следующая тема »

[Urix]

А речь в данной инструкции не идёт об ущербе, об утечках...

А то я не знаю? Но наказывать нужно за деяние, а не за возможность его совершения.

Если уж они будут, то будет и наказание, в этом я не сомневаюсь.
Речь идёт о том, что тебе (в смысле, и мне..) навязывают технические средства, программное обеспечение и методику защиты. Вовсе не дешёвые.
И собираются контролировать и наказывать не за факты утечек информации (кто наказан за "утёкшие" базы данных?), а за невыполнение целого ряда весьма затратных мероприятий.

Только сам владелец информации опредлеяет методы, средства и способы защиты своей информации, ибо только он один несет всю ответственость за ущерб от распространения его информации.
Этого ни в одном законе, ни в одной инструкции Вы не найдете. Поэтому, когда Вас заставляют использовать что-то, то получите у приказывающего письменное подтверждение того, что он берет на себя всю ответственность за возможные последствия. Это, обычно, расценивается приказывающими как хамство, но на умных действует безотказно.

Однажды на одном сборище по впариванию таких "протух-тов" я разработчику задал принародно вопрос: "Продукт сложный. Вероятность ошибок существует. Предположим, что я использовал этот Ваш продукт для закрытия агентурной информации, но в результате имеющейся в продукте ошибки информация получила свое распространение и агент погиб. Кто будет нести ответственность?". Мне разработчик ответил: "Мы всегда можем доказать, что это вы неправильно эксплуатировали программу.". Тут весь народ загудел и ушел из зала пить два оставшихся часа чай. Так тогда этот "протух-т" и не был поставлен на вооружение. Своя задница - это очень точный прибор. Меня же, от греха подальше, на такие сборища больше не пускали...

А за год до этого, на региональной обкатке впаривания, мы с одним человеком показали, как у более ранней версии этого же "протух-та" за пять минут снимается криптозащита. Продукт этот сертифицирован ФАПСИ. У новой версии появился графический интерфейс, но внутреннее постоение осталось прежним.

А за полтора года до этого, когда я надыбал крякеры для двух других, более ранних "протух-тов", про один из которых даже есть указ президента, и убедился, что крякеры работают, мне генерал сказал: "Фельдсвязь и сейфы пока никто еще не отменял. Но, приказ вышестоящего есть приказ, его надо исполнять. Приказываю держать под той защитой всякую несущественную ерунду.".

Правда, было это еще в прошлом веке. Но не думаю, что за это время что-то сильно изменилось в лучшую сторону...

А вообще-то, почитайте на всякий случай мою статью "RUSSIAN FIREWALL"

[Provincial]

Ну что ж, поговорим о зомбях.
Зомби облечённые законодательной властью проводят законы, сочинённые зомбями, обслуживающими  этот законотворческий процесс.
Законы эти, как правило, декларативны и расчитаны на то, что зомби в правительстве примут положения, инструкции, а то и просто напишут письмо с рекомендациями.
То, что эти документы могут не вполне соответствовать Закону, - зачастую открывают ведомственным структурам позможность заниматься коммерческой деятельностью (продавать лицензии) - это зомбям по барабану.
Зомби в надзирающих органах в эту сторону не смотрят...
Далее круг зомбей расширяется за счёт лицензированных коммерческих структур.  
Зомбей, не спорю, можно встретить и среди нас, практиков (в смысле людей, пытающихся выполнять конкретную практическую работу).
А если ты, практик, не хочешь, как зомби, покупать право прикрыть задницу бумажкой, то кроме технических навыков надо осваивать юридические навыки - спорить с зомбями на их языке.
Коллеги, помогите разобраться. Как объяснить желающему проверить работу с конфиденциальной информацией в администрации муниципалитета сотруднику ФАПСИ, что его на это Закон не уполномачивает? И ФАПСИ, как таковая, не существует.

До кучи:
ФАПСИ (1991-2003) - Инфобизнес - Ещё вчера здесь было ФАПСИ
http://www.ibusiness.ru/offline/2003/238/25105/

11 марта 2003 года  В.В. Путин подписал указ, согласно которому упразднил ФАПСИ, создав на базе Агентства Службу специальной связи и информации при Федеральной службе охраны Российской Федерации (Спецсвязь России).
http://www.agentura.ru/dossier/russia/fapsi/

 

[Provincial]

Не пора ли нам вытащить скелет из шкафа?
Прошло три года, на направлении "снятие избыточных ограничений" было много шума и - НИ-ЧЕ-ГО.

18.02.2010 (в пятницу) на нефтянойГИСконференции выслушал краткие сообщения Козлова С.В. (начальник Военно-топографического управления ГШ ВС) и Кислова В.С. (Зам Рук Росреестра) о том, что межведомственная комиссия принимает все возможные меры по снятию избыточных ограничений по использованию пространственных данных. http://gisa.ru/71614.html
Было заявлено, что они согласны с избыточностью ограничений, с несоответствием мер защиты современному уровню технологий.
Обещано осчастливить нас в апреле и очень просили не мешать работать...

Президенту Путину в 2005 году http://www.gisa.ru/file/file662.doc, http://www.gisa.ru/file/file663.doc мы уже писали, теперь пора написать Президенту Медведеву...
Обсуждение ведётся на форуме ГИС-Ассоциации в теме "Защита информации. Государственная тайна. Служебная тайна. Коммерческая тайна" http://gisa.ru/new_forum/viewtopic.php?t=54868

Прошу Вас, коллеги, проанализировать текст Статьи 9. Порядок отнесения сведений к государственной тайне "Закона о государственной тайне" ФЗ-5485-1

Органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, в соответствии с Перечнем сведений, отнесенных к государственной тайне, разрабатываются развернутые перечни сведений, подлежащих засекречиванию. В эти перечни включаются сведения, полномочиями по распоряжению которыми наделены указанные органы, и устанавливается степень их секретности.
В рамках целевых программ по разработке и модернизации образцов вооружения и военной техники, опытно-конструкторских и научно-исследовательских работ по решению заказчиков указанных образцов и работ могут разрабатываться отдельные перечни сведений, подлежащих засекречиванию. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Целесообразность засекречивания таких перечней определяется их содержанием.

И ответить на вопрос: На каком основании ведомства секретят свои развёрнутые перечни?

В отношении перечней по разработке вооружений, ОКР и НИР я вижу указание о засекречивании как сведений, так и самих перечней.

А вот в отношении "развёрнутых перечней сведений", разрабатываемых нашими "органами государственной власти", считаю, что указание о засекречивании относится только к сведениям, но не к перечням сведений.

Вопрос принципиально важен, так как именно ограничение доступа к перечню секретов позволяет оградить их от обсуждения широким кругом специалистов и сделать инструментом недобросовестной конкуренции...

[Алексей А. Шаталов]

Если развернутый перечень ракрывает сущность, цель и возможные аналогии использования объектов, почему бы его не засекретить. Все правильно. Целесообразность будет определена содержанием. А чем не подходит не развернутый перечень. Недобросовестная конкуренция была есть и будет. Все вопросы такого рода будут решаться в суде. А к чему Вы клоните, собственно? Что так смущает?

[Provincial]

...почему бы его не засекретить. Все правильно.

От меня что требуют - соблюдать Закон.
А я - тупой. Стараюсь тупо следовать букве Закона.
Читаем приведённый мною фрагмент вни-ма-тель-но.

...разрабатываются развернутые перечни сведений, подлежащих засекречиванию.

ЧТО подлежит засекречиванию? Све-де-ни-я. Не пе-реч-ни.

В эти перечни включаются сведения ... и устанавливается степень их секретности.

Устанавливается степень секретности ЧЕГО? Све-де-ний. Не пе-реч-ней.

А в тех перечнях, о которых я говорю, речь идёт не о супер-новинках, а о примитивных и заурядных вещах: об использовании GPS-навигатора, электронной или бумажной карты, о номере дома на этой карте...

А к чему Вы клоните, собственно? Что так смущает?

А смущает меня то, что, во-первых, как  буду соблюдать Закон, если его не вижу?
Во-вторых, откуда мне знать, что такой Закон вообще существует?
В-третьих, и это самое забавное, как я могу его оспорить, если он секретен?

PS. А если мне неизвестно содержание Закона, неведомо о его существовании, то о каком соблюдении Закона идёт речь?