Информационная безопасность Российской Федерации или что показали события 29 марта?

У информационной безопасности есть несколько аспектов. Первый, который мы часто обсуждали на этом блоге, связан с информационной безопасностью как с состоянием защищенности каких-то сведений. Второй же связан с информационной безопасностью как с состоянием защищенности интересов в информационном пространстве.

Вот как раз второй аспект я предлагаю обсудить.

По какой-то причине воспринял все произошедшее 29 марта очень близко к сердцу. Может быть от того, что появлялся на этих станциях иногда до 4 раз за день? Не знаю. Однако сегодня после работы купил цветы и заехал на обе станции…

В прошедшие 2 дня, постоянно мониторил СМИ на предмет новых сообщений. И сегодня хотел бы поделиться своими наблюдениями в подаче материала разных частей глобального информационного пространства.

Для простоты я поделил СМИ на российские и западные+оппозиционные. Конечно, не очень корректно ставить российские СМИ в противовес западным, но в предлагаемом приближении это хорошо покажет основное принципиальное отличие в подаче материала.

29 марта:

Все российские ТОР-овые, в плане рейтинга, СМИ описывали случившееся как большую беду, информировали и старались снизить «градус напряжения». Другими словами делали все, чтобы не создавать паники и не провоцировать межнациональные конфликты (особенно мощно муссировалась информация о женщинах славянской внешности, что серьезно этому способствовало). Если обратите внимание, национальность преступников или разговоры о неком «следе» были для журналистов почти табу в тот день.

В это же самое время некоторые западные СМИ почти взрываются упоминанием самых неспокойных регионов России, напрямую указывая на вероятных преступников и причины их действий. Появляются комментарии некоторых западных «экспертов», которые высказываются о неспособности российских властей защитить своих граждан. Некоторые информационные агентства публикуют сообщения о якобы мольбах некоторых российских граждан к власти с просьбой объявить о независимости некоторых субъектов федерации. На страницах авторитетных изданий появляются даже бредовые требования граждан, например, «обнесения некоторых территорий России высокой стеной с целью снижения угроз исходящих от их жителей». Одним словом нагоняется страх и паника всеми возможными способами.

30 марта:

В российских СМИ появляются должностные лица и политики рассказывают о случившемся, Представители власти посещают станции, общаются с пострадавшими и очевидцами. Выступают представители всех религиозных конфессий с осуждением акций. Называются более точные сценарии случившегося. Идут кадры из церквей и мечетей, а также с места происшедшего. Рассказывают о возможности получения психологической помощи простым гражданам. Идут репортажи о необходимости повышения безопасности на транспорте. С такими же инициативами выступают высшие чиновники и т.д.

Западные и оппозиционные СМИ продолжают начатое днем ранее только теперь их эксперты предрекают повторение событий 29 марта, постоянно цитируют первых лиц об уничтожении виновных и много чего еще, даже продолжать не хочется…

Различия в использовании информационного потенциала налицо. Лично мне, как гражданину, не нравится когда меня пытаются запугивать или забрасывают информационным мусором (вроде просьбы о независимости или стенах вокруг субъектов федерации). Скорее всего, это не нравится и остальным. Все таки существует грань между информированием и информационной атакой, это разные вещи, но то, что выдавали некоторые западные информагентства больше похоже именно на информационную атаку.

Лично я был уже в подземке, когда узнал о случившемся, черт возьми, это страшно!

НО!!!

Отступим на секунду от темы. За 10 лет на дорогах в России погибло 300 тыс. человек, т.е. в среднем 82 человек КАЖДЫЙ ДЕНЬ! По данным ГИБДД иногда количество жертв на дорогах достигает 300 человек в день. Но нас пугают именно трагедии на станциях и в переходах. Именно этого мы боимся. Причины не важны, но информационный повод о 3-х сотнях человек на дорогах — ничто по сравнению с 39 в подземке. Это факт. Информация подобная случившемуся 29 марта превращается в полноценное оружие, которым не грех воспользоваться против стратегического соперника, коим мы являемся для некоторых более эффективных на информационном пространстве игроков.

Какие выводы из всего вышесказанного можно сделать?

Несколько тезисов:

  • Россия живет в очень агрессивном информационном пространстве;
  • Наше влияние на это информационное пространство начинается и заканчивается в пределах границ РФ;
  • Влиять на внешние авторитетные СМИ Россия не может, но и на внутреннее информационное пространство реактивные СМИ не пускает;
  • Приоритет обеспечения информационной безопасности государства очень быстро растет.

Вот такой необычный получился пост. Хочется надеяться что больше таких не будет.

Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…

Что изменилось области персональных данных для: Операторов персональных данных?

Сегодня затрону самую важную, на мой взгляд, тему последних недель в части персональных данных. Что изменилось для операторов после последних активностей ФСТЭК?

А изменилось очень многое. И, на мой взгляд, в лучшую сторону.

Пойдем по порядку. После отмены двух документов ушел вопрос:

Аттестации. И это хорошо, уж слишком безосновательным было проведение аттестации для защиты персональных данных. По крайней мере, в существующем виде.

Лицензирования. Лицензия ФСТЭК на техническую защиту конфиденциальной информации совершенно однозначно не нужна организациям, которые проводят работы по технической защите персональных данных внутри своей собственной компании.

Сертификация. А вот тут все значительно интереснее. Споры на счет использования сертифицированных средств идут до хрипоты в голосе. Теперь контроль отсутствия неделарированных возможностей остался только для систем К1, коих в реальных проектах не так много. Контроль отсутствия НДВ в более низких классах точно не нужен. А вот теперь появляется по меньшей мере 3 мнения:

  • 1) Для защиты персональных данных необходимо использовать только сертифицированные средства защиты. Сейчас требования смягчили, но могут скоро вернуть, поэтому нужно подстраховаться и применять только сертифицированные СЗИ.
  • 2) Для построения системы защиты персональных данных, можно использовать технические средства прошедшие сертификацию ФСТЭК по техническим условиям (ТУ).
  • 3) Для защиты персональных данных можно использовать любые средства защиты.

Все три мнения реально присутствуют на рынке.

Если первое мнение звучит неубедительно, то второе более чем. Дело в том, что в знаменитом Постановлении правительства №781 в пункте 5 написано:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Единственной реальной процедурой оценки соответствия является сертификация. Поэтому мы можем выбрать самую простую систему сертификации и сертифицировать свое средство защиты. Проще всего сертифицировать на ТУ. По-русски говоря, проверить, что антивирус — ищет вирусы, а средство шифрования — шифрует. И все. Есть сертификат, значит, формальное требование мы выполняем. Хорошее решение? Безусловно!

Однако есть еще одно мнение, к сторонникам которого отношусь я: Для защиты персональных данных можно использовать ЛЮБЫЕ технические средства защиты! Для того, чтобы обосновать данную точку зрения необходимо вернуться к тому же 5 пункту 781-го постановления:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия»

Выделил два понятия: Установленный порядок и Процедура оценки соответствия. Кто-нибудь видел этот установленный порядок? Или знает, о какой процедуре оценки соответствия идет речь? Я нет. С юридической точки зрения мне непонятно о чем говорится в этом пункте. Если установленного порядка не существует в принципе, то о чем говорить?

Поэтому до момента появления Установленного порядка и Процедуры оценки соответствия, если таковые вообще появятся, можно использовать любые технические средства, если они нужны. Если оператор будет использовать, тем не менее, сертифицированные средства защиты, то, как выразился один мой коллега: «… получит +1 к карме», не более того. А вот за счет выстраивания адекватной системы защиты исходя из актуальных угроз, он получит не просто «+1 к карме», но и «кучу экспириенса и лэвел ап».

В заключении.

Появление ясности в таких вещах как аттестация, лицензирование и сертификация является не только важной победой операторов, но и победой здравого смысла. Теперь проекты по защите персональных данных гораздо лучше согласуются с другими активностями по обеспечению информационной безопасности. Если раньше компания тратила деньги на защиту персональных данных, то ценность такого проекта для бизнеса была очень небольшой, т.к. никаких задач бизнеса этот проект не решал, то теперь проект защиты персональных данных можно красиво объединить почти с любым ИБ-проектом

Если у вас есть комментарии или вопросы, пишите их здесь, мне очень интересны ваши мысли…