После недолгого ожидания в Сети появился Проект Доктрины информационной безопасности Российской Федерации. Документ очень высокоуровневый, определяющий лишь общие цели и направления развития системы информационной безопасности. В силу этого документ не содержит каких либо конкретных описаний процедур, продуктов, указаний и тд. Тем не менее документ очень интересен. Интересен в первую очередь тем, как видит государство информационную безопасность и как оно видит роль граждан в информационной безопасности.
Оставим в стороне политическую составляющую данного документа (так или иначе, а у каждого государства есть свои интересы и естественно каждое государство хочет их отстаивать) и посмотрим на него исключительно с точки зрения обеспечения информационной безопасности.
Любопытное начинается уже в разделе терминов и определений. Скажем что есть национальные интересы?
повсеместными станут носимые и вживляемые медицинские устройства с датчиками… Начнут широко использоваться медицинские нанороботы для точных эндоскопических операций и доставки лекарств, выращивание органов с помощью 3D-принтеров. Будут производиться и вживляться киберорганы.
Государство будет регулировать законодательство о защите данных, контролировать системы, предотвращающие взлом данных, способы шифрования, специализированные системы защиты и защиты от целевых атак на данные и устройства.
И это опять не фразы из научно фантастического романа в стиле киберпанк и тем более фанфик на тему Оруэлла, а «прогноз будущего через 10-20 лет», который «для более четкого понимания программы и ее места в долгосрочной стратегии развития России» отобразили эксперты («более 1000 экспертов интернет-сообщества и интернет-бизнеса») «по направлениям, которые отражены в предложениях к» «Предложениям по формированию долгосрочной программы развития российской части информационно-коммуникационной сети «Интернет» и связанных с ней отраслей экономики 29 сентября 2015 года», разработанным Институтом Развития Интернета.
развитие новых принципов организации вычислений, которое позволит увеличить максимальную тактовую частоту компьютера на три-пять порядков;
Импортные устройства, ПО и зарубежные сервисы будут подчиняться требованиям закона по установке отечественного ПО и сертифицированных средств информационной безопасности
Цитаты из речи депутата? Фрагмент из фантастического романа? Нет, документ, в работе над предложениями к которому «приняли непосредственное активное участие более 1000 экспертов интернет-сообщества и интернет-бизнеса. Для разработки различных направлений программы был создан программный комитет (более 180 профильных специалистов и руководителей интернет-компаний), дополнительно привлечены эксперты по направлениям. Результаты работы над предложениями обсуждались в экспертном сообществе (850 человек), все замечания, полученные в ходе обсуждения, были рассмотрены и учтены в предложениях к Программе.». Список экспертов приведен в конце документа — и среди них представители Лаборатории Касперского, Cisco, Mail.ru…
Традиционно Хабражители со скепсисом относятся к инициативам правительства в области развития наукоемких технологий. Так неоднократно заявлялось о необходимости создания российского аналога DARPA.
В общем новость небольшая — подписано распоряжение правительства РФ № 1886-р от 24 сентября 2015 г., в котором утвержден список товаров, подлежащих утилизации после утраты ими потребительских свойств.
Перечень организован в соответствии с кодами товаров по общероссийскому классификатору продукции по видам экономической деятельности и кодами и наименованиями единой товарной номенклатуры внешнеэкономической деятельности Евразийского экономического союза.
Хабражители активно обсуждали обращения к регуляторам по поводу количества сведений, собираемых операционной системой Windows 10. Как ни странно реакция на обращение депутата по данному поводу последовала практически молниеносная.
Вот только то, что сказал регулятор, весьма грустно может сказаться на системе защиты. Но обо всем по порядку.
Цитаты даны в соответствии с орфографией и пунктуацией оригинала.
Тема сочетания трудового энтузиазма и успехов компании в целом — не редкость на Мегамозг'е. Но, к сожалению, практика нашей страны показывает, что по большей части примеры удачного сочетания интересов сотрудников и интересов компаний — удел относительно небольших компаний. Причин тому много и причины грустные…
А ведь в истории страны был период, когда одной из основ экономики был энтузиазм сотрудников! Посмотрим как это было и сделаем выводы?
Достаточно редкий зверь в нашем книгоиздательстве (просьба не счесть проплаченной рекламой) — книга «PRO вирусы» от сотрудника антивирусной компании, описывающая не только историю возникновения вирусов (такой литературы более чем достаточно), но также способы распространения современных вредоносных программ, их принцип действия и т. д.
Валентин Холмогоров профессионально занимается описанием вредоносных программ, и поэтому вся информация — действительно из первых уст.
Как известно гвозди можно забивать молотками, а вирусы ловить антивирусами. Но это мнение, распространенное среди пользователей, а так же (к большому сожалению) среди тех, кто составляет тендерную документацию на большие проекты. А что думают о назначении антивирусов их вендоры?
Статья задумывается не сильно большая и в общем-то продолжает тему, затронутую уже в мифах об антивирусах. Фактически это итог серии статей о назначении, возможностях и ограничения антивирусов. Так сказать конспект.
На рынке существует ряд технологий, бездумное использование которых может привести к проблемам. Никто не говорит о том, что в них нет положительных моментов, но…
Данная статья задумывалась достаточно давно, но непосредственным поводом к ней послужил простой эксперимент, который позволил проверить давно существовавшие подозрения.
Прежде всего на складе были выписаны и получены три флешки из партии, предназначенной для подарков всем и вся. Особо отметим, что работник склада был не в курсе нашего эксперимента и взял случайно подвернувшиеся флешки из ящика.
Хабр активно реагирует на все инициативы (чего бы они ни касались) по ограничению возможности выбора. И это замечательно. Тот же интернет (в те времена, когда он еще не писался с большой буквы) декларировался как средство свободного общения всех со всеми и свободного поиска информации в целях развития общества. И ключевое слово в предыдущем предложении естественно — «свободного».
Вот только один вопрос. Насколько свободен от ограничений и в итоге насколько адекватен результат нашего выбора?
Компания Microsoft является далеко не единственной, пытающейся застолбить за собой право на использование наших данных (в том числе и персональных). Другие компании начали этот путь куда раньше и зашли на него куда дальше. В качестве разминки предлагаю Хаброжителям угадать, кому принадлежит приведенная ниже фраза.
"… вы предоставляете компании… и ее партнерам действующую во всем мире лицензию, которая позволяет нам использовать это содержание...".
Прошлая неделя во многом прошла под знаком Microsoft — точнее обсуждения того, какие персональные данные собирает новая операционная система. Но прежде, чем подробно разобрать этот вопрос, позволю себе цитату из The Guardian:
Несколько жителей Лондона согласились с условием «отдать своего первенца», чтобы получить доступ к бесплатному Wi-Fi в одном из оживленных районов столицы Великобритании во время проведения эксперимента, исследующего опасности использования публичных точек доступа. Люди, не знавшие об эксперименте, пытались найти Wi-Fi, и, обнаружив бесплатную сеть, бездумно «подписывали пользовательское соглашение», даже не прочитав его. Между тем, за доступ в Интернет от пользователя требовали отдать провайдеру своего старшего ребенка «на веки вечные».
После того, как шесть человек согласились с таким условием, эта часть эксперимента был прекращена.
Ну а теперь посмотрим, что хочет знать о нас Microsoft.
По информации «Известий», депутат Госдумы и главный юрист фракции КПРФ Вадим Соловьев направил генеральному прокурору Юрию Чайке запрос о необходимости проведения проверки компании Microsoft в части соответствия ее новой операционной системы Windows 10 законодательству РФ в области защиты персональных данных.
На Хабре достаточно часто появляются материалы с описанием процесса восстановления информации с различных устройств. Услуга востребованная, чуть ли не каждый сталкивался наверно с внезапной «смертью» флешки или жесткого диска. Но, что происходит с устройствами вашей компании после того, как бухгалтерия их спишет? Кто дарит подшефным организациям, кто просто выбрасывает. Вариантов много. Но злоумышленники вполне могут воспользоваться возможностью получить доступ к вашим данным или данным вашей компании получив так или иначе ваши устройства!
Не будем говорить о шифровании и ПО типа антивора — эти темы уже в достаточной мере освещены, в том числе и на данном ресурсе. Поговорим о тех вещах, с которыми большинству приходится сталкиваться в реальности гораздо реже — о том, как гарантированно уничтожить на носителях важной информации все, что там записано сейчас, а также что было записано некогда.
С тем, какие требования отечественные регуляторы предъявляют к системам защиты от вредоносных программ можно ознакомиться тут. Даже поверхностный анализ показывает, что система защиты, реализованная в соответствии с этим требованиями, и продуктами, имеющими функционал, требуемый регуляторами, будет защищать исключительно от замечаний в ходе проверок этих регуляторов. Я думаю, что такой результат предсказуем для всех, кто когда либо сталкивался с уровнем качества наших законов и приказов.
Мы привыкли уже к дизайнерскому виду современных решений для защиты наших данных, помним времена, когда каждая опция была доступна для настройки. Но ведь были и другие времена и другие подходы. Скажем кто помнит антивирус от IBM, интерфейс которого имел всего одну кнопку? Или решения из девяностых, когда информационной безопасностью порой занимались конкретные пацаны, периодически выясняющие, кто и почему поставил им вирус?
Скажем вот однажды собрались в Ростове… А впрочем лучше один раз увидеть, что получилось в итоге!
Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента появления вирусов — это вполне в интересах как государства, так и частных пользователей. И вроде бы логично, что накопленный опыт должен был приводить к тому, что с течением времени требования становятся все детальнее и точнее.
Не будем повторять то, что уже было сказано по поводу законопроекта № 804132-6, более известного под названием закона «о праве на забвение», предположим, что некий гражданин Российской Федерации обнаружил в сети Интернет ложные данные, запасся всеми необходимыми документами, подтверждающими его правоту и хочет восстановить истину.
Откроем законопроект (в редакции, прошедшей третье чтение) и посмотрим, выйдет ли у него что-либо.
Вопросы «Соответствуют ли ваши продукты требованиям профилей антивирусной защиты?» и «Сертифицированы ли вы по требованиям профилей...?» поступают регулярно. Только через меня их проходит несколько в неделю. На самом деле, как правило, сам по себе именно сертифицированный продукт клиенту не нужен — он слышал, что в его информационной системе нужно использовать именно сертифицированный продукт и думает, что допустимо использовать только сертифицированные по требованиям Профилей программные продукты. Ну или профиль организации требует использования только сертифицированного.
Не будем повторяться. Вопросы, что на самом деле требует законодательство по вопросу использования сертифицированных продуктов, были рассмотрены тут и тут. А сейчас мы поговорим на иную тему — а получает ли клиент что-то реальное, если его продукт сертифицирован по требованиям, изложенным в Профилях антивирусной защиты?