Ай Ком Сервис 24.02.2010 Глупость без границ - 24 Февраля 2010 - Ай Ком Сервис
Главная » 2010 » Февраль » 24 » 24.02.2010 Глупость без границ
18:25
24.02.2010 Глупость без границ
Власти, или отдельные её представители, периодически, то и дело демонстрируют нам свой ум, компетентность, профессионализм. Лишний раз убеждаешься в том, что тяжело жить русскому человеку, а глядя на подобных горе- руководителей, непонятно каким местом попавших во власть, не перестаёшь улыбаться и в тоже самое время грустить. Так как, возникает вопрос:  Что нас ждёт впереди? Какое будущее? Самое ужасное- это некомпетентность, особенно, если это государевы люди, пишущие и принимающие законы, решения и если можно так выразиться, вершащие людские судьбы.  Так 2 февраля Комитет по рекламе г. Москвы принял "Положение о защите информации от несанкционированного вмешательства при трансляции видеороликов, установленных на территории города Москвы". По сложившейся традиции, документ утвержден зампредом комитета А.Д. Минчуком. О существовании этого документа заинтересованные лица могли узнать из интервью, прозвучавшем "Вести ФМ". Судя по всему, московские рекламщики Вести ФМ не слушают, так что начавшиеся визиты сотрудников комитета на предмет проверки его исполнения стали для них сюрпризом. Документ не публиковался, распространяется только в бумажном виде, так что для заинтересованных лиц делаю краткий обзор этого эпического труда.
Документ делит светодиодные экраны на два класса по тому, как загружается контент на его сервер управления: экраны с передачей данных на физических носителях и экраны с передачей данных по каналам связи.

В первом случае от операторов экранов требуется:

    * фиксировать факт передачи насителя с роликом
    * проверять целостность данных на носителе
    * организовать маркировку и учет носителей
    * разработать и внедрить собственные нормативные документы по защите экранов от НСД
    * усилить прочность корпуса жкрана
    * установить сигнализацию на вскрытие с датчиком объема и модулем GSM

Ну, допустим. А вот требования к экраном с управлением по сети - это что-то с чем-то. Требования взяты из РД с классификацией АС, но при этом надерганы из разных классов. Для тех, кому лень рыться в РД, в скобках привожу класс, из которого требование взято. Итак, в системе управления экраном должны выполняться следующие требования:

    * должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (1Д)
    * должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам (1Г)
    * должна осуществляться идентификация информации (самодеятельность);
    * должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа (1Г)
    * должно осуществляться управление потоками информации (1В)
    * должны проводиться маркировка и учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (сформулировано немножко по другому, но эквивалентно требованию из класса 1Д)
    * должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова (1Г)
    * должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации (1Г)
    * должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий)  к защищаемой информации (1Г)
    * должна осуществляться регистрация попыток доступа программ  к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей (1Г)
    * должен вестись учет носителей информации (1Д)
    * должна осуществлять сигнализация "нарушений защиты"  (1В)
    * должна контролироваться целостность СЗИ по наличию файлов с нужными именами (1Г)
    * должны отсутствовать средства разработки (1Г)
    * должна обеспечиваться физическая охрана СВТ (1Г, от избытка усердия требование повторили два раза)
    * должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД (1Г)
    *  должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности (1Г, тоже повторили два раза)
    *  должно обеспечиваться информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах (1А)
    * должны использвоваться аттестованных (сертифицированние) криптографические средства (1Б)
    * должна обеспечиваться целостность программной среды за счет  использования трансляторов с языков высокого уровня и отсутствия средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации (1Д)
    * в СВТ должны тестироваться реализация правил разграничения доступа, очистка памятии прочее бла-бла-бла, взятое из блока требований  тестирования  РД СВТ (требования к СВТ 5-го класса)
    * при наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга (СВТ 4-го класса)
    *  КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи (СВТ 4-го класса)

Требования, выделенные красным, применяются к системам, предназначенных для защиты сведений, составляющих государственную тайну. Даже первый взгляд на этот винегрет показывает, что документ писался человеком, далеким от предметной области. В одну кучу смешаны требования к объектам разной природы (СВТ и АС), причем требования выбраны произвольно (это требование я хочу использовать, а вот это мне не нравится, его я брать не буду) и из разных классов.
Умиляют требования по контролю исполнения требований. От операторов требуют

    * не реже раза в год проводить аудит информационной безопасности (!) систем управления экранами (в оригинале - "систем информационных технологий")
    * проводить аудит информационной безопасности организации
    * аттестовать системы управления экранами в системах сертификации ФСБ и ФСТЭК одновременно
    * установить камеры видеонаблюдения за экранами с возможностью экстренного отключения питания экранов "если что"
    * предоставить сотрудникам комитета удаленный доступ к экранам для просмотра транслируемого изображения

Честно говоря, при чтении документа первыми в голову приходит классическая народная мудрость про инициативу и тех, кто чаще других склонен ее проявлять. Итак, имитация бурной деятельности, что наши чиновники любят демонстрировать, проведена. Что же делать операторам наружной рекламы? Прежде всего, нужно понимать, что данный нормативный правовой  акт противоречит федеральному законодательству. Согласно ФЗ "Об информации, информационных технологиях и защите информации", обязанность оператора как обладателя информации принимать определенные меры защиты наступает только в случаях, установленных законодательством РФ (ч. 4 статьи 16 ФЗ). Согласно статье 4 ФЗ законодательство Российской Федерации об информации, информационных технологиях и о защите информации состоит из упомянутого Федерального закона и других регулирующих отношения по использованию информации федеральных законов. Таким образом, орган местного самоуправления не уполномочен самовольно накладывать на оператора экрана какие-либо обязывающие его требования по защите информации. Более того, федеральным законом "О техническом регулировании" четко установлены механизмы формирования обязательных требований. Обязательные требования по обеспечению безопасности информации могут быть установлены:

    * техническими регламентами, т.е. документами, которые вводятся в действие отдельными федеральными законами или постановлениями Правительства
    * в особых случаях (например, для информации, доступ к которой ограничивается в соответствии с законодательством) - нормативными документами ФСБ и ФСТЭК.

Получается, что комитет в лице г-на Минчука превысил свои полномочия. Поскольку исполнение этого бреда - занятие весьма затратное, я бы на месте заинтересованных рекламных агентсв попытался добиться признания этого документа недействующим. Для этого есть три пути:

    * обращение в орган местного самоуправления
    * обращение в прокуратуру
    * обращение в арбитражный суд

Информация к размышлению:


Рекламные трюки Владимира Макарова. Уголовное дело председателя комитета рекламы г. Москвы пытаются развалить с помощью "высоких связей" и "жалобного пиара"

Уголовное дело зампреда Комитета по рекламе Москвы Александра Менчука, арестованного в связи с хищением 228 млн руб., закрыто его одноклассником

Арестован председатель комитета по рекламе правительства Москвы Владимир Макаров

В отношении 1-го зампреда комитета рекламы правительства Москвы Менчука возбуждено уголовное дело

Категория: Интернет новости | Просмотров: 549 | Добавил: Administrator | Теги: защита информации, человеческая глупость, москва, законы, Комитет по рекламе, Минчук, реклама | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]