"Российское законодательство принуждает коммерческие компании и государственные структуры использовать чрезвычайно затратный, запутанный и противоречивый механизм защиты персональных данных. В тонкостях закона разбираются только специализированные структуры, близкие, как правило, к силовым ведомствам. Коммерческие, а зачастую и государственные учреждения не в состоянии обеспечить его выполнение самостоятельно.
Фактически в России работает огромный по своей денежной емкости рынок информационной безопасности, ежегодный рост которого обеспечивается соответствующими законами и постановлениями. При этом собственно безопасность весьма далека от совершенства, так как «защита» зачастую сводится к подготовке требуемых документов и знакомству с «правильными» людьми, которые за известное вознаграждение выдадут все требуемые лицензии и сертификаты.
Следует отметить, что известны лишь единичные случаи утечки ценной корпоративной информации при помощи недружественных проникновений в российские информационные системы. При этом базы данных МВД, ГИБДД, ФНС и прочих государственных структур вполне открыто может приобрести любой желающий. Одно время лоток с такими базами стоял прямо напротив здания ФСБ на Лубянской площади в Москве...
Вопрос управления рисками информационной безопасности действительно очень сложен, раскрыть его полностью в формате небольшой статьи трудно. Но стоит подумать, можно ли в масштабах страны доверять это управление специалистам, два десятилетия посвятившим попыткам превращения иностранных операционных систем общего назначения с закрытым кодом в нечто «очень защищенное» с помощью «сертифицированных средств», а наиболее вероятными векторами атаки считающим побочные электромагнитные излучения и уязвимость в алгоритмах шифрования? Это вопрос риторический, даже если оставить в стороне их личную заинтересованность.
Чем же, собственно, плоха сертификационная система «по-русски» (и не только «по-русски», просто у нас проблемы приобретают наиболее гротескные формы)? Казалось бы, идея правильная – закрыть дорогу некачественным продуктам и решениям. Увы, в отечественных реалиях все работает наоборот. Процесс сертификации программных продуктов очень сложен, часто сертификация затягивается на месяцы, если не на годы. Поэтому преимущество в использовании государственными органами – у тех продуктов, которые уже сертифицированы. Новым качественным продуктам дорога в госсектор закрыта, пока нет сертификации.
Затем возникает другая проблема. Гораздо сложнее и дороже аттестовать систему, построенную на основе более защищенной, но менее распространенной архитектуры, чем на основе стандартных «кирпичиков»: вот тут у нас Windows, вот сертификат, вот тут у нас сертифицированный антивирус – вот сертификат, а вот – очередное сертифицированное «средство защиты информации», магическим образом делающее всю систему очень безопасной. Таким образом, каждый компонент системы «закрыт» всеми необходимыми документами, но не в комплексе. Кроме того, сертификаты дают ложное чувство безопасности и вполне реальное чувство безнаказанности: с кого спросить, если что? Все сертифицировано соответствующими государственными учреждениями – значит, спросить не с кого."
www.globalaffairs.ru/number/Kiberugrozy-realnye...
мило.
Фактически в России работает огромный по своей денежной емкости рынок информационной безопасности, ежегодный рост которого обеспечивается соответствующими законами и постановлениями. При этом собственно безопасность весьма далека от совершенства, так как «защита» зачастую сводится к подготовке требуемых документов и знакомству с «правильными» людьми, которые за известное вознаграждение выдадут все требуемые лицензии и сертификаты.
Следует отметить, что известны лишь единичные случаи утечки ценной корпоративной информации при помощи недружественных проникновений в российские информационные системы. При этом базы данных МВД, ГИБДД, ФНС и прочих государственных структур вполне открыто может приобрести любой желающий. Одно время лоток с такими базами стоял прямо напротив здания ФСБ на Лубянской площади в Москве...
Вопрос управления рисками информационной безопасности действительно очень сложен, раскрыть его полностью в формате небольшой статьи трудно. Но стоит подумать, можно ли в масштабах страны доверять это управление специалистам, два десятилетия посвятившим попыткам превращения иностранных операционных систем общего назначения с закрытым кодом в нечто «очень защищенное» с помощью «сертифицированных средств», а наиболее вероятными векторами атаки считающим побочные электромагнитные излучения и уязвимость в алгоритмах шифрования? Это вопрос риторический, даже если оставить в стороне их личную заинтересованность.
Чем же, собственно, плоха сертификационная система «по-русски» (и не только «по-русски», просто у нас проблемы приобретают наиболее гротескные формы)? Казалось бы, идея правильная – закрыть дорогу некачественным продуктам и решениям. Увы, в отечественных реалиях все работает наоборот. Процесс сертификации программных продуктов очень сложен, часто сертификация затягивается на месяцы, если не на годы. Поэтому преимущество в использовании государственными органами – у тех продуктов, которые уже сертифицированы. Новым качественным продуктам дорога в госсектор закрыта, пока нет сертификации.
Затем возникает другая проблема. Гораздо сложнее и дороже аттестовать систему, построенную на основе более защищенной, но менее распространенной архитектуры, чем на основе стандартных «кирпичиков»: вот тут у нас Windows, вот сертификат, вот тут у нас сертифицированный антивирус – вот сертификат, а вот – очередное сертифицированное «средство защиты информации», магическим образом делающее всю систему очень безопасной. Таким образом, каждый компонент системы «закрыт» всеми необходимыми документами, но не в комплексе. Кроме того, сертификаты дают ложное чувство безопасности и вполне реальное чувство безнаказанности: с кого спросить, если что? Все сертифицировано соответствующими государственными учреждениями – значит, спросить не с кого."
www.globalaffairs.ru/number/Kiberugrozy-realnye...
мило.