Форум ''Интернет и Право''
29 Марта 2024, 09:08:05 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: КИС и ее участники  (Прочитано 7000 раз)
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« : 01 Июня 2004, 17:17:27 »

Уже не раз из уст представителей ФСБ/ФАПСИ звучали фразы, что в рамках своих Корпоративных Инфомрационных Систем (КИС) коммерческие организации могут использовать (СКЗИ, СЗИ) что хотят. Естественно что это всегда звучит кулуарно.

Я попытался представить себе, что же может быть частью КИС, а что нет.
У меня получились такие вараинты:
1. Система дистанционного банковского обслуживания. Клиент подключенный к этой системе - является частью КИС.
2. ЛВС головного офиса и удаленного филиала и канал связи между ними, все являются частью КИС.

Хотелось бы услышать вашу точку зрения по этому вопросу и примеры участников КИС.
« Последнее редактирование: 01 Июня 2004, 18:17:44 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #1 : 01 Июня 2004, 20:18:36 »

Давайте договоримся, что не будет КИС система, к информации которой могут получить доступ любые желающие. Круг лиц, имеющих право получить информацию из КИС строго ограничен. Если пользователь имеет право на получение информации из КИС, значит он является пользователем КИС. Соответственно, если он уже является пользователем КИС, то может передавать информацию другим пользователям. Вот тут и возникает проблема: принимать могут не все, а передавать могут все и кому угодно. Разрешается эта проблема просто: информация КИС всегда содержит пометку об ограничении распространения, поэтому передача КИС-информации за пределы самой КИС должна быть невозможной. Информация личного характера (не КИС) - сколько угодно. Есть и конкретные программные решения по реализации такого механизма. Поэтому "российский файервол" в этой связи смотрится лепетом безграмотных школяров.
Записан
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #2 : 01 Июня 2004, 22:30:48 »

ФАПСИ

Прошу прощения, но ента военная организация была расформирована 1 июля 2003 г. вместе с налоговой полицией. Смеющийся

Отредактировано ведущим.
Cybercop, просьба на будущее придерживаться тематики обсуждения.
« Последнее редактирование: 01 Июня 2004, 22:58:11 от Yeoman » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #3 : 01 Июня 2004, 23:01:33 »

CyberCop, читайте внимательней. Я же написал "звучали" - когда эти господа высказвались, ФАПСИ еще никто не расформировывал.
Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #4 : 02 Июня 2004, 09:37:44 »

Давайте договоримся, что не будет КИС система, к информации которой могут получить доступ любые желающие. Круг лиц, имеющих право получить информацию из КИС строго ограничен.
Не могу с вами не согласится, это даже в законе об ЭЦП определно:

корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Если пользователь имеет право на получение информации из КИС, значит он является пользователем КИС. Соответственно, если он уже является пользователем КИС, то может передавать информацию другим пользователям. Вот тут и возникает проблема: принимать могут не все, а передавать могут все и кому угодно. Разрешается эта проблема просто: информация КИС всегда содержит пометку об ограничении распространения, поэтому передача КИС-информации за пределы самой КИС должна быть невозможной.
А здесь позвольте с вами не согласится, не всегда информация полученная из КИС должна оставаться у пользователя, она например может быть использована им в дальнейшей работе и раскрыта третьему лицу (не участнику КИС), если того требует характер его работы.
Но вы конечно правы, что это регулируется ограничениями и т.п. И первое от чего надо отталкиваться это от соглашения участников КИС.

Поэтому "российский файервол" в этой связи смотрится лепетом безграмотных школяров.
Urix, это крик души, да?  Улыбающийся
Записан
Urix
Гость


E-mail
« Ответ #5 : 02 Июня 2004, 14:52:12 »

Цитировать
не всегда информация полученная из КИС должна оставаться у пользователя, она например может быть использована им в дальнейшей работе и раскрыта третьему лицу (не участнику КИС), если того требует характер его работы.
По определению, либо эта информация уже перестала быть информацией КИС, либо третье лицо становится участником КИС и на него начинают распространяться все положения внутреннего договора КИС.
Цитировать
Urix, это крик души, да?
Дописываю статью, где детально анализирую этот кошмар. Скоро представлю. Невольно прорывается мое к этому всему отношение. Чем больше задумываешься - тем страшнее становится.
« Последнее редактирование: 02 Июня 2004, 15:59:16 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #6 : 02 Июня 2004, 17:37:13 »

Цитировать
не всегда информация полученная из КИС должна оставаться у пользователя, она например может быть использована им в дальнейшей работе и раскрыта третьему лицу (не участнику КИС), если того требует характер его работы.
По определению, либо эта информация уже перестала быть информацией КИС, либо третье лицо становится участником КИС и на него начинают распространяться все положения внутреннего договора КИС.
Не согласен. Пример: некая открытая информация обрабатывается в КИС, а потом результаты обработки этой информации(полученные из КИС ее участником) используются в работе с третьей стороной.
Никакие положения договора участника КИС на эту третью сторону не распространяются и к КИС он не подключается.

Цитировать
Urix, это крик души, да?
Дописываю статью, где детально анализирую этот кошмар. Скоро представлю. Невольно прорывается мое к этому всему отношение. Чем больше задумываешься - тем страшнее становится.
С нетерпением ждем...
Записан
Urix
Гость


E-mail
« Ответ #7 : 02 Июня 2004, 18:06:49 »

Цитировать
Пример: некая открытая информация обрабатывается в КИС,...
Вы сами ответили: изначально информация не являлась информацией КИС. Следовательно, любая обработка информации, поступившей из за пределов КИС информацией КИС не является.

Но вот если будет объединение информации КИС и поступившей извне, тогда информация станвится информацией КИС, поскольку после обработки информация практически не будет поддаваться сепарированию для отделения КИС от НЕ-КИС.

В положениях "О защите..." сказано немного по другому, поэтому и появляются неконтролируемые "протечки".
« Последнее редактирование: 02 Июня 2004, 18:33:50 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #8 : 06 Июня 2004, 14:13:47 »

Цитировать
Пример: некая открытая информация обрабатывается в КИС,...
Вы сами ответили: изначально информация не являлась информацией КИС. Следовательно, любая обработка информации, поступившей из за пределов КИС информацией КИС не является.

Но вот если будет объединение информации КИС и поступившей извне, тогда информация станвится информацией КИС, поскольку после обработки информация практически не будет поддаваться сепарированию для отделения КИС от НЕ-КИС.
Нет Urix, результаты обработки информации в КИС, это информация КИС.
И никак иначе. Попробую привести пример:
Информация собираемая организацией типа Гирометеоцентра, является открытой: скорость ветра, облачность и т.п.  но прогноз погоды, который получается в результате обработки этой информации в КИС организации уже информация КИС.
Но на самом деле мы не о том говорим... речь шла об участниках КИС.
Вообщем то я сам ответил на свой вопрос, когда процитировал ФЗ "Об ЭЦП".

В положениях "О защите..." сказано немного по другому, поэтому и появляются неконтролируемые "протечки".
Urix, а по подробней можно? Что за положения "О защите..."?
« Последнее редактирование: 06 Июня 2004, 14:15:56 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #9 : 08 Июня 2004, 10:23:50 »

Цитировать
Информация собираемая организацией типа Гирометеоцентра, является открытой: скорость ветра, облачность и т.п.  но прогноз погоды, который получается в результате обработки этой информации в КИС организации уже информация КИС.
Внешняя информация, поступившая в КИС Гидрометеоцентра, обрабатывается в соответствии с информацией самой КИС Гидрометеоцента (технологией обработки метеоданных, основанной на математической теории метеорологических явлений). После обработки невозможно отделить изначальную информацию от информации самой КИС. Именно из-за смешивания различных информаций обработанная информация становится информацией КИС Гидрометеоцентра, поскольку не поддается сепарированию.

Вот если бы Гидрометеоцентр производил только синтаксическую обработку (на основе общедоступных правил русского языка) поступающих сообщений, что-то вроде исправления ошибок в словах, расстановку запятых, то тогда эта информация не становилась бы информацией КИС Гидрометеоцентра.

Да, и еще, информация в Гидрометеоцентр поступает от метеостанций (сводки), которые по определению являются составными частями КИС Гидрометеоцентра.
Цитировать
Urix, а по подробней можно? Что за положения "О защите..."?
Ведомственные приказы, распоряжения, инструкции. Нужное найдете сами. Надо просто знать что искать в этих документах. Посмотрите, например, мою рецензию на закон об ЭЦП Беларуси. Там кое-что сказано.

Вообще, нужно искать места, где нарушается главный принцип информационной безопасности:
только сам владелец информации в праве определеять методы, способы и средства защиты своей информации, поскольку только он один персонально несет всю полноту отвественности за ущерб от неконтролируемого распространения его информации. Отсюда, в частности следует, что системы защиты информации должны быть абсолютно "прозрачны" для того, что бы сами владельцы информации могли оценить возможную для себя опасность при применении этих средств защиты информации и могли сами принимать решение об использовании или неиспользовании тех или иных средств защиты информации. В теории защиты информации есть такое понятие, как оправданный риск.

А именно главное положение и следствия из него нарушаются и в ЗоЭЦП, и в ведомственных приказах и инструкциях. Проявлений нарушений можно найти немеряно. Практически, что ни положение, что ни статья закона, так тут и нарушение. Вообще, ЗоЭЦП и ведомственные документы должны носить рекомендательный, а не законодательный характер. В случае наступления ущерба от неконтролируемого (несанкционированного) распространения информации в результате дискредитации системы защиты информации, лицо (лица), издавшее закон или приказ о применении этого средства защиты, не несет консолидированной ответственности с владельцем "утекшей" информации. Генерал, отдавший приказ, не будет "париться" на нарах. Вместо него это будут делать его подчиненные.

Надеюсь, я достаточно полно осветил эту тему?
« Последнее редактирование: 08 Июня 2004, 16:38:09 от Urix » Записан
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines