Марок! Было бы интересно узнать общепринятый термины о стоимости информации. Если можно, то дайте ссылку на документ и кем он был принят. А теперь обсудим некоторые Ваши положения рецензии.
Марок: Ну так вот, очевидна, что эта самая "стоимость" не может быть одинаковой у государства и отдельного человека, и, как следствие, средства и степень защиты не могут быть одинаковыми.
Клепов: А какова тогда стоимость персональной или личной информации Президента страны в том числе и его семьи? В надежной системе защиты не должно быть слабых камешков. Если они имеются, то тогда и вся система защиты рано или поздно развалится. Это доказано историей.
Марок. Вы видимо, никогда не сталкивались с процедурой анализа и оценки рисков информационной безопасности? При которой учитывается и ценность активов, и интерес для злоумышленников, и риски убытков от нарушения конфиденциальности/целостности/доступности.

Клепов. Моя компания, где я руководитель, уже более двадцати лет занимается вопросами информационной безопасности. Оснастили своими средствами информационной защиты ЦБ РФ и несколько сот коммерческих банков, а также около 50 стран мира. Какие там оценки рисков информационной безопасности, когда ежегодно по фальсифицированным пластиковым картам мошенники ежегодно обкрадывают банки на многие миллиарды долларов. И что разве после этого усиливают безопасность платежей по карточкам? Конечно, нет. Так камуфляж с чипами. Вы видно никогда не присутствовали на крупных международных конференциях по безопасности. Все риски сваливают на страховые компании, а те в свою очередь на плательщиков, увеличивая стоимость обслуживания карт.

Анатолий Клепов   14.12.2010 19:56   Заявить о нарушении

Уважаемый Анатолий, прежде всего, пожалуйста, прочтите еще раз внимательно мое имя. Оно с буквой "о". И это не опечатка. Спасибо.

Далее по тексту:

>>"Было бы интересно узнать общепринятый термины о стоимости информации. Если можно, то дайте ссылку на документ и кем он был принят."
Термин "value", т.е., ценность [информационных активов], ISO 17799, например. Под стоимостью обычно подразумевается денежное выражение ценности, и именно поэтому, Ваш термин показался мне неуместным.

>>"Клепов: А какова тогда стоимость персональной или личной информации Президента страны в том числе и его семьи? В надежной системе защиты не должно быть слабых камешков. Если они имеются, то тогда и вся система защиты рано или поздно развалится. Это доказано историей."

Мне кажется, Вы снова скидываете в кучу различные понятия, перемешиваете, а потом делаете выводы. "Стоимость" этой информации -- это сумма, за которую ее купят. А вот "ценность" -- это то, насколько она важна. При чем, логика подсказывает, что понятие это субъективное. Информация о личной жизни Дяди Пети из соседнего дома не представляет для меня никакой ценности, а для него может быть равнозначной ценности его правой руки. Я просто не совсем понимаю, к чему Вы клоните. Вы предлагаете государству озаботиться защитой информации всех и каждого, определить ее ценность и адекватные меры? И, причем, построить из этого единую систему? Ну, флаг Вам в руки, надеюсь этого никогда не случится. Хватит пока 152ФЗ. Мне утопии никогда не нравились.
>>"Клепов. Моя компания, где я руководитель, уже более двадцати лет занимается вопросами информационной безопасности."

Я вот, почему-то, ни секунды в этом не сомневался. Кстати, поздравляю!

>>"Какие там оценки рисков информационной безопасности, когда ежегодно по фальсифицированным пластиковым картам мошенники ежегодно обкрадывают банки на многие миллиарды долларов. И что разве после этого усиливают безопасность платежей по карточкам? Конечно, нет. Так камуфляж с чипами."

Правильно. Просто оценка рисков показывает, что ущерб, наносимый от мошенничества с карточками значительно меньше стоимости развития их защиты, и ложится на плечи страховых компаний. Иными словами, ценность этих активов для компании не так уж и велика. А вот для субъекта информации -- пользователя карточек, да, конечно, велика. Но на него всем наплевать, увы.
>>"Вы видно никогда не присутствовали на крупных международных конференциях по безопасности. Все риски сваливают на страховые компании, а те в свою очередь на плательщиков, увеличивая стоимость обслуживания карт."

Да нет, куда уж мне! Но по телевизору говорили, что, мол, "да, так оно и есть". Но я так и не понял: что конкретно Вы предлагаете?

Я Вас вспомнил. У нас уже был диалог здесь, по поводу Вашей статьи о "голосовом терроризме". Анатолий, я отношусь к Вам с уважением, и не оспариваю Ваше умение руководить компанией, занимающейся ИБ. Но на мой взгляд, Ваши статьи отличаются любовью к обобщениям, перемешиванием в одну кучу различных проблем и задач,пространным общими выводами, утопическими идеалами, отсутствием понимания "как это в действительности работает", и долей истеричности и паники.

Морок   14.12.2010 20:46   Заявить о нарушении

Извините, что ошибся в написании… Нет уж увольте назвать это именем. Слово "морок" даже трудно встретить в лингвистических словарях, его нет среди мифов народов мира и общепринятой речи. Далекие к нам пращуры славяне упоминают о существе с таким именем, как о крайне коварном, злобном, связанным с болотной тьмой. Встреча с ним, это плутание среди туманов и предзимнего холода, усталость и страх полного одиночества. Как говорится, Бог с Вами. Каждый выбирает по своему усмотрению свой псевдоним.
Далее по тексту, как Вы предложили:
Морок. Термин "value", т.е., ценность [информационных активов], ISO 17799, например. Под стоимостью обычно подразумевается денежное выражение ценности, и именно поэтому, Ваш термин показался мне неуместным.

Клепов. В соответствии с международным стандартом по информационной безопасности ISO 2700 и ISO 17799 стоимость информационного ресурса определяет его владелец. Информация – это не материальный объект, который можно объективно измерить, это скорее свойство материи. Она, в отличие от данных, зависит не от носителя, а от способа обработки информации и всегда хранится в закодированном виде.
Де юре стоимость информации не определена ни в одном российском законе. Стоимость государственной информации определяется косвенным путем – присвоением грифа секретности для информации разного уровня. По степени секретности можно косвенным образом догадаться о ее стоимости. О реальной стоимости этой «грифованой» информации мы узнаем очень редко и только в тех случаях, когда некий шпион передает информацию зарубежной разведке. Тогда мы с удивлением узнаем, что информация, переданная шпионами, практически бесценна для государства и может составлять многие миллионы долларов. Но никаким официальным документом стоимость информации до кражи не определяется.
По поводу западного законодательства стандарты ISO 2700 и ISO 17799 скорее представляют собой декларированные рекомендации, чем законодательные. Тем более, что этот стандарт не определяет порядок передачи информации от одного собственника к другому. Например, сколько стоит база данных ВИП клиентов западного банка и их счетов? Априори банк её, как собственник информации приравнивает к нулю. Чтобы не было исковых требований со стороны клиентов в случае утечки информации. И это делается в соответствии с этим стандартом. Так как собственником информации о клиентах является банк. Так что Ваше утверждение об оценке стоимости информации носит чисто декларированный характер, а не законодательный!
Морок. Правильно. Просто оценка рисков показывает, что ущерб, наносимый от мошенничества с карточками значительно меньше стоимости развития их защиты, и ложится на плечи страховых компаний. Иными словами, ценность этих активов для компании не так уж и велика. А вот для субъекта информации -- пользователя карточек, да, конечно, велика. Но на него всем наплевать, увы.
Клепов. Вы не правильно прочитали мой ответ. Стоимость покрытия расходов от мошенничества с кредитными картами идет за счет держателей карт. Им просто повышают стоимость их обслуживания. А организации, которые ответственны за эксплуатацию и выпуск карт ничем не отвечают. Плевать им на эти международные стандарты по безопасности. Они монополисты и их клиенты покроют любые кражи мошенников.

Анатолий Клепов   14.12.2010 22:28   Заявить о нарушении

>>Извините, что ошибся в написании… Нет уж увольте назвать это именем. Слово "морок" даже трудно встретить в лингвистических словарях, его нет среди мифов народов мира и общепринятой речи.

Толковый словарь русского языка Ушакова:
МО'РОК, а, м. (обл.).
1. Мрак, темнота. 2. перен. Что-н. одуряющее, очаровывающее, помрачающее рассудок. Темный морок цыганских песен. Блок.

Однокоренные слова от слова "морок" частенько встречаются в общепринятой и повседневной речи, хотя само слово скорее анахронизм и удел литературной речи.
Кстати, опять у Вас противоречие в собственных словах: сначала говорите, что в мифах и верованиях не встречается, а строчкой ниже говорите, что "пращуры верили".

>>Клепов. В соответствии с международным стандартом по информационной безопасности ISO 2700 и ISO 17799 стоимость информационного ресурса определяет его владелец. Информация – это не материальный объект, который можно объективно измерить, это скорее свойство материи. Она, в отличие от данных, зависит не от носителя, а от способа обработки информации и всегда хранится в закодированном виде.
Де юре стоимость информации не определена ни в одном российском законе. Стоимость государственной информации определяется косвенным путем – присвоением грифа секретности для информации разного уровня. По степени секретности можно косвенным образом догадаться о ее стоимости. О реальной стоимости этой «грифованой» информации мы узнаем очень редко и только в тех случаях, когда некий шпион передает информацию зарубежной разведке. Тогда мы с удивлением узнаем, что информация, переданная шпионами, практически бесценна для государства и может составлять многие миллионы долларов. Но никаким официальным документом стоимость информации до кражи не определяется.
По поводу западного законодательства стандарты ISO 2700 и ISO 17799 скорее представляют собой декларированные рекомендации, чем законодательные. Тем более, что этот стандарт не определяет порядок передачи информации от одного собственника к другому. Например, сколько стоит база данных ВИП клиентов западного банка и их счетов? Априори банк её, как собственник информации приравнивает к нулю. Чтобы не было исковых требований со стороны клиентов в случае утечки информации. И это делается в соответствии с этим стандартом. Так как собственником информации о клиентах является банк. Так что Ваше утверждение об оценке стоимости информации носит чисто декларированный характер, а не законодательный!

Да, все так. Стандарты позволяют построить очень хорошую систему, но позволяют и "отписаться" формальными мерами. Все, опять-таки, определяется отношением владельца информации к ее ценности, или, как Вы говорите, стоимости. Если информация для компании важна, и убытки от ее кражи или утраты будут ощутимыми -- она будет ее защищать. Если эти убытки можно переложить на чужие плечи (как в приведенном Вами примером с карточками) -- это будет сделано. И дело тут, как мне кажется, не в законодательной базе, не в отсутствии или наличии правильных РД, а в человеческой психологии.

Но, я так и не понял, исходя из всего вышесказанного и Вашей статьи: почему Wikileaks Вы считаете началом Цифрового Апокалипсиса, и что Вы конкретно предлагаете этому противопоставить.

Морок   15.12.2010 12:27   Заявить о нарушении

В статье я дал ссылку на своё интервью агентству Regnum: «Грозит ли России цифровой апокалипсис: интервью эксперта, боровшегося с фальшивыми авизо» (http://www.regnum.ru/news/interviews/749825.html)

Анатолий Клепов   15.12.2010 12:34   Заявить о нарушении

Да, я читал это интервью. Вы много внимания уделяете защите речевой информации (ну, оно и понятно -- у Вас профиль такой). Но за последние 20 лет мир в этом плане несколько изменился. Мобильные (и, тем более, стационарные) телефоны давно уже утратили доверие, как и у многих представителей власти, так и у простых смертных, малых, средних и крупных бизнесменов. Сейчас уже гораздо меньше людей "клюют" на телефонное мошенничество, информация полученная по мобильному телефону проверяется и перепроверяется, а конфиденциальные беседы предпочитают вести лично. И причина этому -- просто осведомленность о возможностях прослушки и мошенничества. Ну а у более осведомленных людей никогда не будет доверия и к криптосмартфонам. По крайней мере, до тех пор, пока существует СОРМ и сертификация СКЗИ ФСБ, или зарубежные аналоги этих мер.

У Филиппа Циммерманна, когда он создавал PGP, была мечта: чтобы каждый человек мог легко защищать собственную информацию, сохранять тайну переписки и личной жизни. И, вроде бы, он предоставил людям достаточные средства для этого. Однако, 95% людей ими не пользуется, потому что, по их "внутренней оценке риска" стоимость их информации не соответствует усилиям, которые необходимо затратить на защиту, иными словами "как-то сложно, непонятно и лень". Так, может быть, в этом основная проблема информационной безопасности, в людях? А не в стандартах, законах и дырах в системах. Стойкость шифра определяется стойкостью шифровальщицы. До тех пор, пока кто-то всерьез не заинтересуется в защите собственной информации, эта информация не будет защищена.

И я, по-прежнему, не вижу причин для столь громких высказываний об Апокалипсисе. Апокалипсис -- есть суть конец света, не так ли? Ну так вот, киберпреступность -- это не конец света, это естественная составляющая нового века информационных технологий. Ну, все вышесказанное, мое личное мнение, естественно.

С уважением,

Морок   15.12.2010 13:07   Заявить о нарушении

Морок! А что мне Циммерманн. Когда он сможет осуществить независимую сертификацию свою криптоалгоритмов в государственных организациях независимых стран, как я сделал в Швеции и ЮАР со своим криптоалгоритмом, тогда и будет заявлять о том, что у него нормальная криптография, которой можно доверять. По поводу доверия к шифровальной технике. Известно, что разведчики никогда не встречаются друг с другом. А предпочитают обмениваться шифрованными сообщениями между собой, чтобы не был зафиксирован факт встречи. При личной встрече прослушивать разговоры намного легче. И это уже давно доказано профессионалами.
Вот в чем с Вами не соглашусь это с Вашим утверждением, что «Стойкость шифра определяется стойкостью шифровальщицы.». Это уже допотопный век. Сейчас тот кто использует современную шифровальную технику не имеет доступ к ключам. И при каждом сеансе связи предыдущий ключ уничтожается. А при вскрытии шифратора ключ уничтожается. Мы делаем сейчас комплексные решения по криптографической защиты данных, голоса и видео: Спутниковая связь, ISDN (цифровая), PSTN (аналоговая), мобильная. Кстати, девиз моей компании: «Стойкий тот шифратор, который нельзя расшифровать и обнаружить».
Я много времени изучал работы Леонардо да Винчи. Это он определил Апокалипсис. Это когда человек думает, что говорит с одним человеком, а на самом деле он говорит с другим. Апокалипсис это когда приходит Антихрист. Это полный с точки зрения внешнего вида двойник Христа, но в противоположном плане. Он несет основное зло и насилие. В цифровом мире теряется индивидуальность человека: его голоса, его изображения и многое другое. Совсем на немного. На мельчайшую частицу цифровой дискредитации. Вот это и дает возможность подделать голос и изображение человека. Основная опасность социальных сетей это тоже создание двойников людей. Подмена и ложь вот основные признаки Апокалипсиса. Люди будут молится Богу, а отвечать им будет дьявол! Но это с теологической точки зрения.
Я не знаю откуда Вы взяли сведения о том, что люди не доверяют криптотелефонам. По своей работе в Латинской Америке я знаю резкое увеличение кинднапинга и похищение людей с помощью мобильных телефонов. К сожалению, и в России это стало быстро развиваться. Люди очень доверяют голосу. Это уже психологически сложилось за многие столетия, а может быть тысячелетия.
С уважением

Анатолий Клепов   15.12.2010 14:00   Заявить о нарушении

Анатолий, под "стойкостью шифровальщицы" я имел в виду вообще человеческий фактор. Ну, т.е., например, Вы можете оборудовать два офиса шифротелефонами, использующими абсолютно стойкий криптоалгоритм, а два человека в этих офисах будут обсуждать конфиденциальную информацию, например, по аське. Т.е., пока человек, оператор или владелец информации не будет понимать необходимость ее защиты, защита работать не будет.

Предлагать Циммерманну осуществить сертификацию RSA как-то... неловко должно быть, что ли... )

Ну, если при использовании слова "Апокалипсис" Вы подразумеваете именно такую глубокую теологическую аналогию, то да. Просто первая ассоциация у меня (и, мне кажется, у большинства не слишком осведомленных в подробностях Писания) с концом света.

Морок   15.12.2010 18:27   Заявить о нарушении