26.04.2013

Третий фальстарт – отмена забега

Долго ли коротко, а сподобился однажды старик Минобраз призвать к себе семнадцать нобелевских лауреатов по физике, чтобы те совместными усилиями наваляли задачник для 6го класса. Вот как-то примерно так, только не Минобраз и не по физике. Один был корифеем межсетевого экранирования, второй монстром виртуализации, третий знал NISTы так, что мог выдавать тезисы за собственные, и так далее. Короче, даже и те области, которые ничей не конек, все вместе тащили на хороший академический уровень.

А проблема была в другом – два предыдущих задачника были слишком заумными.

Ведь операторам персональных данных надо что: чтобы требования по защите персональных данных нельзя было неправильно понять. Потому что когда все-таки случается утечка, отвечает за нее оператор, и он должен мочь доказать, что невиновен, т.к. все необходимые по закону меры принял. А прежде ему их надо принять, ясное дело.

Именно непонимание среднестатистического админа/кадровика, что делать-то, а вовсе не неспособность найти три рубля на сертифицированное СЗИ от НСД, сорвала выполнение предыдущих двух задачников (т.н. четверокнижия и 58-го). Народ просто сидел и ждал, когда из чьей-то чужой практики прояснится, что государство сказать хотело. И когда у кого-то модель угроз списать можно будет.

Почему админы/кадровики, ведь российские вузы выпускают специалистов по защите информации? Во-первых, где они есть? У нас 7 миллионов операторов, включая парикмахерские, фермерские хозяйства и кружки любителей пуэра. В подавляющем большинстве случаев читатель требований – не специалист по защите информации. Во-вторых, специалист там тоже ногу сломит. Слушайте, я видел. Самые избалованные и требовательные заказчики приглашали самых дорогих интеграторов, набитых сплошными дипломированными специалистами по защите информации, и им писалась шняга. Я видел эти материалы во множестве, они не правильные, они в лучшем случае правдоподобные – понимаете разницу? В-третьих, программа подготовки специалистов половину областей требований не содержит, имеет явный уклон и даже терминологию юзает отличную. В-общем, при таких РД обеих федеральных служб я бы не делал большой разницы, получил ли читатель профессиональную подготовку, и как давно, а сразу ориентировался на двоечника.

Писать надо было проще. Теперь, когда уже все написано, вытащить ситуацию можно только большой разъяснительной работой. Надо спускаться на уровень чайника, господа корифеи, а не доказывать коллегам, что вы корифеи.

20 комментариев:

Сергей Борисов комментирует...

Считаешь надо было написать:
всем применять антивирус, межсетевой экран, систему обнаружения вторжений, СЗИ от НСД, сканер защищенности, криптошлюз между офисами.
всем утвердить политику обработки и защиты ПДн приведенную в приложении 1.

Ригель комментирует...

Считаю, да: начинать надо с простого, по мере взросления потребителя усложнять

Игорь Луканин комментирует...

Так низко, чтобы в кружке любителей пуэра осилили систему обнаружения вторжений, планку всё равно никогда не опустят. Не умеют или не хотят — не принципиально. Инфраструктура вспоможения для предпринимателей на упрощённых системах налогообложения доказывает. Так что высота планки лишь определяет размер будущего дохода писателей шняги.

Ригель комментирует...

Игорь, там палка о двух концах, конечно.
Представляется, что обладателей хай-критикл ИСПДнов надо было в отдельный документ отсылать (в СТР-К, условно говоря), и вот его-то уже надо уметь читать специально обученным людям из числа или наемным.
Стоило написать о них, пожалуй.

Александр Бондаренко комментирует...

Браво ! В точку !

Сергей комментирует...

На то они и ученые, чтобы выражаться витеевато и до конца запутать вполне очевидные вещи (с)

Turkish комментирует...

Есть обратная ситуация: когда эти требования сможет прочитать и понять каждый, то будет как в ИТ, когда сисадмина ищут под з/п эникея, потому что "там все просто". Как результат каждый эникей мнит себя сисадмином, требуя такой же доход; а сисадмин говорит не может найти работу с нормальным доходом...

crisisidea комментирует...

Надо сказать, что и ИБ-сообщество ничего путного пока не родило под предлагаемую канву и заложенные в неё идеи, кроме пристального наблюдения за регуляторами и нагнетания в тех случаях, когда им не нравится то или сё.

Очень мало творческих людей + настоящих менеджеров, способных быть прослойкой между "облаком НПА" и простыми людьми.

А это вопрос уже скорее к тем, кто занимает в данный момент место "этой прослойки", а не к регуляторам.

Может быть ей, этой текущей прослойке, ну и тем экспертам, которые на слуху и на острие чисто-маркетингового тренда, этого не надо.
Время покажет, а может уже начинает это показывать.
Неклиентоориентированность видна невооруженным глазом. А коль её нету, то нету и потребности в лифте творчески-квалифицированных лидеров.
С уважением, CI.

Ригель комментирует...

Александр, спасибо!

Сергей, но ведь я с того и начинаю: к учебникам для 6-го класса не подпускают ученых.

Дмитрий, понять еще не внедрить. Это ж как требования техосмотра - за выполнением, возможно, и нужно съездить к спецам, но понятны-то должны быть любому.

Сергей, очень верно. И добавил Вас в ссылки справа, если не против.

Алексей Лукацкий комментирует...

Миша, ты не прав! По двум причинам. Первая - будет еще один документ с разъяснением мер. Например, есть мер "управление потоками". Что она означает? А фиг знает. "Старички" будут думать, что речь идет о МСЭ. Я, например, допускаю применение ACL на маршрутизаторах, VLAN на коммутаторах и точках доступа, VSAN, hard/soft zoning в SAN, VDC в виртуализированных средах и т.п. Чтобы операторы понимали КАК реализовать ту или иную меру из 21-го приказа (а он говорит ЧТО делать, а не КАК), ФСТЭК и готовит документ. Если ты знаком с американской системой регулирования ИБ, то там иерархия такая же.

О второй причине я уже писал и писал неоднократно. ФСТЭК в этот раз приглашала ВСЕХ желаюющих поучаствовать в процессе. Сначала на уровне сбора предложений, потом на уровне рабочей группы и обсуждавшей конкретный текст. Ты самоустранился, заявив примерно "все плохо".

Я ценю твою позицию и твои мысли, они всегда очень нестандартны, но в данном случае ты не прав. Это на выбранного Президента можно ругаться и говорить, что "он не настоящий". В процессе его выбора мы хоть и принимали участие, но номинально. В случае же с выбором защитных мер, каждый мог высказать свои предложения. Большинство предпочло отмолчаться. Кто-то захотел за такую работу денег. Кто-то просто написал "все плохо". Реальные предложения, а не только критика, поступили от десяти (плюс/минус) человек. Извини, но ты не был в их числе ;-(

Евгений Родыгин комментирует...

Ригель прав!
Алексей: вторая часть не принимается, так как концептульные предложения по реализации документа понятного бизнесу/оператору (дорожная карта с ясной картиной) и формирование "под ним" специализированных требований озвучивалась, но априорно была отметена как непривычная. А кто то это помнит... К тому же работа экспертов шла уже после перешагивания через такие предложения когда концепция "требования ПО" уже была принята как окончательная.

pushkinist комментирует...

+1
доки написаны чересчур умнО

Алексей Лукацкий комментирует...

Женя, во-первых, концепций не надо ;-) Их и так полно. Перед ФСТЭК стояла задача при заданных исходных условиях (ФЗ-152 и ПП-1119) сделать документ с требованиями - его сделали. Он состоит из двух блоков - список мер (ЧТО делать) и будущий документ с описанием и разъяснением мер (КАК делать).

Документ повторяет идею Евроконвенции - меры выбирает оператор самостоятельно исходя из используемых технологий, модели угроз и экономической целесообразности. Это в документе и прописано.

А опускаться на уровень каждого фермера - это, извините, нонсенс. Идея, безусловно, правильная и красивая. Но для этого надо сначала законы писать, недопускающие двойственных и тройственных толкований. А уж потом требовать чего-то от ведомственных актов.

Хотя не могу сказать, что знаю хоть одну страну, в которой документы пишут исходя из идеи "шоб было понятно даже фермеру". Это утопия. Не говоря уже о том, что скорее надо поднимать уровень фермеров до понимания ИБ, а не опускать ИБ до уровня фермеров. Эту задачу сейчас СовБез пытается взять на знамя. Но она не быстра.

Ригель комментирует...

И ничего я не самоустранялся, просто первая выкладка на согласование прошла мимо меня (вот реально не было там времени разобраться и дать замечания), а дальше звали отметившихся в первом круге. Зато это развязывает руки, да.

Что оператор должен выбирать меры, понимая - в этом мы, надеюсь, не расходимся? Вопрос в той планке, в том портрете оператора, на уровень которого все написано. Ну, допустим, что фермер - утрирование (хотя я и правда не вижу препятствий написать в документе и "фермерский" слой обобщения, и глубже спуститься), но на кого это писалось? Модель читателя, по аналогии с моделью нарушителя, какова?

Очень хочу ошибаться, но по-моему ее вообще не было. Как это часто бывает в организациях, безопасник писал ЛНА для такого же безопасника, а таких же среди читателей больше нет ни одного.

И если ты возьмешь двух своих знакомых ибшников (лучше реальных, а не видных теоретиков), то обнаружишь, что они по-разному многие пункты требований понимают. А это значит одну простую вещь: какой-то один из них недоквалифайд до уровня шедевра. Вот где планка сейчас на самом деле! Это считанные проценты из 7 миллионов ее взять могут. В твоей хоть_одной_стране документы, непонятные для 94%, это нормально?

Алексей Лукацкий комментирует...

Миша, я уже написал про разъяснения описанных норм. Будет еще один документ с разъяснением мер. Например, есть мер "управление потоками". Что она означает? А фиг знает. "Старички" будут думать, что речь идет о МСЭ. Я, например, допускаю применение ACL на маршрутизаторах, VLAN на коммутаторах и точках доступа, VSAN, hard/soft zoning в SAN, VDC в виртуализированных средах и т.п. Чтобы операторы понимали КАК реализовать ту или иную меру из 21-го приказа (а он говорит ЧТО делать, а не КАК), ФСТЭК и готовит документ. Если ты знаком с американской системой регулирования ИБ, то там иерархия такая же.

vsv комментирует...

Коллеги, только сейчас обратил внимание на этот пост, может быть уже поздно, но тоже хочу высказаться на эту тему. Мне кажется, что первоначальный посыл Михаила, который задал тон обсуждению - ошибочный. Появившейся документ ФСТЭК это не учебник для 6-го класса. Это свод правил. А вот учебник как эти правила применять - отдельная тема. Так же как в праве: есть закон, а есть учебник по праву (или комментарии к закону, данные корифеем), который объясняет как этот закон применять. Поэтому и пригласили обсудать и корректировать его "академиков". Соглашусь с Алексеем Лукацким (сам немного причастен к процессу подготовки документа) - этот документ результат компромиса, позволивший увязать все точки зрения и при этом не потреять главной мысли. (Кстати, Михаил, теримнологический аппарат там как раз выверен на все 100% с законом и стандартами, и это плюс, это впервые). Документ действиетльно объясняет ЧТО надо делать, а вот КАК - это следующий документ, который как раз и должен быть "учебником для 6-го класса".

Ригель комментирует...

> Это свод правил. А вот учебник как эти правила применять - отдельная тема.

Последующее объяснение, как сделать, не отменяем необходимости сначала понять, что надо сделать. Что такое "защита обратной связи при вводе аутентификационной информации", способен далекий от ИБ понять? Может угадать, а может и нет.

> теримнологический аппарат там как раз выверен на все 100% с законом и стандартами, и это плюс, это впервые

И тем самым это другой аппарат, нежели всех в ИКСИ учили. Так и написано.

Ригель комментирует...

з.ы. И я не про учебник, кстати, а про задачник

Target комментирует...

Так и что такое "защита обратной связи при вводе аутентификационной информации"?

Игорь Луканин комментирует...

В частном случае: маскирование символов вводимого пароля звёздочками. Подробнее — см. страницу F-99 (252) этого документа: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

Отправить комментарий