Обсуждение новости: Борьба с киберпреступностью находится на правильном пути - Форум по вопросам информационной безопасности

Да здесь не до высшей математики!
Тут бы азы грамоты были....
Я смотрел по ТВ встречу Гатт+Жена Касперского+Лукацкий+диктор
(выдержки есть на блоге Лукацкого)
Вторая и третья персона ели сдерживаясь пытались быть серьезными
Гатт - щебетал аки соловей и нес околес...
Диктор не въезжал..
Одним словом...лебедь+рак+штЮка=Стратегий около и вокруг кибербезопасностей

Фигуранту еще надо долго обьяснять откуда можно списать...он примет решение как и подобает СтЕНАтору - выделить денег! но не много! чтобы хватило и на бумагу и на свои нужды ...озерцо, там прикупить... или выпас на 5000 000 га в Калининградской области...подшальничек в альпах...

Прохожий: Так я что хотел сказать-то: у нас так выстроена система принятия решений, что к принятию, этого самого решения, допускается кто угодно, но не профессионалы предметной области. "Язык", на котором они разговаривают отличается от "языка" профессионалов. А профессионалов никто и близко не допустит к такого рода возможности попиариться, и пофигу последствия в виде ха-ха, хи-хи, ... на спину!

>прохожий

что мне делать и чем заняться я как-нибудь без ваших сопливых указаний разберусь.

>malotavr

все с вами ясно, нет никакого желания тратить время на предсказуемость вашей тупизны, идите ка вы в игнор.

Вообще господа мне непонятны переходы некоторых особоодаренных экспертов на личность, это тут в интернетах (Интернет на самом деле не один, именно интер, а не интра) все просто, а в реале рельеф лица может измениться за такие выпады. Красные корочки, и/или гос. должность на самом деле не да дают + 5 к силе, и + 4 к ловкости.
Возникает только один вопрос : - если ты такой умный, все умеешь и все знаешь, да еще на гос. должности, то, что же страна то тогда в таком состоянии? Чего же у нас при таких то талантах все в таком упадке и ничего нет ? А то вы нам тут вещаете про то как все просто и что все уже придумано, а на деле то нет ни хрена. А вместо вас таких мегаумных с важными инициативами возятся непонятные лица? Идите тогда им помогите, вместо того чтоб своими нимбами прожигать натяжные потолки.
я вот академиев не заканчивал, но даже мне с равнины сельского образования ситуация по многим моментам кажется очевидной, но вам то понятно дело, все гараздо яснее и отчетливей видно, такая аргументация не боится никакой критики)

Поэтому тратить время на чтение постов из серии "вы все преувеличиваете, вам показалось, все не так" "в Богдаде все спокойно" и "у нас все харашо", я больше не собираюсь, идите Госдеп лучше успокаивайте, а то не ровен час самая демократичная страна в мире начнет возвращать в каменный век очередное независимое государство. При этом активно используя "бесполезные и неэффективные" БПЛА и другую роботехнику.

На этом позвольте завершить лирическое отступление и перейти к делу. Спасибо за вариант стратегии, весьма интересный документ оказался. В двух словах: - "ничего обо всем" или "все ниочем".
При поверхностном ознакомлении возникает ровно один вопрос : - а что такое кибербезопасность? что-то или "лыжи не едут или я на асфальте", но не заметил определения. Короче КБ это безопасность чего ? каких объектов ? что значит ее обеспечение? из чего оно складывается, из каких мер или действий ? и что выступает критериями оценки данного состояния?

Про угрозы. Опять что называется на те же грабли как и в Доктрине ИБ котлеты вперемешку с мухами. Есть такая наука логика, но почему-то с ней никто не дружит и угрозы напеханы от потолка, они никак не классифицированы, а значит очень часто дублируют друг друга и затрагивают другие сферы. То есть они как положено не детерменированы. Отсюда следующие вопросы, как товарищи законодатели собираются считать вероятность их реализации? ( в стратегии написано: приоритизация киберугроз в соответсвии с вероятностями их реализации, НО как ? как эту вероятность определять ответа нет ) и на основе каких показателей они будут делать выводы о наличии отсутствии состояния КБ? Как без этого всего можно построить модель угроз и модель нарушителя ?

Одно радует вроде появилось понимание связи КБ с обороной страны, ну слава Богу ) это достижение )

Спасибо)

hard | 44338
Про "мою логику" , железнодорожников и ИТ:

1. Вы скачивали материал, представленный на сайте? Хотя бы бегло успели пробежать?

2. В 2005 году (8 лет назад, еще не было той законодательной, нормативной и методической базы, которой сейчас мы пользуемся) НИИГлоб уже фактически прогнозировал современные угрозы.

3. Именно НИИГлоб показывает взаимосвязь информационных войн, информационного оружия, оружия массового поражения и кибербезопасности.

4. Ну а логика в том, что не Президент, а возглавляемый им НИИ может быть привлечен к выполнению работ.

Нефедьев С.Г. | 44346
Скачивал, читал - иначе бы не говорил. А рыба гниет с головы - истина!

2 Akioray, МГУ 44211
...проще всего в интернетах да? ....

А сколько их энтих интерНЕТов?
Я всегда считал что раз интер- то всего один на всех
вот интра- этих много

Наезд не по делу

Akioray, МГУ 44344 07.06.2013 14:22

>прохожий
что мне делать и чем заняться я как-нибудь без ваших сопливых указаний разберусь.

Наезд не по делу второй.
Вам здесь не хамили - а Вы ведете себя вызывающе...
Нравится быть хамом? и при этом кичиться МГУ? Не комильфо! Это уровень ПТУ!
а это:
...а в реале рельеф лица может измениться за такие выпады...
Не угроза личного террора?
Не надо грязи.. при вашем открытом ай-пи можно и присесть за шантаж и угрозу личного террора - сейчас как-раз набор обьявлен...

> Прохожий

> про Интернеты

Это тема отдельного разговора, я тоже раньше думал что один, но вроде как их уже два.

Что касается моей непримечательной личности это тоже офф-топ не надо на меня наезжать и все будет в порядке. Это один из участников дискуссии (кстати тоже с открытым IP) не постеснялся прировнять мою скромную персону к отряду грызунов, ну а дальше понеслось. Раз кто-то считает возможным меня обзывать, я считаю возможным указать куда ему идти. Вот и не надо грязи, при моем открытом ай-пи и соседском незакрытом Wi-Fi. И пугать меня тоже не надо, с тем же успехом можно толковать в качестве угрозы личного террора предупреждения из серии : "ты туда не ходи ! сюда ходи, а то снег башка попадет . . ." или "не стой под стрелой" или "берегись повотора башни". Тем более в нашем законодательстве ЮО за поведение в сети отсутствует напрочь, хотя конечно жаль. А правоохранительным органам и без нас есть чем заняться, причем они точно сейчас не страдают от избытка лишнего времени и свободных спецов.

(Кстати если у кого-то есть хоть какая-либо статистика о деятельности БСТМ за последние годы, буду признателен если поделитесь).

Про ПТУ кстати вы угадали, потому как в моем случае МГУ это не универ имени Ломоносова, а как раз училище, не вижу ничего плохого в том, что люди учаться и в училищах, кстати говоря, на их способностях это никак негативным образом не отражается, да среда особая не такая гламурная как в университетах, но что делать, не у всех есть шанс туда попасть. Так что кичится мне нечем, мне за державу обидно, особенно когда некоторые изо всех сил пытаются осмеять важные проблемы и за одно людей которые ими обеспокоены.

Вот на этом я предлагаю прекратить переходы на личность и вернуться к обсуждаемой здесь теме. Тем более что многие важные вопросы остаются открытыми.

И кстати в тему, вроде у нас столько всяких институтов, неужели их нельзя привлечь в работу по этим проблемам, там как никак научные кадры, ну и вообще умные люди должны быть. И в добавок, хотелось бы узнать мнение неравнодушных лиц, по поводу обозначенных вопросов, в частности как отличить киберугрозы от инфоугроз?

Akioray, МГУ | 44357
> как отличить киберугрозы от инфоугроз

Попробуем "танцевать от печки".
Начнём с того, с чего начали эту тему, с определений или с понятийного аппарата.
Не хочу делать вывод за всех, поэтому предложу хотя бы самим себе ответить на вопросы:
- определены ли в российском законодательстве и ГОСТ определения "кибербезопасности", "киберугроз" и "киберпреступлений"?
- чем отличаются смысловые содержания терминов и определений ГОСТ, НМД и российского законодательства от смысла, вкладываемого в "кибер"-того-сего?
- если хочется, чтобы в незнакомой игре ваш противник играл по вашим правилам, которые он или плохо знает или плохо умеет применять, чтобы вы сделали?

Моё мнение:

Так называемое "реформирование" и всё, что с этим связано (международные проекты, массированное давление в СМИ на государственную систему принятия решений через прозападных НКО и "грантовых" экспертов, работа особо одаренных госслужащих на "заграницу" в виде лоббирования "иностранных указаний" и т.д.) затрагивает в том числе и сферу защиты информации.

В первую очередь изменяются "правила игры". В СМИ осуществляется подмена определений и терминов иностранными. Затем в иностранные определения вкладывается похожий, но иной смысл, не воспринимаемый на языках " развивающихся" стран (стран - подопытных кроликов). Различного рода "экспертные сообщества" голосят о необходимости принятия новых законов. Принимается закон. И всё повторяется снова и снова до тех пор, пока иностранной стороной не будет достигнута поставленная цель: интеграция системы управления страны-кролика с системой управления Сообщества стран-агрессоров.

Последствия внедрения "всего самого, чтобы как в развитых странах" в чьих-то интересах не просчитывались и не просчитываются. К примеру, с последствиями ввода грифа "коммерческая тайна" для частных организаций (при акционировании ФГУП), и одновременным оставлением пометки "для служебного пользования" в органах власти на первых порах привело к тому, что организации перестали защищать дсп, а органы власти - кт. Всего-навсего выполняли законодательные нормы.

Приняли закон "О СМИ". Что получилось? Обыватель потерялся в понимании термина "информационное воздействие".

Ничего нового, на мой взгляд в этих "кибер" нет. Просто это попытка выделить понимание термина "информационное воздействие" в отношении технических средств и систем. Т.е. объект атаки - это техника, а не человеческое сознание.

В то же время, воздействие на сознание человека возможно выполнить посредством воздействия на технику, если человек связан с этой техникой. Немного наверное коряво.

Нефедьев С.Г. | 44360

Продолжение.
Есть безопасность государства.
Одна из её составляющих - так называемая "информационная безопасность". Термин - "в никуда". Целесообразно рассматривать более понятный по логике и смыслу термин "безопасность информации".

В "безопасности информации" информация может быть рассмотрена как объект воздействия и как средство, используемое для воздействия на сознание.

Информация - объект воздействия существует в ОТСС, ВТСС, на всевозможных носителях, и в виде информативных сигналов и полей. Особые случаи - информация в электронной форме в электронных СМИ и информация, существующая в виде культурных, исторических, моральных и этических традиций и норм в массовом сознании.

Одновременно, информация может быть средством воздействия на всё перечисленное.

А если взять и "уйти" от термина "безопасность информации"? ))) Что получится?
Да красота получится:
безопасность объектов воздействия;
безопасность от средств воздействия.
То есть, безопасность "чего" и "от чего". А это уже легко преобразуется в матрицу, которая может лечь в основу прав и полномочий как органов власти, организаций, так и граждан.

Но это защитные мероприятия.
Противоположность им - действия активные, наступательного характера.

Совокупность действий в обороне (защита, обеспечение безопасности) и наступлении (атака, воздействие) в одном документе с выделением приоритета одного над другим - это будет уже Стратегия. Добавьте распределение полномочий из матрицы и может быть получите наставление по ведению так называемых "информационных операций", предшествующих или проводимых в рамках операций.

Теперь ближе к теме.
Нельзя делать защиту от киберугроз (т.н. "кибербезопасность") приоритетом в обеспечении безопасности информации, оставляя беззащитными другие направления.
Нельзя выделять "кибербезопасность" в отдельную Стратегию, тем самым отказываясь от активных действий в телекоммуникационных сетях и СМИ.

С учетом важности вопросов, которые могут быть разработаны в Стратегии, на "тактическом уровне" может быть опубликована выборка из неё в форме "Наставления органам власти, организациям и пользователям по защите от угроз информационного характера".

И ещё. Сколько денег можно было бы сэкономить, если бы коммерческая тайна, персональные данные общей и специальных категорий, биометрические данные защищались бы как служебная тайна. Многие могут не поддержать это высказывание.

> Нефедьев

Что-то я совсем запутался. Безопасность государства это полная безопасность, безопасность от всех угроз так? Тогда информационная безопасность государства это его защищенность от информационных угроз или безопасность его информационной сферы? Короче что брать за основу объект или вид опасностей ? или и то и это? Везде по разному. При этом по любому ИБ не= БИ. Если уйти от термина безопасность информации, все смешается с другими видами безопасности, хотя оно и так смешивается.

Кстати на счет безопасности "чего и от чего", если безопасность "чего" еще можно определить всегда, то безопасность "от чего" не всегда, потому как если речь идет о безопасности объекта то это его безопасность от всего - т.е. защищенность от всех угроз, а если идет какая то приставка типа пожарная - то от конкретных угроз. Вроде так получается

Теперь про кибербезопасность, я точно не помню, но вроде как Виннер с Шеноном считали что теория управления это часть теории информации. То есть по-идее, КБ это должна быть подвидом ИБ. И рассматриваться соответсвенно как частный случай ИБ, со всеми связями. Но тут еще думать надо конечно. Короче думаю надо от управления плясать. Тут ведь вот еще какой вопрос возник, чем отличаются перступления в сфере высоких технологий от киберпреступлений? это синонимы? или как? А преступления в сфере компьютерной информации тогда к каким из их относятся?

Про разграничение видов информации ограниченного доступа вообще вопрос риторический. Критериев четко разграничивающих один вид охраняемой информации от другого так ведь и нет. Мне например, вообще непонятно как я должен относится к ноу-хау, это объект какого права гражданского или информационного? Потому как получается что это одновременно и конфиденциальная информация и объект интеллектуальной собственности. Хоть бы приоритетв какие указали что выше по силе ? А перс данные ? если субъект сам их сделал общедоступными в соц. сети например все выложил, оператор их должен после этого защищать ? Короче это тема для отдельной темы.