Эшу быдлокодит

Forwarded from Архив КС/РФ(Сиона-Футуриста) (Красный)

Известная особенность экономики РФ - большая доля госучастия - не обошла и IT рынок. Вы думаете обычный комп ничем не отличается от госкомпа? Как бы не так: существует специальное регулирующее ведомство, отвечающее за порядок обеспечения безопасности информации в государственных инфосистемах.

Оно называется ФСТЭК и по-сути является бюрократическим органом, занятым: созданием рекомендаций и стандартов, лицензированием и сертифицированием инфосистем и IT компаний.

Как это водится для наших регулирующих ведомств, оно отстает от своей индустрии лет на 10. Его сотрудники практически ничего не тестируют на защищённость. Есть перечень из 200+ потенциальных угроз безопасности. Если хотите работать с государством, будьте добры, опишите, как вы планируете с ними бороться и как будете доказывать принимающей стороне, что реально с чем-то боретесь. При необходимости - подтвердите, что имеете сертификат: ''тут пилят безопасный софтец!''

Требований для получения такого сертификата масса, в некоторых случаях доходит до необходимости наличия специально защищенного помещения для проведения совещаний по проекту. Проще посадить одного виртуального лицензированного инфосека и торговать лицензией, чем реально приводить компанию в соответствие им.

Подобный подход породил новое направление «IT-бизнеса» - "аренду" лицензии. Компания каким-то образом получает лицензию, после чего начинает продавать коллаборацию с собой: разрабатываете что-то для государства и нужна лицензия? Пожалуйста! Зачастую, заплатить им проще и дешевле получения сертификата.

Ещё одно направление подобного «бизнеса» - продажа переделанного и лицензированного опенсорсного ПО. Примеры: Alt Linux, Astra Linux, Postgres pro. Если "линуксы" - это банальное утешение для жертв ФСТЭКа, то в postgres pro (система управления базами данных) даже что-то переделали, улучшив функциональность.

Но есть от этого ведомства и польза: ФСТЭК формирует требования к защите информации, заставляя разработчиков на этапе проектирования ПО не допускать использование простых, но небезопасных решений - таким образом качество работы программистов несколько улучшаетсяя.

Разумеется, никакой ФСТЭК не спасёт от раздолбайства: пароль на бумажке, приклеенной к монитору, состоящий из символов 123qw, и отсутствие разграничения прав пользователей - главные и самые трудно решаемые дыры в инфобезопасности.

Eshu Marabo

www.tgoop.com/eshu_coding/61

69 viewsEshu Marabo, Jul 1, 2020 at 11:36

Известная особенность экономики РФ - большая доля госучастия - не обошла и IT рынок. Вы думаете обычный комп ничем не отличается от госкомпа? Как бы не так: существует специальное регулирующее ведомство, отвечающее за порядок обеспечения безопасности информации в государственных инфосистемах.

Оно называется ФСТЭК и по-сути является бюрократическим органом, занятым: созданием рекомендаций и стандартов, лицензированием и сертифицированием инфосистем и IT компаний.

Как это водится для наших регулирующих ведомств, оно отстает от своей индустрии лет на 10. Его сотрудники практически ничего не тестируют на защищённость. Есть перечень из 200+ потенциальных угроз безопасности. Если хотите работать с государством, будьте добры, опишите, как вы планируете с ними бороться и как будете доказывать принимающей стороне, что реально с чем-то боретесь. При необходимости - подтвердите, что имеете сертификат: ''тут пилят безопасный софтец!''

Требований для получения такого сертификата масса, в некоторых случаях доходит до необходимости наличия специально защищенного помещения для проведения совещаний по проекту. Проще посадить одного виртуального лицензированного инфосека и торговать лицензией, чем реально приводить компанию в соответствие им.

Подобный подход породил новое направление «IT-бизнеса» - "аренду" лицензии. Компания каким-то образом получает лицензию, после чего начинает продавать коллаборацию с собой: разрабатываете что-то для государства и нужна лицензия? Пожалуйста! Зачастую, заплатить им проще и дешевле получения сертификата.

Ещё одно направление подобного «бизнеса» - продажа переделанного и лицензированного опенсорсного ПО. Примеры: Alt Linux, Astra Linux, Postgres pro. Если "линуксы" - это банальное утешение для жертв ФСТЭКа, то в postgres pro (система управления базами данных) даже что-то переделали, улучшив функциональность.

Но есть от этого ведомства и польза: ФСТЭК формирует требования к защите информации, заставляя разработчиков на этапе проектирования ПО не допускать использование простых, но небезопасных решений - таким образом качество работы программистов несколько улучшаетсяя.

Разумеется, никакой ФСТЭК не спасёт от раздолбайства: пароль на бумажке, приклеенной к монитору, состоящий из символов 123qw, и отсутствие разграничения прав пользователей - главные и самые трудно решаемые дыры в инфобезопасности.

Eshu Marabo

BY Эшу быдлокодит