Федотов Валерий Павлович (matholimp) wrote,
Федотов Валерий Павлович
matholimp

И несколько злых слов о защите информации

Разбор полетов на http://leonwolf.livejournal.com/108037.html :

""После обсуждения в теме про персональные данные, я понял, что в целом уровень общего понимания в вопросах защиты информации у нас в обществе, в том числе и в среде ИТшников, невысок. Люди не понимают, что и зачем происходит. ...
Рынок информационной безопасности в России - это что-то около 20-30 миллиардов рублей в годовом исчислении; растет он на каких-то антикризисных дрожжах, процентов на 80 в год, и останавливаться не собирается. ...
ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю) являются контролирующими органами в сфере информационной безопасности: они выдают лицензии на право работы в этой сфере, устанавливают требования к информационным системам и их владельцам, аккредитуют аттестационные центры, которые получают право проверять информационные системы на соответствие этим требованиям. ФСБ в основном контролирует программные средства защиты, ФСТЭК - технические. Когда дело доходит до сложных информационных систем, в которых защита осуществляется как программными средствами (например, средствами шифрования), так и техническими (например, межсетевыми экранами), то, естественно, система попадает в поле зрения обоих регуляторов. ...
Декларируемая цель у всего этого хозяйства очень благая - повысить защищенность информационных систем, эксплуатируемых в России. Но достигается ли эта цель? Давайте попробуем разобраться. Не надо быть специалистом по защите информации, чтобы суметь понять четыре базовых принципа - очень простых! - на которых держится вся эта дисциплина.

Принцип 1. Модель защиты должна быть адекватна модели угроз. Другими словами, если данные никому не нужны - то не надо их защищать. Если данные стоят 10 рублей - то нет смысла тратить 11 рублей на систему их защиты. Если потенциальный злоумышленник может в другом месте получить эти же данные за 100 рублей, то достаточной будет такая система защиты, преодоление которой обойдется в 101 рубль.
Принцип 2. Ответственность за безопасность данных лежит на их владельце. Другими словами, никто и никогда (кроме, может быть, закрытого перечня понятных исключительных случаев, хотя представить себе такой случай довольно трудно) не вправе навязывать мне, как мне защищать мою информацию, и защищать ли вообще. В частности, я всегда вправе делегировать обработку своей информации третьему лицу, и уровень защиты - это дело нашей с этим третьим лицом договоренности.
Принцип 3. Не менее 95% угроз исходит от инсайдеров. Другими словами, гениальные пятнадцатилетние хакеры, ломающие системы банков с помощью айфона и магического знания, существуют только в кино и в падких на сенсации СМИ. Нет, ну конечно, в реальной жизни тоже - иногда - ну так и самолеты иногда падают, от чего нормальные люди не перестают на них летать. А вот инсайдеры - сотрудники той структуры, в которой происходит обработка защищаемой информации, и которые могут иметь к ней доступ по должности - очень даже существуют, и, главное, защититься от них во много раз труднее, чем от юных хакеров.
Принцип 4. Информационных систем, защищенных на 100% не бывает. Точнее, бывают, конечно - полностью выключенные. Если система работает и обрабатывает информацию, то эту информацию можно из нее достать. Вопрос в цене, в сроках... но принципиально - всегда можно. Следует ли из этого, что надо возвращаться в каменный век (как, кстати, на полном серьезе призывали некоторые комментаторы поста про ПДн: "Ну и что, что для больниц невыполнимы требования 152-ФЗ? Пусть обрабатывают информацию на бумаге!")? Конечно, нет! Из этого следует совсем другое:
а) Не имеет никакого смысла доводить до абсолюта систему априорных требований к информационной безопасности; все равно от всех бед не защититься. Должен соблюдаться "принцип разумной достаточности" - надо приложить те 20% усилий, которые обеспечат 80% защищенности, и хорошенько подумать насчет всего остального.
б) Зато должна развиваться технология апостериорных разборок. Если произошла утечка, то надо уметь установить, кто был виноват, и наказать его по всей строгости, так, чтобы и другим было неповадно - это очень повышает общий уровень защищенности.
в) И, наконец, должно развиваться страхование информационных рисков. Практически каждую утечку информации можно оценить в терминах материального и морального ущерба конкретным лицам; размер ущерба может быть установлен соглашением сторон или решением суда. Соответственно, утечек не надо бояться как абсолютного зла, а надо уметь защищаться от них путем компенсации того ущерба, который они наносят.

Грустная правда состоит в том, что вся существующая (и последовательно развивающаяся!) система законодательного регулирования в сфере защиты информации в России напрочь противоречит каждому из четырех перечисленных выше принципов. Вот прямо по порядку:

1. Существуют типовые модели защиты, построенные на базе типовой модели угроз. Владелец информационной системы, по сути дела, лишен возможности в широких пределах определить модель защиты исходя из собственных предположений о модели угроз, но должен выбрать одну из типовых, основываясь на формальных признаках. Выполняются такие-то условия? Все, приехали, класс 1В (1Г, КС2...), такие-то и такие-то сертифицированные средства, миллионы рублей и т.д., вне зависимости от реальных проблем в данной конкретной информационной системе. И наоборот! Можно формально пролезть под низкий класс защиты (а затраты большие, и все пытаются это сделать) - молодцы, пролезаем, аттестуемся, вне зависимости от внешних угроз, опять же.
2. Этот принцип попран и растоптан как только можно. Владельцу информации сплошь и рядом навязывают определенную степень защиты против его воли, и сурово наказывают его за "нарушения". Получается очень смешно: например, все акционерные общества обязаны публиковать свою бухгалтерскую отчетность, но в системе сдачи ее в налоговые органы по каналам связи, с другой стороны, эту же отчетность обязаны шифровать только таким и сяким образом, тратя на это свои деньги. Из-за этого тоже не развиваются нормальные механизмы страхования рисков, из-за этого не развивается рынок аутсорсинга услуг в сфере ИБ. В марте этого года мы были с коллегами на CeBIT, и нас просто шокировала конфигурация рынка услуг информационной безопасности в Германии: оказывается, доминирует мнение, что шифрование, ЭЦП и так далее - это все "очень сложно" для конечного пользователя (бухгалтера предприятия и т.п.), и что не надо заниматься этим на предприятиях, а надо аутсорсить в специализированные фирмы, которые оказывают эти услуги массово и дешево. Если вдуматься - абсолютно правильный подход! И совершенно неприменимый в условиях отечественной методологии, для которой передача закрытого ключа третьему лицу - это что-то пострашнее зоонекропедофилии. В мире как-то меньше заморачиваются за это дело, а больше - за базовый принцип гражданского законодательства, согласно которому я могу кому угодно делегировать что угодно, естественно, оговорив при этом права, обязанности и взаимную ответственность. Наше же законодательство в сфере защиты информации рассматривает конечного пользователя как дитя неразумное, которого надо оградить искусственными барьерами от злого внешнего мира. Итог: у нас и бухгалтер предпенсионного возраста знает, что такое закрытый ключ, открытый ключ и сертификат. Когда у меня была "Ока", я тоже умел продувать жиклер карбюратора, ага. Кому от этого лучше-то?
3. Этот основополагающий принцип нашей методологией просто игнорируется. Нельзя сказать, что фокус сделан только на защиту от внешнего мира, но основные затраты, все же, предлагается делать именно на такую защиту (от железных дверей до межсетевых экранов). Организационным мерам уделяется много внимания (комплект организационно-распорядительной документации, который должен быть разработан - для этого есть тоже специальные, "правильные" консультанты! - в организации, котороая занимается оказанием услуг в сфере ИБ - это десятка два пухлых папок), но только не совсем тем организационным мерам. Как должно быть устроено подразделение информационной безопасности в плане оргштатной структуры - да. Как сделать так, чтобы сисадмин не был заинтересован в копировании базы, к которой он имеет прямой доступ - нет.
4. Ну и главная ошибка заключается именно в том, что вся методология прямо рассчитано на построение систем, защищенных на 100%, то есть систем, в которых обращается актуально бесценная информация. При этом навязываются совершенно анекдотические средства защиты: например, оператор информационной системы должен ставить рядом с серверной стойки средства ПЭМИН (противодействий электромагнитным и индукционным наводкам, как-то так это расшифровывается), антенну с усиками, которая стоит десятки тысяч рублей, и якобы глушит наводки. Все, конечно, классно, но только никакую информацию с работающего сервера ни по каким наводкам получить невозможно; наводки - это в чистом виде разводка. Подход, нацеленный на 100%-ную защищенность, скопирован из сектора гостайны, и совершенно неприменим к бизнес-сектору, где любая информация имеет (иногда трудно определяемую) конечную ценность.
Результат - противоречивые требования, которым, на самом деле, может удовлетворять только выключенная система. Результат - крючок, за который, при желании, можно зацепить любого оператора систем информационной безопасности.
...
Резюме. Система законодательного регулирования в области защиты информации, не составляющей государственной тайны в России как минимум на 99% не способствует реальному повышению защищенности информации и предназначена для извлечения доходов структурами, аффилированными с контролирующими органами.
Tags: it
Subscribe

promo matholimp november 26, 17:30 55
Buy for 10 tokens
Дистанционное обучение внезапно оказалось в тренде. Поэтому пишут о нём сейчас все, кому не лень, вплоть до вездесущего Онищенко. В итоге громкое большинство минимум в 99% составляют публикации несведущих профанов. А 9 из 10 написанных педагогами статей о дистанционном обучении явно свидетельствуют…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment