100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №7 "Спам – это проблема для оператора"12.11.2008 15:05
Миф №8 "Регуляторы могут проверять вас, когда захотят"18.11.2008 19:47
Подобный материал:
1   ...   5   6   7   8   9   10   11   12   ...   69

Миф №7 "Спам – это проблема для оператора"12.11.2008 15:05


По разным оценкам объем спама в почтовом трафике Рунета составляет от 80 до 90 процентов (за неделю до написания настоящего мифа эта цифра, по данным проекта «Спамтест», составляла 81.5%). Считается, что спам является проблемой для всех, кроме его отправителей; в частности для оператора связи (Интернет-провайдера). Вопреки распространенному заблуждению о том, что спам является проблемой для оператора связи и он должен с ней бороться, это совсем не так. Более того, он на нем зарабатывает деньги, т.к. пользователь платит за каждый байт получаемого трафика. Поэтому чем больше спама, тем выше у оператора связи доходы. Да и заявления о том, что спам забивает всю полосу пропускания, тоже не соответствует действительности.

Но и совсем утверждать, что проблемы нет тоже не совсем правильно. Она все-таки существует, но в совершенно другой ипостаси, которая и заставляет оператора задуматься о том, как ее решать. У него для этого есть всего одна причина – пользователи. Именно они диктуют (или должны диктовать) оператору требование защиты своих почтовых ящиков от непрошенной корреспонденции.

Во-первых, для большинства пользователей «чистый» спам является скорее проблемой психологической (см. планируемый миф про спам для конечных пользователей); примерно как "Проблема 2000 года". Реальной угрозы он не несет, но стараниями СМИ и производителей средств от спама, потребитель всерьез опасается нежелательной корреспонденции, попадающей в его почтовый ящик. А т.к. решить эту проблему на уровне отдельного потребителя сложно (см. планируемый миф о легкости обнаружения спама), то он пытается переложить всю вину и ответственность на оператора связи. И если последний не задумается о решении этой проблемы, то клиент может просто уйти к другому провайдеру Интернет-услуг. Правда, пока клиенты не столь разборчивы в своих «связях» и не ставят защиту от спама как задачу №1 при выборе Интрернет-провайдера.

Вторая проблема связана с методом распространения спама. В большинстве случаев это делается путем предварительного взлома незащищенных компьютеров пользователей, которые затем используются как база для рассылки спама (т.н. бот-сети). На различных Интернет-аукционах даже можно встретить сообщения о продаже или сдаче в аренду сетей из таких взломанных «зомби»-узлов. Именно взлом влияет на решение оператора заняться проблемой спама, т.к. эти же «зомби»-узлы могут использоваться для реализации атак «отказ в обслуживании», которые наносят уже прямой финансовый ущерб операторскому бизнесу. Правда, в данном случае методы борьбы со спамом и иной аномальной активностью, исходящей от взломанных машин-«зомби», отличаются от тех, которые используются в традиционных антиспам-решениях корпоративного уровня.

Третья причина в том, что требование защиты своих пользователей включено во многие законодательные акты по всему миру. В России такое требование есть в Концепции информационной безопасности взаимоувязанной сети связи (ВСС), которая на момент написания данной книги пока не была утверждена в качестве официального документа, а также в статье 18 Федерального закона «О рекламе» от 13.03.2006 №38-ФЗ. На Западе если оператор связи решит не заниматься данной проблемой, то это может ему «влететь в копеечку». Например, в США зафиксирован уже ряд судебных исков со стороны клиентов, посчитавших, что их Интернет-провайдер не обеспечил им защиту от хакеров, вредоносных программ и других угроз. Правда, в России пока сложившейся судебной практики по борьбе со спамом нет.

Среди российских операторов связи единого мнения по защите клиентов от спама пока не сформировалось. Для тех, кто предоставляет только почтовый сервис (например, Mail.ru, Яndex.Почта или Rambler.Почта), это является стандартом де-факто, а вот традиционные операторы такую возможность пока только рассматривают как один из дифференциаторов. Причем кто-то просто включает эту услугу при предоставлении Интернет-доступа, а кто-то предлагает защиту от спама за отдельную плату. К числу операторов, клиенты которых могут защитить свою почту, можно назвать ТТК (прежнее название – Транстелеком), Ростелеком, ГолденТелеком (недавно слился с Вымпелкомом) и т.п. Интересно, что еще совсем недавно ТТК не боролся со спамом и прямо заявлял это на своем сайте («Компания ТТК не несет ответственности за содержимое и объемы SMTP-трафика Клиентов, а также не осуществляет функций контроля и регулирования этого вида трафика»), но давал рекомендации, как клиентам защитить себя самостоятельно. Однако совсем недавно ТТК внедрила у себя решение по защите своих клиентов от спама. Иными словами, помимо требований со стороны клиентов, оператор может внедрять у себя антиспам-решение также под влиянием желания заработать или дифференцироваться от других игроков этого рынка.

Миф №8 "Регуляторы могут проверять вас, когда захотят"18.11.2008 19:47


После вступления в силу Федерального закона «О персональных данных» все чаще приходится слышать на многих конференциях и семинарах вопрос от рядовых пользователей: «А вот ко мне придут и проверят, как я выполняю требования по защите персональных данных. И я не могу им отказать!» Этот вопрос с завидной регулярностью всплывает после выхода очередного нормативного акта, так или иначе связанного с информационной безопасностью. Однако законодательство – это не только бич для многих юридических и физических лиц, но и большое подспорье в борьбе с использованием своего служебного положения в незаконных целях. Разумеется, при условии, что вы знаете законодательство.

Любая проверка со стороны регулятора (и область информационной безопасности тут не исключение) должна проводиться в строгом соответствии с ФЗ от 14.07.2001 №134 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)». Какие интересные моменты можно почерпнуть, читая данный закон?

Их несколько. Во-первых, презумпция добросовестности. Т.е. вас нельзя обвинить огульно, не имея на то никаких доказательств, собранных по всей форме. Как вы понимаете, якобы имеющиеся слухи о том, что вы не соблюдаете правила защиты конфиденциальной информации, к числу таких доказательств не относятся.

Во-вторых, закон в качестве основного принципа защиты прав юридических лиц и индивидуальных предпринимателей устанавливает «открытость и доступность для юридических лиц и индивидуальных предпринимателей нормативных правовых актов, устанавливающих обязательные требования, выполнение которых проверяется при проведении государственного контроля (надзора)». Это значит, что если вас проверяют на выполнение нормативных документов ФСТЭК по защите персональных данных или иных видов конфиденциальной информации, эти самые документы должны быть вам доступны без ограничений. Это правило, к сожалению, часто не выполняется, т.к. и требования ФСТЭК по защите персональных данных, и требования по защите конфиденциальной информации (СТР-К) носят гриф «ДСП» и если вы и можете их получить, то заплатив за это небольшую денежную сумму.

В-третьих, вас не могут придти проверять просто так. Нужно определенное основании, которое выражается в виде распоряжения (приказа), в котором среди прочего (п.1 ст.7 134-ФЗ) упомянуты:

• цели, задачи и предмет проверки

• правовые основания проведения проверки.

В-четвертых, вопреки расхожему мнению о том, что вас могут проверять сколько угодно раз, пункт 4-ый 7-ой статьи говорит, что «плановое мероприятие по контролю может быть проведено не более чем один раз в два года» (для малого предпринимателя этот срок увеличивается до 3-х лет). Внеплановая проверка осуществляется для контроля исполнения выданных ранее предписаний или при «обращении граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов». При этом важно помнить, что «обращения, не позволяющие установить лицо, обратившееся в орган государственного контроля (надзора), не могут служить основанием для проведения внепланового мероприятия по контролю».

Учитывая полную неразбериху в отечественной нормативной базе по информационной безопасности, очень важной представляется п.3 ст.15, который гласит «нормативные правовые акты, принятые органами государственного контроля (надзора) в нарушение законодательства Российской Федерации, признаются недействительными полностью или частично в порядке, установленном законодательством Российской Федерации». Иными словами, если вас пытаются проверять по внутреннему документу или несоответствующему законодательству нормативному акту, вы смело можете опротестовывать действия надзорного органа (вопрос только в том, готовы ли вы к этому).

Что же мы видим? Область надзора достаточно жестко регулируется федеральным законодательством и надо просто потратить некоторое время на его изучение, чтобы защитить себя от любых наездов или неправомерных проверок со стороны регуляторов, которые сами не всегда до конца знакомы с многообразием нормативных актов, выпущенных в России.