вторник, 20 мая 2014 г.

Общее. Правила двух блогеров поИБэ

Вся правда о двух блогерах.

Бытует мнение, что в среде блогеров поИБэ застой – уже опубликован весь имеющийся опыт, обсосаны все новости, перелопачены вдоль и поперек нормативные документы, пропиарены все продукты и услуги; в результате, пишущих блогеров пара десятков, количество статей и их качество постоянно падает, комментариев все меньше и они без идей.

Что делать? Откуда взять новый контент для блога поИБэ если блогером никаких новых документов не прочитано, никаких важных новостей не обнаружено, ни каких новых проектов не реализовано, никаких новых проектов не создано, никаких уязвимостей не обнаружено, никаких новых идей в голову не приходит?

Ситуация кардинально меняется когда встречаются два блогера. Давайте посмотрим, как они помогут друг другу сгенерировать новый контент “в квадрате”.

Мы помним что почти любой блогер – это эксперт. Он может провести экспертизу документа или системы – но это долго и трудоемко. Зато эксперт поИБэ может высказать экспертное мнение почти по любому вопросу.

(Сценарий 1):
1.      Блогер А – публикует в блоге экспертное мнение по вопросу в котором хоть немного разбирается Блогер Б
2.      Блогер А твитит ссылку на статью, пишет сообщение в facebook, далее автоматически ссылки распространяются в linkedin и другие соцсети (ведь любой уважающий себя блогер, как и ваш покорный слуга, формирует платформу)
3.      Статья из блога автоматически рассылается в блог-агрегаторы типа securitylab или bisa, попадает в RSS подписки и т.п. (платформа)
4.      Блогер Б ретвитит ссылку блогера А, лайкает сообщения в соцсетях (платформа)
5.      Блогер Б делает собственный твит со ссылкой на статью блогера А с добавлением краткого комментария и аналогично пишет сообщение со ссылкой в соцсети (воруй как художник)
6.      Блогер Б твитит и пишет в комментах соцсетей (для надежности сразу всех) что есть много замечаний и будет ответ – разгром мнения блогера А
7.      Блогер А ретвитит твиты блогера Б и лайкает сообщения и комменты Блогера А  (платформа)
8.      Блогер Б публикует в блоге разгромный ответ на экспертное мнение и описывает как на самом деле обстоит дело в данном вопросе поИБэ
9.       Блогер Б твитит ссылку на статью, пишет сообщение в facebook, далее автоматически ссылки распространяются в linkedin и другие соцсети (платформа)
10.   Статья из блога автоматически рассылается в блог-агрегаторы типа securitylab или bisa, попадает в RSS подписки и т.п. (платформа)
11.   Блогер А ретвитит ссылку блогера Б, лайкает сообщения в соцсетях (плятформа)

12.   Блогер А делает собственный твит со ссылкой на статью блогера Б с добавлением краткого комментария и аналогично пишет сообщение со ссылкой в соцсети (воруй как художник)
13.   Блогер А твитит и пишет в комментах соцсетей (для надежности сразу всех) что есть блогер Б совершенно его не понял, не учел кучу моментов которые достойны отдельной статьи
14.   Блогер Б ретвитит твиты блогера А и лайкает сообщения и комменты Блогера А (платформа)
15.   Блогер А публикует в блоге разгромный развернутый комментарий о том что имелось в виду в изначальной статье и почему было написано то что было написано ...

Как видите, в результате встречи двух блогеров появилось 2-3 или более статей, десятки их перепостов, шквал твитов, сообщений и комментариев в соцсетях.
Думаю общий порядок действий ясен и далее я буду его сокращать без потери смысла.

Далее мы вспоминаем что два эксперта – это уже экспертное сообщество. А экспертное сообщество может выпускать коллективное мнение или заключение или анализ ситуации, рынка, сегмента и тп.

(Сценарий 2):
1.      Блогер А встречает Блогера Б и проводят коллективный мозговой штур и формируют коллективное мнение
2.      Блогер А пишет статью с копией коллективного мнения и своими комментариями и что подробнее можно почитать в статье у блогера Б
3.      Блогер Б пишет статью с копией коллективного мнения и своими комментариями
и что подробнее можно почитать в статье у блогера А
4.      ....

Далее мы вспоминаем что два эксперта это ассоциация поИБэ

(Сценарий 3):
1.      Блогер А встречает Блогера Б придумывают название ассоциации поИБэ
2.      Блогер А пишет статью про такую радостную новость и описывает какая классная будет ассоциация и что подробнее можно почитать в статье у блогера Б
3.      Блогер Б пишет статью про такую радостную новость и описывает какая классная будет ассоциация и что подробнее можно почитать в статье у блогера А
4.      .... потенциальное количество ассоциаций ограничено количеством всех подмножеств множества всех экспертов ...


Далее мы вспоминаем что 2 эксперта – это мероприятие поИБэ
(Сценарий 4):
1.      Блогер А встречает Блогера Б, они придумывают название этой встрече
2.      Блогер А пишет отчет о мероприятии и что подробнее можно почитать в статье у блогера Б
3.      Блогер Б пишет отчет о мероприятии  и что подробнее можно почитать в статье у блогера А
4.      Блогер А пишет что мероприятия то теперь не те, а раньше то были
5.      Блогер Б пишет что мероприятия уже не те, а надо такие то
6.      ....

Далее мы вспоминаем что блогер по ИБэ – это СМИ, считай как журналист
(Сценарий 5):
1.      Блогер А берет интервью у Блогера Б по любому ИБ вопросу
2.      Блогер А пишет статью с интервью и своими комментариями
3.      Блогера Б пишет статью о том что у него взяли интервью и приводит ссылку на интервью
4.      меняются местами ....

А если блогеров будет не два а три? Эффект в кубе.

PS: Завтра PHDays на котором встретятся десятки блогеров и сотни экспертов – вот у блогеров нового контента то будет ..., на целый год хватит.





четверг, 15 мая 2014 г.

СОИБ. Анализ. Законопроект про облачные вычисления

08.05.2014 был опубликован дляпубличного обсуждения проект ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений».

В данной заметке сделаю обзор основных моментов документа, а так-же приведу некоторые замечания.

1) Первым делом дается определение новых терминов
·       интернет-провайдер
·       услуги облачных вычислений
·       поставщик услуг облачных вычислений
·       гарантирующий поставщик услуг облачных вычислений
·       потребитель услуг облачных вычислений
·       облачная инфраструктура
Определение терминов - это правильное дело.
Но к термину “интернет-провайдер” есть замечания.
“20) интернет-провайдер – лицо, оказывающее услуги по передаче информации в информационно-телекоммуникационных сетях;”

(Замечание 1) Стоит ли вводить такой термин, если он используется только 1 раз в ФЗ. При этом по тексту ФЗ так-же используется другой – “оператором связи, оказывающим услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет" “. В других ФЗ так-же широко используется определение оператора связи и явно надо было ссылаться на него в определении интернет-провайдера.

Так-же не понятно на какие информационно-телекоммуникационных сетях распространяется определение? Только Интернет или на любые другие?

2) В облачные вычисления попадают любые услуги по предоставлению:
·       программного обеспечения (в инфраструктуре поставщика услуг)
·       платформы (поставщика услуг для размещения ПО потребителя)
·       инфраструктуры (поставщика услуг)





3) Поставщикам облачных услуг предъявляются следующие общие требования:
·       абсолютная доступность информации
“доступность информации, переданной поставщику услуг облачных вычислений … в любое время.”
·       обеспечение потребителю возможности участвовать в обработке информации, в том числе полного удаления информации
·       разграничение доступа к информации

Правда последнее требование можно только домыслить, потому что язык у авторов заплелся и две фразы перемешались в одной.
“разграничение по доступу, безопасности информации потребителя услуг облачных вычислений от информации других лиц.”

(Замечание 2) изложить в виде “ограничение доступа к информации потребителя услуг облачных вычислений со стороны других лиц” либо “разграничение информации потребителя услуг облачных вычислений от информации других лиц” либо “обеспечение безопасности информации потребителя услуг облачных вычислений”.

По поводу абсолютной доступности. Такого я раньше ещё не видел в законодательстве.
В документах ЦБ по бесперебойности НПС – “уровень бесперебойности”, “планы восстановления”, ”информирование о сбоях”.
В ПП 424 “восстановление информации в течении не более 8 часов”
В Приказе Минкомсвязи №104 от 25.08.2009 “устойчивость функционирования ИС общего пользования”, “способности ... возвращаться в исходное состояние”
В приказе ФСТЭК/ФСБ №416/489 “поддержание доступности информации”

А в данном законопроекте сразу “доступность информации … в любое время”. Даже если обеспечить полное дублирование и кластеризацию всего что можно, всё равно остается некоторый % вероятности отсутствия доступа. Те же DDoS атаки. По настоящему бороться с мощными дорогими DDoS атаками не получится в режиме 100% доступности.

(Замечание 3) Из требования “доступность информации, переданной поставщику услуг облачных вычислений … в любое время.” убрать фразу “в любое время”

4) Услуги облачных вычислений для Гос-ов делятся на 2 типа:
·       Типовые услуги (для управления персоналом, финансами, материальными и нематериальными активами, обеспечения деятельности по организации информационного взаимодействия – в том числе размещение сайта с информацией общего пользования)
·       Специальные услуги (предоставление госуслуг, исполнение гос. функций)
Для меня пока вопрос, какие именно облачные сервисы попадут в типовые (хостинг публичного сайта, госзакупки, портал техподдержки). Но так как требования для них не различаются, то пока не критично.
Каталог типовых услуг формирует Роскомнадзор.
А дальше опять каламбур.
“5. При формировании Каталога услуг в части типовых услуг, в него подлежат включению только услуги по предоставлению сертифицированных в установленном порядке федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, средств защиты информации.”
Это что получается. В каталог типовых услуг попадает только аренда СЗИ? При чем тут тогда управление персоналом или финансами?

(Замечание 4) Изложить в виде “При формировании Каталога услуг в части типовых услуг, в него могут включаться услуги по предоставлению средств защиты информации,  только сертифицированных в установленном порядке федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.”
либо
“При формировании Каталога услуг в части типовых услуг, в него подлежат включению только услуги, безопасность информации в которых обеспечивается сертифицированными в установленном порядке федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, средствами защиты информации.”

5) РКН утверждает требования в госконтрактах и договорах связанных с облачными вычислениями. И как раньше до этого не додумывались? Это же реальный инструмент для продвижения “правильных” облаков.
вопросы ценообразования пропускаю …

6) К поставщикам услуг облачных вычислений для Гос-ов предъявляются дополнительные требования:
·       Только российские юр. лица, вся облачная инфраструктура которых в РФ
Отпадают все иностранные поставщики, а так-же российские поставщики, арендующие инфраструктуру у западных компаний. Плюс этого пункта – сразу отпадают все вопросы о не действии  требований РФ на инфраструктуру, размещенную в других странах
·       Финансовая устойчивость (по непонятной пока формуле)
Явно будут отпадать небольшие поставщики
·       Наличие лицензий на ТЗКИ и СКЗИ
Не соглашусь с коллегами, что это требование было раньше. Это требование было актуально для услуг, в которых обрабатывались персональные данные или другая информация ограниченного доступа либо применялись СКЗИ. Если же обрабатывалась не охраняемая законом информация, какая-нибудь мало значимая информация – сбор статистики, опросы, дистанционное обучение и т.п., в таких случаях лицензию на ТЗКИ иметь не обязательно.
·       Наличие двух аттестованных ФСТЭКом ЦОД (в собственности или на правах долгосрочной аренды>49 лет)
Явно будут отпадать небольшие и средние поставщики услуг. Если поставщик услуг сам арендовал пару стоек в крупном дата центре либо если один из ЦОДов не в долгосрочной аренде – под требования не подходит.
На соответствие каким требованиям будет аттестоваться помещение ЦОДа пока не понятно. Но эта аттестация явно затруднит поэтапное наращивание инфраструктуры.
Придется сразу строить и аттестовать облачную инфраструктуру с запасом на несколько лет, что под силу только крупным поставщикам. А как же поддержка малого и среднего бизнеса и требование 94-ФЗ?
”государственные заказчики, … обязаны осуществлять размещение заказов у субъектов малого предпринимательства в размере пятнадцати процентов общего объема поставок товаров, выполнения работ, оказания услуг”
·       Аттестованная АС, включающая облачную инфраструктуру
Так-же пока не понятно на соответствие каким требованиям будет аттестоваться АС. Их ещё предстоит разработать ФСТЭК-у. Но в любом виде аттестация затруднит поэтапное наращивание инфраструктуры.

7) (Замечание 5) В тесте имеется противоречие по выбору поставщиков услуг ОВ.
Статья 15.6….7. Определение поставщика услуг облачных вычислений осуществляется государственными органами в порядке, установленном законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд с учетом требований, установленных настоящим Федеральным законом.”
Статья 15.9…. 7. Правительством Российской Федерации устанавливается порядок и условия отбора поставщиков услуг облачных вычислений для оказания услуг облачных вычислений органам государственной власти, органам управления государственными внебюджетными фондами, органам местного самоуправления. По результатам отбора поставщиков услуг облачных вычислений Правительством Российской Федерации определяется перечень таких операторов.”
Надо четко зафиксировать, кто определяет подходящих поставщиков услуг ОВ? Либо потребитель вносит требования к поставщику в конкурс, а потом оценивает конкурсные предложения. Либо все проверки делает Правительство РФ и отдает уже готовый проверенный список поставщиков ОВ из которого можно брать любого.

8)  ФЗ вступает в силу 1 января 2015 года.
Ниже привожу структуру новых подзаконных актов по облакам, которые должны быть разработаны во исполнение данного ФЗ.

Учитывая обычные сроки разработки нормативных актов и дополнительного времени, необходимого поставщикам услуг ОВ для выполнения этих актов – разработчики ФЗ ошиблись на год со проком.

(Замечание 6) Необходимо указать реальный срок вступления ФЗ в силу. Изложить пункт в виде “Настоящий Федеральный закон вступает в силу с 1 января 2016 года.”


Резюме:
1.       ФЗ явно предназначен для лоббирования интересов крупных Российских поставщиков услуг облачных вычислений для Гос. (вероятно Ростелеком, МТС)
2.       Проект ФЗ содержит ряд явных ошибок, которые могут быть и должны быть исправлены
3.   В общей части терминология и подходы законопроекта к облачным вычислениям соответствуют лучшим современным стандартам, таким как NIST

PS: за бортом похоже от Гос. остаются такие сервисы как http://rvision.pro/, https://www.docshell.ru/
PPS: Обзор данного законопроекта от Алексея Лукацкого