Форум ''Интернет и Право''

Основной раздел => Средства защиты информации => Тема начата: Yeoman от 01 Июня 2004, 17:17:27



Название: КИС и ее участники
Отправлено: Yeoman от 01 Июня 2004, 17:17:27
Уже не раз из уст представителей ФСБ/ФАПСИ звучали фразы, что в рамках своих Корпоративных Инфомрационных Систем (КИС) коммерческие организации могут использовать (СКЗИ, СЗИ) что хотят. Естественно что это всегда звучит кулуарно.

Я попытался представить себе, что же может быть частью КИС, а что нет.
У меня получились такие вараинты:
1. Система дистанционного банковского обслуживания. Клиент подключенный к этой системе - является частью КИС.
2. ЛВС головного офиса и удаленного филиала и канал связи между ними, все являются частью КИС.

Хотелось бы услышать вашу точку зрения по этому вопросу и примеры участников КИС.


Название: Re:КИС и ее участники
Отправлено: Urix от 01 Июня 2004, 20:18:36
Давайте договоримся, что не будет КИС система, к информации которой могут получить доступ любые желающие. Круг лиц, имеющих право получить информацию из КИС строго ограничен. Если пользователь имеет право на получение информации из КИС, значит он является пользователем КИС. Соответственно, если он уже является пользователем КИС, то может передавать информацию другим пользователям. Вот тут и возникает проблема: принимать могут не все, а передавать могут все и кому угодно. Разрешается эта проблема просто: информация КИС всегда содержит пометку об ограничении распространения, поэтому передача КИС-информации за пределы самой КИС должна быть невозможной. Информация личного характера (не КИС) - сколько угодно. Есть и конкретные программные решения по реализации такого механизма. Поэтому "российский файервол" в этой связи смотрится лепетом безграмотных школяров.


Название: Re:КИС и ее участники
Отправлено: CyberCop от 01 Июня 2004, 22:30:48
ФАПСИ

Прошу прощения, но ента военная организация была расформирована 1 июля 2003 г. вместе с налоговой полицией. ;D

Отредактировано ведущим.
Cybercop, просьба на будущее придерживаться тематики обсуждения.


Название: Re:КИС и ее участники
Отправлено: Yeoman от 01 Июня 2004, 23:01:33
CyberCop, читайте внимательней. Я же написал "звучали" - когда эти господа высказвались, ФАПСИ еще никто не расформировывал.


Название: Re:КИС и ее участники
Отправлено: Yeoman от 02 Июня 2004, 09:37:44
Давайте договоримся, что не будет КИС система, к информации которой могут получить доступ любые желающие. Круг лиц, имеющих право получить информацию из КИС строго ограничен.
Не могу с вами не согласится, это даже в законе об ЭЦП определно:

корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Если пользователь имеет право на получение информации из КИС, значит он является пользователем КИС. Соответственно, если он уже является пользователем КИС, то может передавать информацию другим пользователям. Вот тут и возникает проблема: принимать могут не все, а передавать могут все и кому угодно. Разрешается эта проблема просто: информация КИС всегда содержит пометку об ограничении распространения, поэтому передача КИС-информации за пределы самой КИС должна быть невозможной.
А здесь позвольте с вами не согласится, не всегда информация полученная из КИС должна оставаться у пользователя, она например может быть использована им в дальнейшей работе и раскрыта третьему лицу (не участнику КИС), если того требует характер его работы.
Но вы конечно правы, что это регулируется ограничениями и т.п. И первое от чего надо отталкиваться это от соглашения участников КИС.

Поэтому "российский файервол" в этой связи смотрится лепетом безграмотных школяров.
Urix, это крик души, да?  :)


Название: Re:КИС и ее участники
Отправлено: Urix от 02 Июня 2004, 14:52:12
Цитировать
не всегда информация полученная из КИС должна оставаться у пользователя, она например может быть использована им в дальнейшей работе и раскрыта третьему лицу (не участнику КИС), если того требует характер его работы.
По определению, либо эта информация уже перестала быть информацией КИС, либо третье лицо становится участником КИС и на него начинают распространяться все положения внутреннего договора КИС.
Цитировать
Urix, это крик души, да?
Дописываю статью, где детально анализирую этот кошмар. Скоро представлю. Невольно прорывается мое к этому всему отношение. Чем больше задумываешься - тем страшнее становится.


Название: Re:КИС и ее участники
Отправлено: Yeoman от 02 Июня 2004, 17:37:13
Цитировать
не всегда информация полученная из КИС должна оставаться у пользователя, она например может быть использована им в дальнейшей работе и раскрыта третьему лицу (не участнику КИС), если того требует характер его работы.
По определению, либо эта информация уже перестала быть информацией КИС, либо третье лицо становится участником КИС и на него начинают распространяться все положения внутреннего договора КИС.
Не согласен. Пример: некая открытая информация обрабатывается в КИС, а потом результаты обработки этой информации(полученные из КИС ее участником) используются в работе с третьей стороной.
Никакие положения договора участника КИС на эту третью сторону не распространяются и к КИС он не подключается.

Цитировать
Urix, это крик души, да?
Дописываю статью, где детально анализирую этот кошмар. Скоро представлю. Невольно прорывается мое к этому всему отношение. Чем больше задумываешься - тем страшнее становится.
С нетерпением ждем...


Название: Re:КИС и ее участники
Отправлено: Urix от 02 Июня 2004, 18:06:49
Цитировать
Пример: некая открытая информация обрабатывается в КИС,...
Вы сами ответили: изначально информация не являлась информацией КИС. Следовательно, любая обработка информации, поступившей из за пределов КИС информацией КИС не является.

Но вот если будет объединение информации КИС и поступившей извне, тогда информация станвится информацией КИС, поскольку после обработки информация практически не будет поддаваться сепарированию для отделения КИС от НЕ-КИС.

В положениях "О защите..." сказано немного по другому, поэтому и появляются неконтролируемые "протечки".


Название: Re:КИС и ее участники
Отправлено: Yeoman от 06 Июня 2004, 14:13:47
Цитировать
Пример: некая открытая информация обрабатывается в КИС,...
Вы сами ответили: изначально информация не являлась информацией КИС. Следовательно, любая обработка информации, поступившей из за пределов КИС информацией КИС не является.

Но вот если будет объединение информации КИС и поступившей извне, тогда информация станвится информацией КИС, поскольку после обработки информация практически не будет поддаваться сепарированию для отделения КИС от НЕ-КИС.
Нет Urix, результаты обработки информации в КИС, это информация КИС.
И никак иначе. Попробую привести пример:
Информация собираемая организацией типа Гирометеоцентра, является открытой: скорость ветра, облачность и т.п.  но прогноз погоды, который получается в результате обработки этой информации в КИС организации уже информация КИС.
Но на самом деле мы не о том говорим... речь шла об участниках КИС.
Вообщем то я сам ответил на свой вопрос, когда процитировал ФЗ "Об ЭЦП".

В положениях "О защите..." сказано немного по другому, поэтому и появляются неконтролируемые "протечки".
Urix, а по подробней можно? Что за положения "О защите..."?


Название: Re:КИС и ее участники
Отправлено: Urix от 08 Июня 2004, 10:23:50
Цитировать
Информация собираемая организацией типа Гирометеоцентра, является открытой: скорость ветра, облачность и т.п.  но прогноз погоды, который получается в результате обработки этой информации в КИС организации уже информация КИС.
Внешняя информация, поступившая в КИС Гидрометеоцентра, обрабатывается в соответствии с информацией самой КИС Гидрометеоцента (технологией обработки метеоданных, основанной на математической теории метеорологических явлений). После обработки невозможно отделить изначальную информацию от информации самой КИС. Именно из-за смешивания различных информаций обработанная информация становится информацией КИС Гидрометеоцентра, поскольку не поддается сепарированию.

Вот если бы Гидрометеоцентр производил только синтаксическую обработку (на основе общедоступных правил русского языка) поступающих сообщений, что-то вроде исправления ошибок в словах, расстановку запятых, то тогда эта информация не становилась бы информацией КИС Гидрометеоцентра.

Да, и еще, информация в Гидрометеоцентр поступает от метеостанций (сводки), которые по определению являются составными частями КИС Гидрометеоцентра.
Цитировать
Urix, а по подробней можно? Что за положения "О защите..."?
Ведомственные приказы, распоряжения, инструкции. Нужное найдете сами. Надо просто знать что искать в этих документах. Посмотрите, например, мою рецензию на закон об ЭЦП Беларуси. Там кое-что сказано.

Вообще, нужно искать места, где нарушается главный принцип информационной безопасности:
только сам владелец информации в праве определеять методы, способы и средства защиты своей информации, поскольку только он один персонально несет всю полноту отвественности за ущерб от неконтролируемого распространения его информации. Отсюда, в частности следует, что системы защиты информации должны быть абсолютно "прозрачны" для того, что бы сами владельцы информации могли оценить возможную для себя опасность при применении этих средств защиты информации и могли сами принимать решение об использовании или неиспользовании тех или иных средств защиты информации. В теории защиты информации есть такое понятие, как оправданный риск.

А именно главное положение и следствия из него нарушаются и в ЗоЭЦП, и в ведомственных приказах и инструкциях. Проявлений нарушений можно найти немеряно. Практически, что ни положение, что ни статья закона, так тут и нарушение. Вообще, ЗоЭЦП и ведомственные документы должны носить рекомендательный, а не законодательный характер. В случае наступления ущерба от неконтролируемого (несанкционированного) распространения информации в результате дискредитации системы защиты информации, лицо (лица), издавшее закон или приказ о применении этого средства защиты, не несет консолидированной ответственности с владельцем "утекшей" информации. Генерал, отдавший приказ, не будет "париться" на нарах. Вместо него это будут делать его подчиненные.

Надеюсь, я достаточно полно осветил эту тему?