вторник, 26 июля 2011 г.

Мат без шаха


По сообщению пресс-службы Кремля сегодня, 26 июля, в 10 часов 20 минут по московскому времени, Президент РФ подписал законопроект, вносящий поправки в закон № 152-ФЗ. Соответствующее сообщение размещено на сайте Президента в разделе "документы".

Спешу поздравить противоборствующую сторону (сторонников поправок) - они ожидаемо выиграли эту партию. Всем сторонникам (противникам поправок) хочу сказать огромное спасибо за поддержку: борьба была очень достойной, особенно учитывая, что силы заранее были не равны. Рыдать не станем, переведем дух, пожмем друг другу руки, и будем жить дальше. Сейчас необходимо внимательно вычитать новый закон, привести в соответствие внутреннюю организационно-распорядительную документацию и ждать "подзаконников" от Правительства РФ с "уровнями защищенности", "требованиями по защите" и "видами деятельности", которые могут контролировать регуляторы.

Полагаю, что самым увлекательным занятием в ближайшие месяцы станет скурпулезное изучение двойных толкований нового закона под девизом "найди 5 багов и получи +10 к экспириенсу" ;)

51 комментарий :

  1. Анонимный26.7.11

    {вырезано внутренним цензором во избежание вырезания внешним цензором}

    1Сник из Мухосранска

    ОтветитьУдалить
  2. Анонимный26.7.11

    Однажды Владимир Владимирович™ Путин зашел в кабинет Президента Российской Федерации Дмитрия Анатольевича Медведева. Дмитрий Анатольевич сидел за широким президентским столом и что-то быстро писал.
    - Слышь, брателло, - спросил Владимир Владимирович™, - Ты че делаешь?
    - Закону пишу, - отвечал Президент не поднимая головы, - Времени мало… законов надо много…
    - Че за законы-то? - с интересом спросил Владимир Владимирович™.
    - О приравнивании пива к алкоголю, - отвечал Президент, - О приравнивании российских дорог к дорогам…. О приравнивании асфальта к тротуарной плитке… о приравнивании продукции завода "АвтоВАЗ" к автомобилям, о приравнивании сертифицированных средств защиты к средствам защиты…
    - А че, хорошие, - согласно кивнул Владимир Владимирович™, - Мне нравятся. Могу еще один подсказать.
    - Какой? - все еще не поднимая головы спросил Дмитрий Анатольевич.
    - О приравнивании президента к главе государства, - просто сказал Владимир Владимирович™.
    Дмитрий Анатольевич медленно поднял на Владимира Владимировича™ глаза.
    Владимир Владимирович™ улыбался.
    В глазах его опять была бесконечность.

    ОтветитьУдалить
  3. Анонимный26.7.11

    а стоит ли ждать нового варианта подзаконника о классификации испдн?

    ОтветитьУдалить
  4. Ушедшая в небытие классификация согласно приказа Трех "типовая К1-К4" и "специальная" будет "вшита" в "Уровнях защищенности в зависимости от видов деятельности...", так что да.

    ОтветитьУдалить
  5. Ладно классификация, а какие модели угроз они нам насочиняют, типовой уже не отделаться, нужны по видам деятельности.

    ОтветитьУдалить
  6. И это вызывает у меня нервную усмешку.

    ОтветитьУдалить
  7. Анонимный26.7.11

    Интересно сколько они будут сочинять-придумывать все это...

    ОтветитьУдалить
  8. По моей информации им поставлены жесткие сроки - 3 месяца. Учитывая, сколько они разрабатывали предыдущие творения, можно подумать, кАково будет качество нынешних.

    ОтветитьУдалить
  9. Анонимный26.7.11

    Честное слово, теперь думаю только об одном - лишь бы хуже не наподзаконили.
    Дубняк Сергей.

    ОтветитьУдалить
  10. Когда меня спрашивали относительно перспектив открытого письма, я отвечал: верю, что не подпишет, хотя и знаю, что подпишет. Теперь то же самое могу сказать и про подзаконники.

    ОтветитьУдалить
  11. Ни подзаконники, ни, тем более, закон не в состоянии отрегулировать все и вся. Вариант СРО их не устроил, ну что-ж, будем посмотреть.

    ОтветитьУдалить
  12. Анонимный26.7.11

    А где бы скачать закон с уже внесенными поправками?

    ОтветитьУдалить
  13. Анонимный26.7.11

    Тоже интересует новый текст закона

    ОтветитьУдалить
  14. Здесь: https://docs.google.com/viewer?a=v&pid=explorer&srcid=0B-diDhbmRj8gN2U4ZTUyZjUtZTdiNC00M2UyLTkwNGUtZDhlMmM0ZGQ2Mzg1&hl=en_US

    ОтветитьУдалить
  15. Опять появится классификация!
    Ну пускай...
    По теме сертификации специалисты отмечают некий революционный подход "СВЕРХУ" называется он "общие критерии"!
    После их введения вопросы по сертификации в большинстве были сняты так как содержали в себе подходы которые решают массу критики!
    Однако! Рынок ИБ принял лучшие подходы в этом направлении?
    По большому счету нет! И в этом виноваты эксперты или псевдоэксперты в области ИБ!
    Почему я отмечаю эту важную веху - она показала, что рынок не готов к оглашаемой цивилизованной работе и оптимизм по поводу саморегулируемых подходах преждевременный!
    И правильно что правки в 152 внесены так как есть! Иначе защищать не будут!
    На мой взгляд технические требования в ФЗ не нужны их нужно формировать в подзаконных актах.
    Кто то может пояснить почему подходы ОК массово не применяются?

    ОтветитьУдалить
  16. >Кто то может пояснить почему подходы ОК массово не применяются?

    Потому, что не выгодно.

    ОтветитьУдалить
  17. Дык методология обеспечивает минимизацию и гармонизацию! И это топовые мировые подходы!
    Если не выгодно то вообще ИБ не выгодно!
    Так любые затраты невыгодно - но жаловаться что "такая сертификация" у нас! Это значит лукавить!
    Если не нравится уровень наказания так нужно УК И КОАП править!

    ОтветитьУдалить
  18. > революционный подход "СВЕРХУ" называется он "общие критерии"

    Хаха епт. Этому подходу 20 лет в обед. Революция прошлого века. Плюс, "гос"сертификации никто не верит ибо профанация т.к. коррупция. Есть возражения?

    ОтветитьУдалить
  19. А поправки вступят в силу когда? 30 дней после публикациив РГ?*

    ОтветитьУдалить
  20. Сразу после публикации.

    ОтветитьУдалить
  21. Вихорев26.7.11

    Ст. 25. часть 1. "Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования."

    И Ддя Е. Родыгина по поводу ОК.
    Для того, чтобы сертифицировать по ОК, надо разработать ПЗ и ЗБ. А на сколько именно этот ПЗ соотвествует требованиям КОНКРЕТНОГО потребителя - не ясно, значит надо опять готовить новый Пз, но уже с учетом своих требований. Получается, что сертифицировать надо практически в каждом конкретном случае каждый раз одно и то же средство. Это не выгодно, От того и не пошел... А типизацией никто не занимается. Это же все равно, что "навязать" требования сверху...

    ОтветитьУдалить
  22. Возражения есть!
    Давай проведем показательную сертификацию!
    Открытую полностью!
    Ты сыграешь заявителя и разработчика а я сертификатора!
    И подведем итог.
    Для заявителей откроется что и как и недостатки обсудим?
    Будет видно что делать всем сторонам чтобы сертификации доверяли!
    Готов?

    ОтветитьУдалить
  23. Вихореву: респект за конструктив.

    ОтветитьУдалить
  24. Евгению: ты это сертификаторам скажи, они - готовы?

    ОтветитьУдалить
  25. Вихорев26.7.11

    Такая "показательная" сертификация УЖЕ была. Это Windows... Да, определен уровень доверия, да определны функции безопасности. Но КТО скажет, что именно МНЕ и именно ЭТИ функции нужны? Анализировать каждый ПЗ? Да проще новый написать - дешевле выйдет. Методология ОК хорошо работает, когда надо разработать ТИПОВЫЕ требования, то есть определить группу объектов с одинаковыми угрозами и по эти угрозы разработать требования. Это то же самое, что РД.

    ОтветитьУдалить
  26. > Методология ОК хорошо работает, когда надо разработать ТИПОВЫЕ требования

    Сергей Викторович, что вдруг с Вами случилось? :)))) Согласен полностью. Разработать типовые требования в современных условиях практически невозможно - у всех "своя свадьба". Это 20 лет назад можно было говорить о типизации. Сейчас - все уникальны.

    ОтветитьУдалить
  27. Анонимный26.7.11

    https://docs.google.com/viewer?a=v&pid=explorer&srcid=0B-diDhbmRj8gN2U4ZTUyZjUtZTdiNC00M2UyLTkwNGUtZDhlMmM0ZGQ2Mzg1&hl=en_US

    Если это окончательный текст, что есть синие пометки ? :-)

    ОтветитьУдалить
  28. 2Вихорев (не знаю по отчеству)
    Для сертификации по ОК разрабатывать ПЗ не обязательно а вот ЗБ нужно!
    Так это же здорово указываем соответствие и степень соответствия профилю указываем Угрозы и меры противодействия и плюсуем лучшие практики из набора ФБО. плюс в зависимости от ОУД документация и методы контроля! И документ открытый - потребитель - архитектор СЗИ системы сразу видит что ему нужно или не нужно! А если не видит пусть ищет новую работу!

    Все очень грамотно!

    ОтветитьУдалить
  29. 2 алексей
    Что значит скажи сертификаторам! Я они и есть с 14летним стажем и через мои руки в 3 системах сертификации прошло более 150 сертификатов! И поверь мне ни за один не стыдно!..
    Потому и предлагаю!

    Насчет показательной для виндоуз - дык а кто спрашивать будет Ваше мнение ?
    Далее ОК видимо не все понимают достаточно - делайте свои ФБО ОК позволяют максимально формализовать как формирование требований так и оценку - так что "конструктив" не принимается ;)

    Извините - насечет типовых так же не правы и можно перейти на личности: не вполне компетентно ваше утверждение!

    Насчет виндов - что тут скажешь если до сих пор при требовании сертификата в конкурсах подкладывают гигиенические сертификаты!!!
    Вот Вы же так сказать пошли в народ - неужели вы не видите что компетентных специалистов у нас очень мало : катострофически мало- островки!

    ОтветитьУдалить
  30. Да, если конкретный потребитель хочет своего он может:
    1 сделать сам
    2 заказать сделать
    3 отказаться от своего в пользу типового или изменить свою архитектуру

    ОтветитьУдалить
  31. Революционный в плане того что ОК были внедрены сверху а не в результате шумихи в интернете!

    ОтветитьУдалить
  32. И уж так случилось что ни разу не брал и не давал!

    ОтветитьУдалить
  33. Евгений. Ты честный человек, я это знаю, потому и общаюсь с тобой нормально и откровенно. Давай оставим бла-бла-бла. Скажи мне, смог бы ты выявить в DeviceLock ту самую уязвимость в процессе сертификационных (!) испытаний и выдать ему сертификат?

    ОтветитьУдалить
  34. > гигиенические сертификаты!!!

    Это жесть :))))

    > ОК были внедрены сверху

    Евгений, ну не вижу я революции, хоть убей :( Давай может и вправду "проиграем" кейс с сертификацией?

    ОтветитьУдалить
  35. >Вихорев комментирует...
    >Ст. 25. часть 1. "Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования."

    Это касалось 152-ФЗ.
    По 261-ФЗ 2011 года см. http://www.rg.ru/2011/07/27/dannye-dok.html
    //Опубликовано 27 июля 2011 г.

    Статья 3

    1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

    2. Действие положений Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года.//

    Т.ч. кроме части 2.1 ст.25 действует в ПОЛНОМ объеме с 01.07.2011

    ОтветитьУдалить
  36. Вихорев27.7.11

    Родыгину:
    "Да, если конкретный потребитель хочет своего он может:
    1 сделать сам
    2 заказать сделать
    3 отказаться от своего в пользу типового или изменить свою архитектуру"

    Вот то-то и оно. Либо сделать свое, либо постараться подстроиться под ТИПОВОЙ профиль.

    В персом случае это дорого (надо платить не только за сертификацию, но еще и за ЗБ (ПЗ), а во втором случае - перстраивать свою ситему под типовую. Вот и получается, что для сситем, имеющих ТИПОВОЙ ПЗ (ЗБ) сертификация по ОК - выгодна.

    " ...архитектор СЗИ системы сразу видит что ему нужно или не нужно! А если не видит пусть ищет новую работу!"

    Это, конечно, замечательно! Но дело в том, что архитектору, что бы выбрать ПРАВИЛЬНЫЙ профиль, надо пересмотреть и разобраться в большом количестве аналогичных профилей и сопоставить их со своими угрозами. Это реально, но занимает либо много времени, либо много денег. Поэтому архитектору ПРОЩЕ написать (заказать) СВОЙ специальный профиль. Ну вот он его получил, дальше что? Кто с кажет что то средство, которое есть на рынке СООТВЕТСТВУЕТ этому профилю? Конечно сертификатор. Значит надо ОПЯТЬ сертифицировать то, что УЖЕ прошло сертификацию по другому профилю. А это все время и деньги...

    Другой вариант, если под те уровни защищенности ПДн, которые будут устанавливаться Правительством, требования по защите будут выражены в форме ПЗ (угрозы безопасности же тоже готовят федералы) - вот тогда можно сертифицировать и применять СЗИ на любом объе5кте

    ОтветитьУдалить
  37. Вихорев27.7.11

    toparenko:
    Наверное, Александр, Вы правы... Не доглядел... Действительно дполучается, что действует с 1.07.2011.

    ОтветитьУдалить
  38. > сертифицировать и применять СЗИ на любом объе5кте

    Не на любом, а на типовом, соответствующем уровню.

    ОтветитьУдалить
  39. Вихорев27.7.11

    Да, конечно ...

    ОтветитьУдалить
  40. Вот теперь весь вопрос в том, насколько адекватный подход будет применен к разработке этих самых "уровней". Если такой же, как в "приказе трех" - про дальнейший адекват можно забыть. Безальтернативно вернемся к несуществующим в природе типовым ИСПДн.

    ОтветитьУдалить
  41. Вихорев27.7.11

    Согласен. Адекватность сейчас важна. Но если для нарезки уровней будут использованы ПРАВИЛЬНЫЕ критерии, то и типизпция пройдет правильно. А защищаться по типовой схеме всегда дешевле, чем по индивидуальной. Костюм от Кардена всегда будет дороже, чем от Москвашвея. Думаю, что в нормативных документах Правительства, разрабатываемых по этому закону, должна быть заложена необходимость разработки частных моделей угроз для конкретных объектов, которая и позволит актуализировать угрозы, исключить (через доказательство) неактуальные и определить оптимальный набор требований (в принципе, это логика ГОСТ/ИСО МЭК 15408: угрозы есть, но меры по их устранению можно и не применять, если доказано, что на данном конкретном объекте эта угроза не актуальна).А с учетом того, что Д. Медведев подписал указ, который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность - это не какая-то маниловщина, а вполне реальное дело...
    Об этом я и писал в своем письме.

    ОтветитьУдалить
  42. Сергей Викторович! Я вас умоляю, какая адекватность! Более года согласовывали поправки в 152, а приняли ... Будет тоже самое, экспертов привлекут, бизнес поучаствует, а Васька слушает, да ест.

    ОтветитьУдалить
  43. Вихорев27.7.11

    История с поправками напомнила мне эпизод замечательного мультфильма по Простоквашино. Помнте, когда Дядя Федор писал письмо родителям, а Кот Матроскин и Шарик его дописывали … В результате получилось, что у Дяди Федора все в порядке, только лапы ломит и хвост отваливается, а еще повысилась лохматость.

    ОтветитьУдалить
  44. Не, не так. Дядя Федор писал, Шарик дописывал, а Матроскин выкинул то что они писали и написал свое.

    ОтветитьУдалить
  45. Алексей. Революционность в том, что были внедрены топовые практики международные и сверху. Но не прижились и это показательно.
    По поводу девайса - не факт что выявил! Помнится в 90х продавался диск с виндой нт и написано что мол самая надежная безглючная и тп. Но ниже приписано что там еще 3 сервиспака устраняющие порядка 2000 багов уязвимостей и тп!
    Выявить все баги невозможно но меня смущает отсутствие реагирования! Где твое письмо в фстэк и разработчику и в ИЛ о найденном баге? Где разборки о том что методики были слабые или просто халатность? Где приостановка сертификата? Где обновление по повторная сертификация и обновление по покупателям?

    По поводу ОК - если разработчик СрЗИ не может написать ЗБ то извините как он разрабатывал свою поделку???
    Угрозы не учитывал и не может их описать?
    Не может указать объекты защиты? Угрозы и функции противодействия? Не может определить граници своего средства ограничения по использованию и тп!!!!
    У меня порядка 70 процентов работы это помощь заявителю в приведении его изделия в порядок и могу книжку написать по теме как делаются такие поделки...
    Простой вопрос ставит в ступор заявителя и звучит так:
    - вы сами уверены что ваше изделие работает и соответствует требованиям?
    Почему сертификация дорогая - да потому что ИЛ приходится делать работу которую заявитель не делал! И при выявлении багов порой катострафических разработчику нужно переделывать изделие под контролем ИЛ и платить за повторные испытания!
    вообще настоящая сертификация не имеет отношения к доверию потребителя! Это контроль выполнения требований и боьшая работа по устранению недостатков!
    Если нужно доверие и на его основе рынок - это давайте создавать например КАСКАД.

    ОтветитьУдалить
  46. > Где твое письмо в фстэк и разработчику и в ИЛ о найденном баге?

    Тестировалась несертифицированная версия, скачанная с сайта производителя.

    > Но не прижились и это показательно.

    Точно

    > ИЛ приходится делать работу которую заявитель не делал!

    + стопицот! Я давно уже талдычу о том, что обязанности по сертификации необходимо возложить на производителя. Хотите продаваться на территории РФ? Пожалуйста - сертифицируйтесь. Так же СО ВСЕМ происходит, кроме СЗИ.

    ОтветитьУдалить
  47. Уже опубликовали в РГ http://www.rg.ru/2011/07/27/dannye-dok.html

    ОтветитьУдалить
  48. Вихорев27.7.11

    Е. Родыгину.

    "По поводу ОК - если разработчик СрЗИ не может написать ЗБ то извините как он разрабатывал свою поделку???
    Угрозы не учитывал и не может их описать?"

    Дык, разработчик СЗИ и разработчик ИС - суть разные вещи! Разработчик СЗИ описывает свои "гипотетические" угрозы, а разработчик ИС - те, которые есть на его конкретном объекте. И они часто не совпадают! В свое время, когда я курировал сертификацию, мне задали вопрос: "А можно просертифицировать По на НДВ, если в нем 45 дыр?" Ответ: "Можно, если все 45 дыр задокументировать и описать! Главное, что бы о них знал потребитель" Вот так-то.

    " Если нужно доверие и на его основе рынок - это давайте создавать например КАСКАД"

    Да было это уже! и АДЭ и ЕВРААС в свое время пытались внедрить ДОБРОВОЛЬНУЮ систему сертификации. Не идет туда производитель - стимула нет. Стимул (от лат. stimulus, буквально — остроконечная палка, которой погоняли животных, стрекало), побуждение к действию, побудительная причина поведения.

    ОтветитьУдалить
  49. > побудительная причина поведения.

    ИМХО такой причиной как раз и должна являться законодательная мера о сертификации СЗИ для обращения на территории РФ продавцом или производителем. Как с сотовыми телефонами например и много чем еще.

    ОтветитьУдалить
  50. 2 Вихорев
    Дык если разработчик СрЗИ не учитывает потребности рынка то у него покупать никто не будет! Это его забота делать потребляемый продукт!
    Я же говорю про разработчика который пишет свое по наколенке не применяет никаких методов проектирования тестирования и даже толком описать не может то что сделал... И сам не знает соответсвует чему то или нет. Потому и сертификация превратилась из независимой оценки в аутсорсинг по доработке формированию и легализации продукции!

    Архитектор ИС в защищенном исполнении должен глубоко понимать что он делает что он будет использовать и как...
    КАСКАД это не совсем то что делал евраас если мы говорим о сертификации как о системе формирования доверия как элемента рынка ИБ. То действовать нужно иначе.

    Про 45 дыр проведем аналогию!
    Сертификация как я уже отмечал это Контроль соответствия требования. Если в требованиях написано что есть то есть проверено!
    Например в палке колбасы должно быть 5 гвоздей и 2 шурупа и если они есть то проверка прошла успешно!
    У нас же почему то принято считать что наличие сертификата подтверждает что колбасу есть можно - можно при ограничении что сначала нужно вытащить все гвозди!!!
    Все ! Простых решений не будет нужно разбираться специалистам по иб в своей области!

    ОтветитьУдалить
  51. Что простых решений нет - это верно. Визу и Мастер интересует соответствие P- DSS, а мы гтовы отказаться от них? с их криптой и проча.

    ОтветитьУдалить