среда, 7 сентября 2016 г.

Исключительно автоматизированные штрафы


Недавние скандалы со штрафами за пересечение тенью автомобиля сплошной линии разметки приоткрыли завесу над тем, кто на самом деле принимает решение о наложении штрафа. В «письмах счастья», которые получают водители, написано, что решение о наложении штрафа принял, якобы, старший лейтенант Пупкин. И даже факсимиле подписи Пупкина там имеется. На деле же, как видим, решение принимает сама система. То есть автоматически. Или как написано в законе «О персональных данных», «исключительно автоматизировано».
А что еще по этому поводу написано в законе?

воскресенье, 3 июля 2016 г.

Обязательные справочники


Итак, свершилось: с 1 июля вступили силу ряд статей ФЗ «О стандартизации в Российской Федерации» (162-ФЗ). Следовательно, с 1 июля документы по стандартизации «в отношении продукции (товаров, работ, услуг), используемой в целях защиты сведений, составляющих гос. тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа» применяются по принципу обязательности. Как это обычно бывает, после введения новой законодательной нормы возникает ряд вопросов

понедельник, 15 февраля 2016 г.

Всё начнется с начала


О прошедшем на прошлой неделе ТБ-форуме коллеги уже рассказали (и, надеюсь, расскажут еще).
Приятно, что ФСТЭК делится с общественностью своими планами и просто точкой зрения.

В практике исполнения Приказа №17 накопилось много вопросов, на которые нет ответов в нормативке, а обещанные еще в 2013 (!) году методички так и не появились.
Что имеем на практике?
По-прежнему нет внятного ответа на пресловутый вопрос «что такое ГИС?», есть только мнения управлений ФСТЭК по федеральным округам (причем, мнения эти могут меняться). Планируемые поправки в 149-ФЗ может и внесут ясность в этот вопрос, но создадут другой: где взять деньги на аттестацию всего и вся? Надежды на то, что низший класс ГИС можно будет аттестовать «проще» вряд ли обоснованы: те же руководители управлений ФСТЭК в ФО займут позицию «Никаких низших классов, аттестовать все по максимуму. Это же госинформресурс!».

понедельник, 11 января 2016 г.

Роль и место ИБ в новой Стратегии нац. безопасности РФ


В канун Нового года Президент утвердил новую Стратегию национальной безопасности РФ (взамен Стратегии НБ РФ до 2020 г, т.е. 2020 года решено не дожидаться). Вообще-то эксперты предрекали утверждение новой Доктрины информационной безопасности, но Президент, как водится, поступил неожиданно, хотя и более логично: Доктрина ИБ должна вытекать из Стратегии НБ, а не наоборот.
Поскольку информационная безопасность – одна из компонент нац. безопасности, в «Стратегии …» можно найти несколько пунктов, прямо или косвенно относящихся к вопросам ИБ. Давайте вкратце посмотрим, что говорит «Стратегия …» об ИБ, а заодно и об информационных технологиях.

среда, 26 августа 2015 г.

А почему нельзя?


Специалисты уже давно и много говорят о том, как нехорошо, когда госчиновники используют для служебной переписки зарубежные почтовые сервисы. А сегодня, выступая во Владивостоке, об этом в очередной раз повторил и секретарь Совбеза РФ. И даже призвал наказывать чиновников за пользование Google, Yahoo, WhatsApp и других вредоносных сервисов.

С точки зрения ИБ, г-н Патрушев абсолютно прав: из каждого американского софта торчат (ну, или потенциально могут торчать) уши Обамы. С этим не поспоришь. А как обстоит дело в юридической плоскости? Что нарушает чиновник, заводя себе почту на gmail.com? Какие сведения могут стать доступными врагу?

четверг, 16 июля 2015 г.

Новые требования к ГИС


Не смотря на ряд  публикаций коллег на тему «Что такое государственная информационная система» и «чем отличается ГИС от обычных ИС», понятие «ГИС» по-прежнему остается достаточно размытым. Ряд специалистов и многие представители регуляторов (ФСТЭК, Минкомсвязи) по-прежнему считают, что любой компьютер, купленный за бюджетные деньги, есть ГИС. Доказать обратное, опираясь на ФЗ-149 – сложно, а на Постановление Правительства 2012 г №644 – и вовсе невозможно. Совсем недавно обучавшиеся у меня  коллеги из Дальневосточного ФО говорили, что местная ФСТЭК считает все информационные системы государственных и даже муниципальных (!) органов ГИС-ами и, как следствие, требует привести их в соответствие Приказу 17. Почему требует, она, конечно, не объясняет.

воскресенье, 5 июля 2015 г.

ГИС, ПЭМИН и иностранные спецслужбы


С высоких (и не очень) трибун представители ФСТЭК не раз заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а необходимость такой защиты целиком определяется наличием актуальной угрозы. Об этом не раз писали и коллеги в своих блогах.

Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно требует (см. п.25): «Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом».