Использование одинаковых систем защиты персональных данных

В контексте обсуждения нового российского закона о защите персональных данных теперь сетуют, что использование общих (предписанных законом) схем защиты информации, якобы, делает всю систему более уязвимой. Довольно странно это слышать.

Давайте предположим, что многие организации используют равно одну и ту же систему защиты (хотя, в законе речь о несколько другой ситуации, но в нашем случае не так это важно). Да, очевидно, если в этой системе есть грубая типовая уязвимость, то её можно применить “на всех пользователей” по шаблону. Всё, типа, плохо. Примерно так и рассуждают. Но ведь из банального наблюдения “о шаблоне” вовсе не следует, во-первых, что тиражируемая уязвимость обязательно есть в предложенной стандартной системе; и, во-вторых, что “самопальные” системы, сконструированные вне предписанных рекомендаций, не будут содержать уязвимостей.

Более того, уязвимости в стандартной системе (схеме), не обязательно являются легко тиражируемыми. Напротив, они могут зависеть от, так сказать, окружения и условий эксплуатации. А в “самопальной” системе защиты разработчики легко наделают шаблонных уязвимостей, что регулярно демонстрируется на практике.

Другими словами, использование стандартной, рекомендованной некоторыми подзаконными актами, системы защиты информации, ну никак не добавляет уязвимостей, по сравнению с ситуацией, в которой каждый делает свой вариант. А если учитывать уровень подготовки в области ИТ и защиты информации средней компании, то станет понятно, что ситуацию вообще сложно ухудшить. (Вспомните все эти пароли в открытом виде и тому подобные неприятные фокусы.) Главное, чтобы рекомендованная система была добротной и проходила аудит.

Адрес записки: https://dxdt.ru/2011/07/27/3898/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 27

  • 1. 27th July 2011, 17:40 // Читатель зашел в гости написал:

    “Главное, чтобы рекомендованная система была добротной и проходила аудит.”

    Хотят-то всегда как лучше, а не получится ли как всегда?
    С законом не знаком. Как широко он будет распространяться? Только на гос. учереждения, или на всех?

  • 2. 27th July 2011, 17:52 // Александр Венедюхин:

    На всех. В этом и смысл.

  • 3. 27th July 2011, 18:00 // Читатель зашел в гости написал:

    понятно. опять государство загоняет всех железной рукой в счастье, то есть, в кибербезопасность…

  • 4. 28th July 2011, 09:30 // Читатель kaschey написал:

    Как пример можно привести регламентированные государством стандарты безопасности в других областях, в электротехнике, аптечку и огнетушитель в авто и т. д. Кто от них пострадал? А скольким помогло? Вооот… :-)

  • 5. 28th July 2011, 12:52 // Читатель jno написал:

    курим текст ?152-ФЗ http://fabicon.ru/files/Law/FZ-152/ и шевелим извилиной – *технически* ничего “такого” там нет. а вот организационно… применяемые решения (как минимум для отдельних классов ИСПДн) должны быть “сертифицированы”, что, в местных условиях означает “куплены КАК ЕСТЬ у указанных поставщиков”, что автоматически устраняет РЕАЛЬНЫЙ аудит и конкуренцию.
    плюс, “заточенность” под строго определённую платформу (надо ли говорить, что это – “винтел”?), жуткий “вендор локап”, *тотальность* закона (как будут жить всякие нотариусы с риэлторами? да и просто конторы, где есть хоть какой-то намёк на кадровую службу? – там же паспортные данные – как минимум! а те же интернет-магазины, которые хотят знать имя, адрес и телефон – для доставки?)

    короче, закон – полностью коррупционный.

    техническая его часть – тоже, в основном, бред сивой кобылы из мутной памяти ФАПСИ…

    странно, что на физлиц его не распространили – они ж, козлы этакие, паспорта и прочие бумажки хранят как попало, а совершенно несертифицированные замки в квартирах – чёрте-где делаются…

  • 6. 28th July 2011, 17:16 // Читатель зашел в гости написал:

    “Кто от них пострадал?”

    не путайте киберпространство с физическим. пожар в автомобиле, заправленным бензином – опасность не только его владельцу, но и мне, проходящему мимо. а вот безопасность моих личных данных – мое личное дело. это если посмотреть с философской точки зрения, в смысле чего государство должно и чего оно имеет право делать.
    с практической точки зрения закон НИЧЕГО не изменит, создав почву для коррупции. мелкие бизнесы, неспособные наладить защиту данных сегодня не смогут наладить ее и завтра – нет ни денег, ни знаний. это значит, что они либо просто будут нарушать закон, либо откупаться от проверок. про конкуренцию уже написал jno.

  • 7. 28th July 2011, 19:45 // Читатель jno написал:

    > либо просто будут нарушать закон,
    > либо откупаться от проверок

    только не “либо-либо”, а “и-и”.

  • 8. 28th July 2011, 21:01 // Читатель kaschey написал:

    Читатель jno: означает ?куплены КАК ЕСТЬ у указанных поставщиков?

    Чего за бред?
    Вполне адекватный закон. Может можно было и лучше, только вот никто не предложил ни одной фразы как именно было бы лучше. Так что нечего гундеть.

  • 9. 28th July 2011, 21:51 // Читатель зашел в гости написал:

    “Так что нечего гундеть.”

    предложение как лучше – это статус-кво. пользователи сами выбирут самый лучший сервис.
    проблема кибербезопасности – невероятно сложная. если вы читаете новости, то помните, что хакеры взламывали все – от игровых сайтов SONY до сетей Пентагона. Думаю, везде не дураки работают, а проблемы безопасности решить не могут. Вывод напрашивается один – идеального решения НЕ существует. У систем защиты данных есть степени надежности. Кто их может оценить толково? Уж точно не правительство, и не люди, лоббирующие этот закон. Затем, хорошую систему можно испортить по незнанию, а компетентный специалист и “дырявую” заставит хорошо работать.
    В итоге, когда всех под одну гребенку, окажется, что годами работающие системы не соответствуют какому-то из пальца высосанному стандарту, и все нужно переделывать, или платить. А проверять как?
    Эта идея – как коммунизм. На бумаге – очень хорошо, а на практике просто не получится.

  • 10. 29th July 2011, 13:33 // Читатель jno написал:

    > только вот никто не предложил ни одной фразы
    > как именно было бы лучше

    откуда дровишки?
    поправки к закону предлагались и принимались.
    но, “почему-то” были похерены в окончательной редакции.
    так что – не надо… ля-ля.

    этот “нормальный” закон технически имплементит требования для режимных предприятий времён застоя в современные мелкие предприятия – это нормально, да?

    а уж что такое нынче “сертификация”…

  • 11. 29th July 2011, 14:13 // Читатель kaschey написал:

    зашел в гости написал: хакеры взламывали все

    Вот в том-то и дело, что не всё, а только там, где руку приложили “умельцы”, которые считали, что сделанное ими “на коленке” также хорошо, как и сделанное “по правилам”. Интернет-сервер можно сделать безопасным.

    Хороший пример Майкрософт. У них самый дырявый интернет-сервер и самый надёжно работающий сайт. Просто программисты делали систему безопасности так, как предусмотрено разработчиками, а не по наитию.

  • 12. 29th July 2011, 14:28 // Читатель kaschey написал:

    jno “поправки к закону предлагались и принимались”

    Примеры в студию…

  • 13. 29th July 2011, 16:44 // Читатель jno написал:

    > Интернет-сервер можно сделать безопасным

    от каких угроз?
    1. от ИЗВЕСТНЫХ (какая красота была, когда TCP SYN дыра нашлась!)
    2. и то – не всех

    а сайт МС, помницца, одно время вообще на апаче работал :)

    пойду, поищу примеры по 152-ФЗ…

  • 14. 29th July 2011, 16:46 // Читатель jno написал:

    ну, собссно, ПРИНЯТЫЕ поправки здесь:
    http://graph.document.kremlin.ru/page.aspx?1;1537034

  • 15. 29th July 2011, 16:51 // Читатель jno написал:

    законопроект ? 282499-5 О внесении изменений в Федеральный закон “О персональных данных” (в части уточнения условий и правил обработки персональных данных)

    http://asozd2.duma.gov.ru/main.nsf/%28Spravka%29?OpenAgent&RN=282499-5&02

    Поправки в ФЗ ?152 “О персональных данных” (второе чтение от 1 июля 2011 года).

    http://www.info-obereg.ru/home/1002/18/

    Эксперты: закон ?О персональных данных? нужно доработать

    http://internet.cnews.ru/news/line/index.shtml?2011/06/30/445794

    Мало?

    http://g.zeos.in/?q=%D0%BF%D0%BE%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B8%20%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD%20152%20%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5

  • 16. 29th July 2011, 17:06 // Читатель jno написал:

    ога, кроме 359го ещё и 363й уже приняли…
    http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=95493

    расшифровка:
    http://www.lawsynergy.ru/alerts/alert_2010apr01.html

  • 17. 29th July 2011, 17:20 // Читатель jno написал:

    /длинный коммент на модерации завис/

  • 18. 29th July 2011, 17:25 // Читатель jno написал:

    Про веб-серверы микрософта и вокруг:

    http://hacktivision.com/index.php/2008/01/12/microsoft-hypocrites?blog=2

    :)

  • 19. 29th July 2011, 18:20 // Читатель зашел в гости написал:

    “Вот в том-то и дело, что не всё, а только там, где руку приложили ?умельцы?”

    Во-первых, о большом количестве взломов публике просто не рапортуют. Зачем бросать тень на честное имя компании? Так что, отсутствие новостей не значит, что НЕ взламывали.
    А во-вторых, кто обладает достаточной квалификацией, чтобы оценить какая сеть “защищена хорошо”, а какая – нет? Кто совершенно четко отличит “умельца” от специалиста, и по каким критериям? С кем консультировались слуги народа, далекие от информационных технологий – с признанными экспертами (признанными кем?) или с теми же “умельцами”, только шустрыми? Вот в чем вопросы.
    Я считаю, что не правительственное это дело, лезть в кибербезопасность. Защищать сайты минобороны – это да, прямая обязанность государства. А вот защита какого-нибудь банка от кражи номеров счетов – это вопрос касающийся только самого банка и его клиентов, и никого больше.

  • 20. 29th July 2011, 18:35 // Читатель jno написал:

    > не правительственное это дело

    ну, это, положим, круто будет – те же требования по защите утвердить (а не разработать, ясен пень!) дело полезное. для госконтрактов прописать ссылки на эти требования – тоже.
    а то как вспомню “школьный портал” за 300тыр со ссылками на mail.ru и ублюдочной перегрузкой курсора на каждой странице, так вздрогну…

    с банками – тоже фигня. им же сдохнуть не дают! значит, ответственность банков – штука эфемерная. значит – нужна внешняя регуляция…

    а вот прессовать каждую палатку (бухгалтерии хранят и паспортные данные и “размер дохода”) на предмет всяких дурацких систем – это маразм. я бы ещё понял, скажем, требование изоляции рабочего места бухгалтера от интернета… ну, как Windows NT по C4 сертифицировалась – без сети и флоповодов.

  • 21. 30th July 2011, 22:45 // Читатель kaschey написал:

    Читатель jno написал: Мало?

    Где те суперхорошие и суперперспективные поправки, которые предлагались и не прошли? Ни в одной из представленных ссылок их нет! Если вы не можете ответить на вопрос “что именно вас не устраивает”, то чего возмущаетесь? Молчите…

  • 22. 30th July 2011, 23:18 // Читатель jno написал:

    kaschey, не указывайте мне, что делать и я не скажу, куда Вам идти.

  • 23. 31st July 2011, 21:50 // Читатель kaschey написал:

    2 jno:

    Не ври и тебя никто не упрекнёт, а то ведь враньё через пост…

  • 24. 1st August 2011, 11:22 // Александр Венедюхин:

    kaschey, давайте без подобных выпадов. Вообще ничем не обоснованных, между прочим.

  • 25. 1st August 2011, 13:17 // Читатель jno написал:

    Дык, местные кащениты – они из нашистской школоты, видать.
    Отрабатывают селигерские путёвки как умеют :)

  • 26. 3rd August 2011, 21:46 // Читатель kaschey написал:

    Александр Венедюхин ответил:

    “давайте без подобных выпадов. Вообще ничем не обоснованных, между прочим”

    “Товарищ” неглядя нагнал, что “поправки к закону предлагались и принимались”, что позже не сумел подтвердить. Все представленные им ссылки опровергли (1), а не подтвердили его “наброс на вентилятор”. И вы тоже “добавив свои пять копеек” не потрудились заглянуть в них и проверить… На то и расчёт был…

  • 27. 9th August 2011, 14:27 // Читатель jno написал:

    Кстати, о поправках.
    Вот – статья юриста Павла Протасова
    http://webplanet.ru/knowhow/law/protasov/2011/08/08/pdyandex.html
    там и о них есть – популярно.
    исходники же никто всё равно не читает…