно потому, что не развернута ГЛОНАСС), западный бизнес, понимая, что нет дыма без огня, начал готовиться к этим мерам.

Первым производителем чипов, поддерживающих ГЛОНАСС, стала известная американская компания Qualcomm. Ее чипсеты уже выпускаются серийно, а обрабатывать сигнал российской навигационной системы, по заявлениям разработчиков, им позволяет специальное программное обеспечение и доработка чипсетов на аппаратном уровне. Вчера появился второй претендент на лидерство - французский производитель микроэлектроники STMicroelectronics. Эта компания сообщила о разработке одночипового приемника Teseo II, способного принимать сигналы не только спутниковых систем GPS и ГЛОНАСС, а заодно и GALILEO, и QZSS. Согласно пресс-релиза компании, образцы приемников уже доступны, а в массовое производство их планируется запустить в 3-м квартале 2011 г. А что же наши разработчики? О, нам и здесь есть чем гордиться!

Одними из основных разработчиков чипов ГЛОНАСС являются КБ «Навис» и «ГеоСтар Навигация». Чип, разработанный в «ГеоСтар Навигации», по признанию представителей этой компании, по физическим размерам не подходит для мобильных устройств - он используется в основном в системах навигации, которыми оснащается транспорт. Представители «Навис» говорят, что приемник, подходящий для потребительской электроники, уже спроектирован, в производство запущена первая партия, а его образцы переданы производителям. Он поддерживает GPS, ГЛОНАСС, GALILEO, и COMPASS. Стоимость приемника при массовом производстве составляет порядка $15, а габариты в корпусе - 9х11х2,5 мм. Для сравнения, стоимость устройства STMicroelectronics не превысит $6, а размер составляет 9х9х1,2 мм. Вот вам и нанометры!

Самое интересное - реакция КБ "Навис" на эту новость, представитель которой заявил буквально следующее:

«Я бы не рискнул оценивать проект, так как мы пока не видели тестового образца этого приемника. Несмотря на то, что его заявленные характеристики весьма любопытны, на рынке было уже несколько случаев, когда заявленные компанией ТТХ навигационных приемников отличались от реальных. Кроме того, некоторые громкие проекты в конечном итоге так и не находили практической реализации и оставались на бумаге. В перечне характеристик приемника ничего не сказано о его точности и энергопотреблении. Наш опыт на рынке показывает, что от момента выпуска первой тестовой партии чипов до запуска их серийного производства, как правило, проходит больше времени, чем планируется изначально. Отладка забирает немало времени и ресурсов, причем возникают и непредвиденные проблемы»...

Опять исконно русская надежда на то, что у конкурентов, уже обставивших по всем параметрам, "возникнут непредвиденные проблемы" - вдруг нам тогда повезет? Нет, уважаемые, уже не повезет. И нам, с нашими "нанометрами", даже и тягаться не стоит. Одна надежда - на инноград Сколково: вот возьмут, да и разработают свою, отечественную технологию! Но что-то мне подсказывает, что к тому времени, как это свершится, технология эта (как и углеводороды) будет никому уже не нужна. Она и сейчас мало кому нужна - разве что тем, кто сидит на бюджете, да и то, по понятным причинам, косвенно...

вторник, 25 января 2011 г.

Безопасность для избранных


Глубочайшие соболезнования родным и близким жертв теракта в аэропорту Домодедово...


Репост статьи "Топонимика страха" Андрея Колесникова в издании Газета.RU.

Боязнь стать жертвой теракта и претензии к политическому руководству возникают в широких массах сразу после терактов. Затем страх и трепет забываются, и показатели обеспокоенности уверенно идут вниз. Так было после «Норд-Оста» и Беслана – терактов боялись 67% респондентов фонда «Общественное мнение», так было после террористической атаки в московском метро весной минувшего года (70% боящихся). Ровно та же картина наблюдалась с претензиями к правительству (в широком значении слова), которое не может обеспечить безопасность (20% и 23% соответственно после «Норд-Оста» и Беслана, согласно данным Левада-центра). Но в последние годы ощущение террористической угрозы угасало и достигло очень низких показателей. Даже в ноябре 2010 года многие забыли о московском метро: на первом месте среди претензий к начальству стоял рост цен (50% опрошенных), а недостатки с обеспечением безопасности и слабой борьбой с террором шли на девятом месте с 12%.

Это естественно: люди не могут жить в постоянной готовности к катастрофе. Но вот что противоестественно: государство, у которого есть функция насилия и силового принуждения, не может жить столь же расслабленно, как простые граждане. Иначе для чего оно нужно – сажать Ходорковского с Немцовым и бабки пилить что ли? Иначе почему одно из самых устрашающих учреждений называется ФСБ – Федеральная служба безопасности? Только вот здесь, наверное, ошибка в объекте: ключевой вопрос – чьей безопасности? Руководящих и направляющих лиц или граждан?

Разумеется, даже самые мощные спецслужбы мира не могут предотвратить все на свете теракты. Но что-то ведь не так, не могут компетентные органы вести себя так же, как и рядовые обыватели, – суетиться и бояться только в течение времени жизни новости. Неслучайно же президент сразу после событий сказал, обращаясь с генпрокурору Чайке: «После определенных событий мы приняли целый комплекс нормативных актов, законов на эту тему. Надо посмотреть, как они выполнялись и как они сейчас выполняются, потому что то, что произошло, свидетельствует о том, что далеко не все законы, которые должные действовать, правильным образом применяются в разных местах. Надо в этом разобраться».

Тема безопасности, при всей ее «шкурности» для граждан, чрезвычайно политизирована. У безопасности самые мощные лоббисты. На безопасность тратятся огромные средства, и милитаристско-правоохранительный уклон государственного бюджета – устойчивая тенденция. По поводу безопасности происходят самые выспренние и жесткие словесные интервенции. А секретность и отгороженность от журналистов преодолевают самые что ни на есть зияющие высоты. (Правда, в последнее время скрывать беспомощность становится все сложнее, потому что в роли журналистов выступают случайные свидетели, немедленно выставляющие все увиденное во всяких там твиттерах и тем самым профилактирующие последующие вранье спецслужб и пафос государственных деятелей.)

Безопасность – священная корова государства. Безопасность – повод для закручивания гаек и загадочных решений руководства, в которых очень сложно уловить причинно-следственную связь (как в отмене выборов губернаторов после теракта в Беслане). Но знать бы, какую такую гайку подкрутить, чтобы добиться эффективности в «наведении порядка»!

Между тем «наведение порядка» – смысл и пафос лидерства Путина вот уже на протяжении более чем десяти лет. А счастья, как и порядка, все нет. За порядок без всяких там демократических вздохов на скамейке и либеральных прогулок при луне – 56% респондентов Левада-центра, за демократию – 23%. Но это только кажется, что «мандат» тем самым продлен. Потому что в 2000 году соотношение было иное: 81% за порядок, 9% за демократию. На той волне нынешний нацлидер и приходил к власти.

Так где она, эта безопасность? Голосовать – голосуем, а безопасности больше не становится. Поскольку утратили связь между демократическими процедурами и результатом, положились на твердую руку в обмен на отказ от контроля и ротации власти – получили то, что хотели. Оказывается, между демократией и обеспечением безопасности есть прямая связь. Хотя бы потому, что безопасность и правоохранение – функции политических органов. И от выборной власти зависит, какие они. Если же власть перестает быть выборной, исчезают инструменты контроля, утрачиваются технологии ротации, эффективность падает ниже низшего предела.

Кафкианские методы правления можем обеспечить. Триумф воли на стадионах – без вопросов. Шествия молодых идиотов – пожалуйста. Безопасность, в том числе и от себя любимых, крышующих и откатывающих, – ну никак.

Есть прямая связь между Кущевкой, Манежкой и Домодедово. Все это – топонимика страха, псевдонимы безответственности и безнаказанности, проистекающих из отсутствия ротации власти. Бессмысленно ждать наведения порядка от тех, кто пришел к власти под этим лозунгом и остался при ней на более чем десятилетний срок. Их целью было навести порядок для самих себя. Им это удалось. Потому-то их не было ни на Дубровке, ни в Беслане, ни, разумеется, в метро, ни в зале прилета Домодедово. Они там не ходят…

А воз и ныне там


По сообщению веб-сайта Президента РФ, 24 января 2011 года был подписан указ "О единой национальной аккредитации", как следует из формулировки самого указа, "в целях повышения эффективности государственного управления" в этой сфере. Указ этот, помимо прочего, предусматривает создание единого национального органа "подтверждения соответствия" - то, о чем многие специалисты в области защиты информации так давно мечтали.

Однако автор блога в очередной раз вынужден предупредить читателей: чрезмерные надежды опасны для психического здоровья. Дело в том, что радость от прочтения первого пункта документа тут же сменяется горечью разочарования на втором:

Возложить на Министерство экономического развития Российской Федерации функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия (за исключением подтверждения соответствия оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии).

Жаль, но что поделаешь. Велико у нас лобби двоечников-бизнесменов. Эх...

вторник, 18 января 2011 г.

Свободное не значит бесплатное


В прошлом году я писал о распоряжении премьер-министра, согласно которому все государственные структуры к 2015 году "пересядут" на свободное программное обеспечение. И вот, стали появляться первые подробности. По сообщению RBC Daily, национальная операционная система, которую планируется установить на компьютеры большей части российских чиновников, будет бесплатной, однако прикладное ПО будет по большей части поставляться за деньги. Стоимость программных продуктов, которые будут продаваться для ее полноценного функционирования, может превысить 200 млн долл. в год.

Проект «Национальная программная платформа», в рамках которого разрабатывается национальная ОС, уже передан заказчику - Министерству экономического развития - и будет рассмотрен им до 1 февраля. В нем указано, что для создания национальной ОС (на базе Linux) предполагается «консолидировать усилия российских разработчиков свободного программного обеспечения и отечественных производителей проприетарных (платных) программных продуктов». Предполагается, что продажи ПО для национальной ОС могут увеличить оборот российского рынка ПО примерно на 15%, объем которого, по мнению экспертов, превышает 1,5 млрд долл. в год. Тем не менее, некоторые эксперты скептически настроены по отношению к национальной ОС. Так, гендиректор компании Parallels Сергей Белоусов считает:  «То, что я слышал, это некая ОС на основе Linux, и ее сложно назвать перспективной даже на ближайшие пять лет. ОС будущего - это «облачные» платформы».

Автор этого блога по отношению к этой затее настроен крайне скептически. Во-первых, хоть Linux и бесплатная система, однако до функциональности Windows с точки зрения пользователя ей еще далеко. Поэтому ей будет требоваться спецподдержка, а это прежде всего затраты. Во-вторых, специалистов по Linux гораздо меньше, чем по той же Windows, стоят они дороже, да и есть не везде, а за такое короткое время "ватагу бородатых одминов", способных на приемлемом уровне обслуживать Linux, подготовить просто нереально. В третьих - далеко не все можно перевести на СПО - например, медоборудование, другую спецтехнику, снабжаемую ПО от производителя. В общем, решение, как всегда, принято, деньги - выделены, карманы - расширены, а все проблемы оставлены "на потом": авось "рассосется".

понедельник, 17 января 2011 г.

Цензура и параллельные миры


Оставил в блоге М.Ю.Емельянникова (см. предыдущий пост) комментарий следующего содержания:

"Все мои знакомые "бизнесмены" (ларечного уровня) в школе были двоечниками. Полагаю, и в этом случае дело не в "двоечниках", а в бизнесе. Как говорил герой мультфильма "Остров сокровищ" - "всему виною деньги, деньги, деньги... их век бы не видать. За мной пришли, спасибо за вниманье, сейчас, должно быть, будут убивать..." :)"

До меня 2 человека прокомментировало материал. Сегодня, зайдя на сайт, увидел, что комментариев-то и нету - все удалены.

Или какая-то техническая ошибка, или же правда-матка глазоньки кому-то очень сильно режет...

пятница, 14 января 2011 г.

Параллельные миры


Мнение, что называется, "не в бровь, а в глаз".

"... А тем временем мы продолжаем жить одновременно как минимум в двух параллельных мирах. В одном из них действует ФЗ-152. Там оператор обязан подтвердить наличие согласия субъекта на обработку персональных данных, и регулятор разъясняет, что в электронном мире таким подтверждением является ЭЦП, а при ее отсутствии оператор обязан проверить достоверность полученных данных или получить письменное согласие. В другом мире стремительно развивается электронная торговля, где можно совершить сделку анонимно или от имени любого лица, приобрести товары и услуги для других, указав необходимые для этого чужие персданные. И никто ничего не проверяет, проверять не собирается и третьих лиц ни о чем не уведомляет...

... Видимо, такова наша судьба – жить одновременно в нескольких мирах под надзором двоечников, прячущих дневник от несуществующих строгих родителей ..."

Полная версия - в блоге М. Ю. Емельянникова. Всем рекомендую.

четверг, 13 января 2011 г.

Несертифицированные сертифицированные


Кончились новогодние праздники, у студентов полным ходом идет сессия, и мне, как преподавателю, приходится тоже "поднапрячься" - экзамены надо принимать, а для этого неплохо бы и самому вспомнить материал ;) Именно с этой целью я в очередной раз полистал казалось бы хорошо знакомый РД ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", и в очередной раз обнаружил пару интересных моментов, которыми не премину поделиться с читателями.

Всем хорошо известен пункт 5 Постановления правительства РФ № 781, вокруг которого поломано немало копий. Именно этот пункт регламентирует использование в ИСПДн средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке. С момента отмены двух суровых документов "четверокнижия" никто толком не знал, что скрывается под термином "установленный порядок": приказ № 58 и соответствующее Положение, вышедшее им на замену, рассматривает использование сертифицированных средств защиты информации лишь как один из  "методов и способов".

Те счастливчики, которым довелось ознакомиться с содержанием пресловутого Постановления правительства РФ № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну..." знают о содержании пункта 6, который однозначно определяет, что оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора).

В виду того, что таких счастливчиков крайне мало, а большинству операторов этот документ недоступен, интрига существует по сей день. Однако ярые сторонники подходов ФСТЭК, с пеной у рта доказывающие необходимость получения лицензий на ТЗКИ всеми без исключения операторами ПДн, могут ликовать: пусть и тайно, но между "оценкой соответствия" и "сертификацией" поставлен знак равенства. Хорошо, пусть так, пусть все без исключения СЗИ должны быть сертифицированы ФСТЭК. Но позвольте, сертификация, пусть и во ФСТЭК, бывает разная - как определить, подходит ли сертифицированное СЗИ для конкретного случая, "нужные" ли оно имеет сертификаты?

Попробуем разобраться. Вот типичный пример анонса о получении заветного сертификата производителем средств защиты информации:

"Программный комплекс DeviceLock® 6.4.1 получил сертификат соответствия N 2144 ФСТЭК России. Настоящий сертификат удостоверяет, что программное средство DeviceLock 6.4.1 соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации" (Гостехкомиссия России, 1999 г.) по 4 уровню контроля, заданию по безопасности "Программный комплекс DeviceLock 6.4.1. Задание по безопасности D_L_6.4.1.3Б. Версия 1.0", имеет оценочный уровень доверия ОУД2 в соответствии с требованиями руководящего документа "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002 г.) и может использоваться в автоматизированных системах до класса защищенности 1Г включительно."

Проведем декомпозицию регалий. Первое "достоинство" - 4 уровень контроля - означает отсутствие в ПО т.н. "недекларированных возможностей". О том, что это такое, может поведать РД ФСТЭК "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей": согласно приведенному в нем определению, "недекларированные возможности" - это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Смысл "достоинства" понятен, но что оно дает оператору? Согласно пункта 7 "Положения о методах и способах...",  это позволяет использовать ПО в типовых ИСПДн 1 класса. Для типовых ИСПДн 2 и 3 классов, а так же для специальных ИСПДн, такое требование отсутствует, а это означает, что в большинстве случаев наличие у СЗИ одного такого сертификата будет только "в тягость": оператор предпочтет более дешевое несертифицированное средство, а значит, нужна дополнительная мотивация.

Следующее, на что падает взгляд, это аббревиатура "ОУД2" - некий "оценочный уровень доверия". О том, что это такое, может поведать раздел 6 части 3 многостраничного РД "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" ("ремикс" стандарта ISO 15408 "Общие критерии"). В терминах этого документа, ПО СЗИ является объектом оценки (ОО), в процессе оценки которого "достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям". Посмотрев в таблицу Б.1 "Взаимосвязь между оценочными уровнями доверия и классами, семействами и компонентами доверия", можно обнаружить, что оценочный уровень ОУД2 является одним из самых низких - ниже только ОУД1. В совокупности с 4-м, самым низким "уровнем контроля НДВ", возникает резонный вопрос - почему такое "недоверие"?

Ответ кроется в последнем "достоинстве", ради чего, собственно, все и делалось: сертифицированное по двум предыдущим показателям ПО "может использоваться в автоматизированных системах до класса защищенности 1Г включительно". Аббревиатура 1Г расшифрована в РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Этот документ устанавливает 9 классов АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию, в зависимости от условий их функционирования с точки зрения защиты информации. "Стоп" - скажет пытливый читатель - "как связаны классы этого РД и классы ИСПДн"? И вот здесь начинается самое интересное.

Внимательное прочтение указанного РД и сопоставление его с подходами, применяемыми к классификации ИСПДн, выявляет главный тренд: выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и, как и в 58 приказе, в РД приведены лишь требования, которые должны быть выполнены для АС соответствующего класса. Однако мы помним о том, что в 58 приказе приведены требования для типовых ИСПДн: защитные меры специальных ИСПДн определяются на основании модели угроз. Помним мы и о том, что "использование сертифицированных СЗИ", согласно того же Приказа, является одним из "методов и способов".

Возникает вопрос: можно ли отойти от использования сертифицированных СЗИ с использованием модели угроз? Ответ на него нам даст пункт 4.6 каждой из трех таблиц указанного РД, определяющий необходимость использования сертифицированных средств защиты. И здесь - первый парадокс: ФСТЭК разрешает НЕ ИСПОЛЬЗОВАТЬ сертифицированные СЗИ в АС, соответствующих классам 3Б, 2Б, 1Д и - внимание - 1Г! Но погодите - для чего же тогда сертифицировать СЗИ до класса 1Г включительно, если ни в 1Г, ни в 1Д сертифицированных средств не требуется - для 2А и 3А? Учитывая особенности этих классов и требования, указанные в соответствующих таблицах РД это, пожалуй, второй парадокс.

Ответ на вопрос, подойдет ли указанное выше сертифицированное для 1Г СЗИ для использования в ИСПДн любого класса, нигде не написан. Сам вопрос задавался ФСТЭК не один раз, а ответ оказался прост до безобразия: СЗИ подойдет просто потому, что имеет сертификат, а значит в терминах ПП330 и ПП 781 "прошло оценку соответствия". При этом совершенно не важно, что это за сертификат и что в нем написано - главное, что он есть. Однако пока, в условиях "закрытости" 330-го постановления, у операторов есть реальная возможность не использовать сертифицированные СЗИ, в том числе на основании модели угроз. Долго ли продлится такая "халява" - никому не ведомо.

Успехов в наступившем году Вам, дорогие читатели!

ЗЫ: Happy Old New Year :)