Stanislav Varyukhno (Variukhno) likes this

You, Stanislav Varyukhno (Variukhno) like this

Stanislav Varyukhno (Variukhno) • Давно пора! Ибо только шифрованием можно защитить право на свободу слова (ну и чтоб органы там некоторые не вчитывались в это слово):) Правда сейчас шарашкиных контор наплодиться...

Victor Zhora • Весьма противоречивое предложение. Лицензирование деятельности в сфере ТЗИ и КЗИ помогает структурировать рынок. Что в таком случае авторы советуют делать с Департаментом регулирования деятельности в сфере ТЗИ и КЗИ Госспецсвязи? ИМХО, на данном этапе целесообразно рассмотреть лишь вопрос отмены лицензирования использования и эксплуатации средств КЗИ.
К тому же лицензии сейчас выдаются бессрочно.

Volodymyr Styran • О как. С плеча значит, да? Сам себе удивляюсь, но в чем-то согласен с Виктором. Радикальные меры в этом случае -- это перебор. Как минимум экспертиза, экспорт и импорт КЗИ, на мой взгляд, должны регулироваться. А другого инструмента регулирования, кроме лицензирования, мы пока толком не освоили. Что касается ТЗИ, как по мне, этот рынок давно пора "отпускать в свободное плавание". Тем не менее, с интересом выслушаю контр-аргументы.

Stanislav Varyukhno (Variukhno) • А зачем регулироваться? Как пример - программка true crypt. Кто ее будет лицензировать? Или Open SSL? Сейчас ведь доходит до маразма - чтоб поставить в организации true crypt, я должен идти, платить денюжку, и ждать пока мне лицензию на него дадут или не дадут... Эта тема, кстати, уже поднималась ранее.

Victor Zhora • Что касается ТЗИ, то ПЭМИНы, акустику, "жучки-паучки" тоже отпускать в свободное плавание?
По КЗИ вроде обсудили, к тому же лицензия выдается на организацию, а не на продукт.

Stanislav Varyukhno (Variukhno) • Виктор, по ТЗИ, насколько я знаю, рада приняла закон (номер не помню), по которому за жучки срок дается немалый... А вот поиск жучков - чем хотите - тем ищите:)

Victor Zhora • Имелось в виду производство средств защиты от утечек по техническим каналам. Сейчас к таким организациям предъявляются высокие требования, в т.ч. наличие испытательной лаборатории, соотв. измерительной техники и т.д. Если убрать хотя бы базовое государственное регулирование в этой сфере, кто ответит за качество конечной продукции?

Vladimir Gninyuk • Криптосистемы создают математики-криптографы. Пусть и создают, зачем им лицензия? Лицензия на знания? Для того, что бы их продукт ...

Victor Zhora • @Vladimir Gninyuk Вы немного узко смотрите на создание средств КЗИ. Насчет математиков Вы правы в части разработки и реализации криптоалгоритмов. Создание же средства КЗИ - это некоторый производственный процесс, к которому согласно действующей нормативно-правовой базе выдвигаются весьма конкретные требования, особенно в части разработки средств криптозащиты информации с более высокими степенями ограничения доступа, нежели "конфіденційно".

Что касается мобильника, вряд ли его можно рассматривать в качестве закладки, но такой продукт, как "подавитель мобильных телефонов" тоже присутствует на рынке. К тому же на переговоры высокого уровня конфиденциальности люди, как правило, приходят без телефонов либо вынимают аккумуляторы. В некоторые органы гос. власти вы также не сможете попасть с мобильником, и это нормально.

Gleb Paharenko • Коллеги, отраслевые ассоциации могут выполнять регулирование и структурирование рынка. Государство может делегировать часть своих функций контроля таким объединениям. Членство в ассоциации это своего рода "лицензия" :)

Victor Zhora • Однако, как правило, ассоциации создаются с целью совместной защиты отрасли от государства :)

Vladimir Gninyuk • @Victor Zhora Коллега, я прекрасно понимаю, о чем вы говорите, но ИМХО, мы сейчас говорим о разных вещах.
Почему Вам не нравится подход, что если в определенных случаях использование тех или иных средств регламентируются дополнительно, то проверка на соответствие данных требований должна подразумевать процесс СЕРТИФИКАЦИИ. В результате чего появляется отметка «Одобрен …», а вместо трех точек, например, «PA DSS» или «DSTSZI» и т.п. ?
Сейчас же речь идет о регулировании «видов хозяйственной деятельности». Природа данного регулирования понятна, но пардон, честный человек может иметь желание, но ни иметь (экономически обоснованных) возможностей на получение данной лицензии, преступнику лицензия не нужна. Вы много знаете случаев, что бы бандиты получали разрешение «на право ношение оружия»?
Вы в своем посте упоминаете о возможности эксплуатации такой уязвимости как ПЭМИН, так почему в сегодняшнем законе нет требований к лицензированию производства мониторов?
Извините за вопрос с мобильным телефоном, наверное, я его не четко сформулировал, суть вопросы была о возможности несанкционированного снятия информации БЕЗ использования специальных средств. Сорри торопился. Главное в другом: в Законопроекте № 6696 лично я не видел отмены пункта №13 Закона Украины «Про ліцензування певних видів господарської діяльності». Так что производство «жучков» остается под контролем.

ЗЫ: Средства КЗИ нужны сегодня не только Государству, но и Обычному Человеку, а текущее законодательство сдерживает легальны достп к технологиям, что приводит к эффекту "прафанации" понятия правового государства

@Глеб ИМХО, отраслевые ассоциации, не должны заниматься «регулированием рынка» да еще и под эгидой Государства. Они должны генерить, в первую очередь, некие «бест прэктис», и игроки рынка должны хотеть попасть в ассоциацию, что бы получить доступ к этим наработкам. Хотя безусловно вопрос не столь прост. Как пример, каждый может попытаться для себя ответить на вопрос: «А что такое Ukrainian Information Security Group и почему я здесь?»

Victor Zhora • Владимир, лицензия на ТЗИ/КЗИ стоит до 1000 грн. Сие означает, что при желании ее может получить любое юрлицо.
По поводу производства мониторов: у меня нет информации о том, что где-то в Украине они производятся. Крупноузловая сборка - возможно. Но это продукт массового спроса, а массовому потребителю утечек по техническим каналам бояться нечего.

Vladimir Gninyuk • Лицензия стоит немного, а сколько стоит выполнение квалификационных требований? Люди, процедуры, отчетность? Сразу хочу упредить, я говорю о требованиях регулятора, а не бизнеса. Для бизнеса, чаще нужно другое.

Эксперт имеет хорошую практику, хорош он потому, как обладает знаниями, методиками и умело их использует на практике. Как ему обезопасить свои наработки не используя КЗИ? Если в компании десять человек, и вы стремитесь достичь высокой производительности труда, у вас не будет возможности обучить двоих человек на курсах в КПИ (кстати, три года назад это была не «тысяча грн»), содержать их в штате и соблюдать все необходимые процедуры.

Мое мнение, что на данном уровне развития ИТ, а самое главное степени их проникновения в бизнес «массового потребителя», последний начинает активно *требовать* свободного доступа к этим технологиям.

Субьекты, которые сталкиваются с необходимостью использования продуктов со специфическими требованиями, вправе требовать *сертификации* продуктов и технологий.

Виктор, я понял и принял Вашу позицию, попытался, как мог, изложить свою, предлагаю продолжить дискуссию когда если она станет интересна кому то еще.

Alexey Kornilov • Уважаемые коллеги! В контексте обсуждаемого закона, уточните пожалуйста, а разве у нас в в стране можно торговать персональными данными, ...

Vladimir Gninyuk • В данной теме шла речь о возможных изменениях к Закону Украины который регламентирует требования к получению лицензии на тот или иной вид деятельности, и в частности в вопросе работы со средствами криптографической защиты. Вида деятельности "торговать персональными данными" не припомню :-)

Закон о персональных данных это нечто другое...

Думаю, что Ваш вопрос требует переноса в соответсвующую дискуссию

Alexey Kornilov • да, ошибся топиком. Надо перенести.

Vladimir Tkachenko • Как получившие лицензию ТЗИ в єтом году могу рассказать подробно что по чем
Сама ліцензія стоит 850 грн. 00 коп. Госпошлина. Необходимо минимум 2 специалиста с профильным (информационная безопасноть) образованием . Варианты 1) закончившие ВУЗ с соответстветствующей квалификацией; 2) курсы повышения квалификации по соответствующей специальностью (есть при КПИ Прокофьева фирмочка ,счас не знаю, есть и другие варианты)
Также нужно прикупить (или достать другими путями нормативные документы по ТЗИ (продает НИкС, хотя это смешно на таком делать бизнес, но некоторые документы реально надо доставать, (даже без грифа секрктности) - вывод все хотят кушать... И последнее нужно указать основные средства с помощью которых вы собираетесть проводить деятельность в области ТЗИ (ПК ,ОС, возможно что-то еще, что посчитаете нужным). Сам процесс занимает около 1- 1,5 месяца.

Gleb Paharenko • Не сразу нашел что это за НИкС. Вот урл: http://www.nics.com.ua/ ...

Victor Zhora • По-моему, есть четыре аккредитованные конторы, где можно повысить квалификацию. Та, что при КПИ, работает на базе Физтеха. Директор - Архипов А.Е.
Насчет НД ТЗИ, то сейчас даже не все открытые выкладываются на сайт Госспецсвязи.

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion

• • Reply privately
• • Delete
• • Flag as promotion