четверг, 18 февраля 2010 г.

Маразмы нашего городка

История с показом порноролика на рекламном экране получила неожиданноле продолжение.

2 февраля Комитет по рекламе г. Москвы принял "Положение о защите информации от несанкционированного вмешательства при трансляции видеороликов на светодиодных экранах, установленых на территории города Москвы". По сложившейся традиции, документ утвержден зампредом комитета А.Д. Минчуком. О существовании этого документа заинтересованные лица могли узнать из интервью, прозвучавшем "Вести ФМ". Судя по всему, московские рекламщики Вести ФМ не слушают, так что начавшиеся визиты сотрудников комитета на предмет проверки его исполнения стали для них сюрпризом. Документ не публиковался, распространяется только в бумажном виде, так что для заинтересованных лиц делаю краткий обзор этого эпического труда.

Документ делит светодиодные экраны на два класса по тому, как загружается контент на его сервер управления: экраны с передачей данных на физических носителях и экраны с передачей данных по каналам связи.

В первом случае от операторов экранов требуется:

  • фиксировать факт передачи насителя с роликом
  • проверять целостность данных на носителе
  • организовать маркировку и учет носителей
  • разработать и внедрить собственные нормативные документы по защите экранов от НСД
  • усилить прочность корпуса жкрана
  • установить сигнализацию на вскрытие с датчиком объема и модулем GSM
Ну, допустим. А вот требования к экраном с управлением по сети - это что-то с чем-то. Требования взяты из РД с классификацией АС, но при этом надерганы из разных классов. Для тех, кому лень рыться в РД, в скобках привожу класс, из которого требование взято. Итак, в системе управления экраном должны выполняться следующие требования:
  • должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов ()
  • должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам ()
  • должна осуществляться идентификация информации (самодеятельность);
  • должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа ()
  • должно осуществляться управление потоками информации (
  • должны проводиться маркировка и учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (сформулировано немножко по другому, но эквивалентно требованию из класса )
  • должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова ()
  • должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации ()
  • должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий)  к защищаемой информации ()
  • должна осуществляться регистрация попыток доступа программ  к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей ()
  • должен вестись учет носителей информации ()
  • должна осуществлять сигнализация "нарушений защиты"  (
  • должна контролироваться целостность СЗИ по наличию файлов с нужными именами ()
  • должны отсутствовать средства разработки ()
  • должна обеспечиваться физическая охрана СВТ (, от избытка усердия требование повторили два раза)
  • должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД ()
  •  должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности (, тоже повторили два раза)
  •  должно обеспечиваться информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах ()
  • должны использвоваться аттестованных (сертифицированние) криптографические средства ()
  • должна обеспечиваться целостность программной среды за счет  использования трансляторов с языков высокого уровня и отсутствия средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации ()
  • в СВТ должны тестироваться реализация правил разграничения доступа, очистка памятии прочее бла-бла-бла, взятое из блока требований  тестирования  РД СВТ (требования к СВТ 5-го класса)
  • при наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга (СВТ 4-го класса)
  •  КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи (СВТ 4-го класса)
Требования, выделенные красным, применяются к системам, предназначенных для защиты сведений, составляющих государственную тайну. Даже первый взгляд на этот винегрет показывает, что документ писался человеком, далеким от предметной области. В одну кучу смешаны требования к объектам разной природы (СВТ и АС), причем требования выбраны произвольно (это требование я хочу использовать, а вот это мне не нравится, его я брать не буду) и из разных классов.
Умиляют требования по контролю исполнения требований. От операторов требуют
  • не реже раза в год проводить аудит информационой безопасности (!) систем управления экранами (в оригинале - "систем информационных технологий")
  • проводить аудит информационной безопасности организации
  • аттестовать системы управления экранами в системах сертификации ФСБ и ФСТЭК одновременно
  • установить камеры видеонаблюдения за экранами с возможностью экстренного отключения питания экранов "если что"
  • предоставить сотрудникам комитета удаленный доступ к экранам для просмотра транслируемого изображения
Честно говоря, при чтении документа первыми в голову приходит классическая народная мудрость про инициативу и тех, кто чаще других склонен ее проявлять. Итак, имитация бурной деятельности проведена. Что же делать операторам наружней рекламы?

Прежде всего, нужно понимать, что данный нормативный правовой  акт противоречит федеральному законолательству. Согласно ФЗ "Об информации, информационных технологиях и защите информации", обязанность опратора как обладателя информации принимать определенные меры защиты наступает только в случаях, установленных законодательством РФ (ч. 4 статьи 16 ФЗ). Согласно статье 4 ФЗ законодательство Российской Федерации об информации, информационных технологиях и о защите информации состоит из упомянутого Федерального закона и других регулирующих отношения по использованию информации федеральных законов. Таким образом, орган местного самоуправления не уполномочен самовольно накладывать на оператора экрана какие-либо обязывающие его требования по защите информации.

Более того, федеральным законом "О техническом регулировании" четко установлены механизмы формирования обязательных требований. Обязательные требования по обеспечению безопасности информации могут быть установлены:
  • техническими регламентами, т.е. документами, которые вводятся в действие отдельными федеральными законами или постановлениями Правительства
  • в особых случаях (например, для информации, доступ к которой ограничивается в соответствии с законодательством) - нормативными документами ФСБ и ФСТЭК.

Получается, что комитет в лице г-на Минчука превысил свои полномочия. Поскольку исполнение этого бреда - занятие весьма затратное, я бы на месте заинтересованных рекламных агентсв попытался добиться признания этого документа недействующим. Для этого есть три пути:
  • обращение в орган местного самоуправления
  • обращение в прокуратуру
  • обращение в арбитражный суд
Дерзайте :)

2 коммент.:

Ригель 18 февраля 2010 г., 20:55  

Типичный случай с проблемой в консерватории: каждый озаботившийся ИБ начинает деятельность с попытки найти требования и рекомендации компетентных органов, находит фапсёвые переводы радужной серии и пару лет пытается их примастырить с тем или иным ущербом для окружающих - первый уровень зрелости ИБшника.
Давно надо бы сами грабли перепрятать, но qui-то prodest, поэтому так все и будут наступать.

securityinform 7 июня 2011 г., 2:42  

Пора уже основывать аутсорсинговую компанию, специализирующуюся на составлении ИБ-инструкций и законодательства.

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP