Документ вышел из-под пера специалистов Минобороны и называется: Концептуальные взгляды на деятельность Вооруженных сил Российской Федерации в информационном пространстве.

Сразу скажу, документ очень простой. и понятный, даже странно http://www.tsarev.biz/wp-includes/images/smilies/icon_wink.gif\\\' alt=\\\'\\\' class=\\\'wp-smiley\\\' /> … Не знаю, кто конкретно его писал, но у этих людей определенно хорошая подготовка в ИБ и, что особо приятно, светлая голова.

Начнем с определений. Здесь радует два момента. Во-первых, хорошо, что термины и определения вообще есть http://www.tsarev.biz/wp-includes/images/smilies/icon_wink.gif\\\' alt=\\\'\\\' class=\\\'wp-smiley\\\' /> . Во-вторых, не могу сказать, что все определения идеальны, но! они понятны, разумны и для данного документа более чем применимы. Также радует, что термины опираются на слово [информацияk, а не какие-нибудь [электрические сигналыk, на которые в нашей нормативке уже тяжко смотреть.

Еще в документе появился важный термин, который мы, по всей видимости, будем использовать все чаще: Система обеспечения информационной безопасности Российской Федерации – часть системы обеспечения национальной безопасности страны, предназначенная для реализации государственной политики в сфере информационной безопасности.

Сам по себе документ хорошо согласуется с Доктриной по ИБ и действующей Военной доктриной и изобилует ссылками на них.

По документу, деятельность Вооруженных Сил РФ в информационном пространстве строится исходя из совокупности принципов:

\n
• Законность. Вооруженные Силы РФ руководствуются законом (российским и международным).
\n
• Приоритетность. Вооруженные Силы РФ в первоочередном порядке стремятся к сбору актуальной и достоверной информации об угрозах, ее оперативной обработке, глубокому анализу и своевременной выработке мер защиты.
\n
• Комплексность. Вооруженные Силы РФ используют все имеющиеся силы и средства для эффективного решения стоящих перед ними задач.
\n
• Взаимодействие. Минобороны России согласовывают свои действия с другими федеральными органами исполнительной власти.
\n
• Сотрудничество. Вооруженные Силы РФ соблюдают принцип сотрудничества, согласовывают усилия с дружественными государствами и международными организациями.
\n
• Инновационность. Вооруженные Силы РФ используют наиболее передовые технологии, средства и методики, а также привлекают к решению задач по информационной безопасности высококвалифицированный личный состав.
\n

Единственно более или менее агрессивное положение звучит так: Вооруженные силы РФ в интересах индивидуальной и коллективной самообороны оставляют за собой право размещать свои силы и средства обеспечения информационной безопасности (не физической) на территории других государств. Вот и все!

Вообще по своему духу документ отличается от американской стратегии по противодействию в киберпространстве. Не могу сказать, что документ Минобороны исключает возможность применения физической силы в ответ на кибератаку, но он определенно не содержит агрессивных положений, коих в американском [аналогеk больше разумного.

1. Пароль должен быть длинным и должен представлять собой смесь букв различных регистров, цифр и специальных символов (будем называть множество символов используемых в пароле – алфавитом) .
2. Пароль в целом или его фрагменты не должны представлять собой слов, которых можно найти в словаре.
3. Пароль должен периодически меняться.
4. Для разных приложений/систем должны использоваться разные пароли.  При этом различия должны присутствовать не только  в «тексте» самого пароля (парольной фразы), но и в принципах построения парольной фразы.
5. Нельзя использовать пароли установленные/предлагаемые \"по умолчанию\".

1. обход/обман средств аутентификации, используя уязвимости ПО/системы аутентификации
2. украсть пароль. Здесь надо выделять два главных момента:
1. украсть на пути от владельца пароля до системы аутентификации, например, используя перехват/прослушку данных в момент их ввода при помощи клавиатуры или в момент их передачи каналами связи между человеком и системой аутентификации 
2. ввиду того, что мы находимся в парадигме «что я знаю», то здесь необходимо рассматривать уязвимости, присущие человеку, и которые могут быть использованы в результате, например, атак использующих методы социальной инженерии (например, фишинг).
3. воспроизвести пароль путем его угадывания или подбора.

• паролей по умолчанию
• паролей состоящие из слов или фраз, что могут быть ассоциированы с владельцем пароля (его личностью, семьей, увлечением, работой, привычками и т.п.)
• паролей, которые могут быть найдены в словарях. Здесь следует отметить, что речь идет не только о словарях связанных с тем или иным языком, а и о словарях, которые хранят парольные фразы полученные из других баз данных паролей или собраны иным другим путем (например,  при помощи сервиса подобного этому http://howsecureismypassword.net/).

• атаки на приложение – атаки когда перебор осуществляется непосредственно используя интерфейс приложения по вводу аутентификационных данных
• off-line атаки на базу данных паролей – атаки непосредственно на базы данных хранящих информацию о паролях. Данный вид атак сопряжен с предварительным хищением такой базы данных (или ее копии).

1. Период времени, на протяжении которого необходимо «удерживать атаку».Особенно важно для архивов конфиденциальность которых нужно сохранять длительное время (десятки лет).
2. Уровень развития производительности инструментов атаки, доступных атакующему. Уже сегодня используя одну систему на базе Tesla S1070, можно достичь скорости перебора производительности до 2000 миллионов паролей в секунду для подбора паролей хешированных при помощи MD5.
3. Виды доступных радужных таблиц. Здесь пока не все так плохо для пользователя, потому как для полного ascii-32-95, я пока встречал таблицы предназначенные для подбора максимум 8 символьных паролей и то для MD5 и NTLM.
4. Применяемые хеш-функции, вычислительная сложность которых может оказать существенное влияние на скорость атаки.

• законность
• приоритетность
• комплексность
• взаимодействие
• сотрудничество
• инновационность.

1. У чиновников просто нет официальной электронной почты. Вполне допускаю эту версию. Исходя из моего опыта общения с различными чиновниками - как в силовых структурах, так и в министерствах и Госдуме, адреса обычно есть для входящей почты и эти адреса групповые. А вот личных адресов, с которых можно было бы общаться с внешним миром, у чиновников нет. Иными словами, в госаппарате реализован механизм электронной канцелярии, когда, чтобы написать что-то вовне, надо направить это в канцелярию, а та направит это с группового адреса ведомства. А так как на практике этот механизм не работает (о какой оперативности и удобстве может идти в этом случае речь), то чиновники решают проблему коммуникаций самым простым путем - использованием внешних почтовых серверов.
2. Чиновники боятся вести переписку с официальных адресов, боясь перлюстрации своей переписки DLP-решениями, которые используются в различных министерствах и ведомствах. И чиновникам есть, что скрывать. Достаточно вспомнить историю недельной давности о взломе почты Якеменко из Росмолодежи. В его почте нашли столько всего, что в любой демократической стране, чиновник, которого заподозрили хотя бы в половине того, что нашли у Якеменко, либо застрелился бы, либо ушел бы в отставку. Почта же на публичном сервисе трудно отслеживаема (так думает большинство неспециалистов).
3. Третья версия конспирологическая и продолжает вторую. Чиновники думают, что используя внешние адреса, они всегда могут отказаться от своего авторства. Пример с Якеменко это опять подтверждает. Ни сам Якеменко, ни Росмолодежь так и не подтвердили факта принадлежности взломанной почты самому главе ведомства. А значит с чиновника и взятки гладки - всегда можно обвинить врагов в фальсификации переписки.
4. Чиновники просто хотят удобно пользоваться электронной почтой и все попытки загнать их в жесткие рамки политик пользования e-mail, которые предпринимают ФСТЭК и ФСБ, приводят не к повышению защищенности средств коммуникаций чиновников, а к его снижению. Тут важную роль играет психология - жесткие запреты будут обходить и прогресс не остановить, как бы этого не хотелось нашим регуляторам в области ИБ.
5. И последней версией будет та, которую озвучил г-н Маркин 4 февраля - это происки американской империалистической машины, которая пытается сбить Россию со своего особого пути к демократическим идеалам и одним из способов является подкуп и оппозиции и, как оказывается, чиновников, которые ведут переписку (в т.ч. и с элементами служебной тайны и персональных данных) через сервера, владельцем которых является американская компания Google - \"известный\" наймит американских спецслужб и противник демократии.

Получилось многобукв .

1. Лицензии теперь бессрочные, но тем, кто получил их до 03.11.2011, по истечении срока действия срочные лицензии придется переоформить.
2. Переоформление потребуется и при изменении перечня лицензируемых видов деятельности в отношении тех, которые в имеющейся лицензии не указаны. Видами деятельности, указанными в лицензии, можно будет заниматься и без получения новой даже при изменении перечня.
3. С 1 июля 2012 г. заявку на получение лицензии можно будет направлять в электронном виде.
4. ФСТЭК разрабатывает новый административный регламент деятельности по лицензированию.