пятница, 25 ноября 2016 г.

Про лицензирование в области ИБ... и котЭ



На этой неделе в отечественных ИБ-блогах снова обсуждалась тема лицензирования. Дискуссию вызывал "мониторинг ИБ", который, согласно ПП 541, становится лицензируемым видом деятельности.
Вопрос, что именно понимать под мониторингом ИБ и кому нужна соответствующая лицензия получил среди экспертов как минимум два объяснения (1, 2), оба из которых аргументированы и имеют право на жизнь.
В общем, отечественная нормативка по ИБ продолжает жить по принципам квантовой механики (в части относительности и неопределенности).
Отсутствие определенности печально еще и потому, что вопрос необходимости лицензии совершенно не праздный. Например, в отношении гос. контрактов, отсутствие требований к лицензиям в конкурсной документации (или, наоборот, наличие необоснованных требований), может привести к жалобам и прочим неприятным проблемам. Так что, копья ломаются вполне реальные.

На тему лицензирования в ИБ мне тоже недавно пришлось готовить презентацию. К этому подвигли вопросы в духе "а нужна ли тут лицензия?", на которые по работе приходится отвечать довольно часто. 
В общем, я свою презентацию "причесал" и выкладываю здесь. Помимо лицензирования, в презентации раскрыта тема котэ, поэтому данный пост прошу считать пятничным :)


Для тех у кого не отображается презентация: ссылка

четверг, 17 ноября 2016 г.

Законопроект о стабильности Интернета




На федеральном портале проектов НПА опубликован интереснейший законопроект об обеспечении устойчивости российского сегмента сети «Интернет». Кто стоит, тем лучше присесть.

Ни единого разрыва

В июле 2014 президент провёл заседание совбеза, «посвящённое вопросам противодействия угрозам национальной безопасности в информационной сфере».
В ходе заседания было озвучено, что необходимо реализовать комплекс мер в области ИБ. В том числе, мер по «устойчивости и безопасности» российского сегмента Интернет.
В дальнейшем в СМИ начали просачиваться отрывочные сведения о готовящемся законопроекте на эту тему. Ходили страшные слухи о том, что согласно законопроекту «регулирование инфраструктуры рунета станет исключительным правом государства», а также о том, что государство будет контролировать весь трансграничный трафик, в том числе при помощи специальных технических средств. С учетом последних инициатив в области безопасности, оптимизма эти слухи не прибавляли.
И вот, наконец, законопроект опубликован для общественного обсуждения. 

Базовые определения 

Законопроект вводит в Федеральный закон «О связи»»  несколько новых определений.

Начнем с того, что же такое «российский сегмент сети Интернет». 
 

Следующее ключевое понятие – точка обмена трафиком.
 
Еще нам пригодится определение IP-адреса и линии передачи
 

Как видим речь пока идет только о белых IP-адресах. Переходим к сути.  

 

Достаем и выкладываем IP-адреса, без резких движений

Законопроект предусматривает создание федеральной государственной информационной системы обеспечения целостности, устойчивости и безопасности функционирования российской части сети «Интернет».
Эта система будет хранить и обрабатывать информацию об IP-адресах, автономных системах, точках обмена трафиком и иных «критических элементах» российского Интернета.
Короче говоря, будет частично продублирована база адресов регионального регистратора Интернета (RIPE NCC), в зоне ответственности которого находится Россия.
 
Откуда в системе возьмется информация?
Само собой, провайдеров обяжут предоставить в систему сведения о точках обмена трафиком.
Но это еще не все. Информацию предоставляют не только провайдеры, но и «юридические лица и индивидуальные предприниматели»:
 
Пока это выглядит так, что все компании и ИП обязаны будут регистрировать свои «белые» IP-адреса в создаваемой системе. А при их смене - уведомлять. Вот это поворот!
Читаем дальше. 

 

Все по согласованию с ФСБ

Законопроект затрагивает также вопросы организации линий передачи, пересекающих границу, а также организации точек обмена трафиком.

 

То есть, точки доступа возле границы теперь лучше не разворачивать. Хотя не очень то и хотелось.  
 
Технические требования к линиям передачи, пересекающим государственную границу устанавливаются Минсвязи по согласованию с ФСБ. Какого рода будут эти требования пока неизвестно.

Точки обмена трафиком также должны удовлетворять требованиям, которые согласованы с ФСБ.

 
Кстати, в этом месте федеральный орган исполнительной власти до конца не определен, похоже просто из-за опечатки. 
Таким образом, ФСБ будет, по крайней мере, согласовывать и участвовать в разработке требований к линиям "трансграничной" передачи и точкам обмена трафиком. Какого рода будут эти требования, пока неизвестно. 

Что в итоге

Законопроект пока содержит достаточно мало деталей. Конкретика будет прописана на уровне постановлений Правительства и различных технических требований. Это затрудняет анализ и понимание конечного замысла авторов. По сообщениям некоторых СМИ, это было сделано намеренно, чтобы оценить общую реакцию отрасли. 
Нужно дождаться комментариев в части "предоставления сведений" со стороны юридических лиц и ИП, а также о роли ФСБ в организации точек обмена трафиком.

P.S.
Пока писал заметку, появились еще новости из области устойчивости и безопасности: LinkedIn направлена на блокировку операторам связи.