24.02.2010

»стори€ с показом порноролика на рекламном экране получила неожиданное продолжение

image

2 феврал€  омитет по рекламе г. ћосквы прин€л "ѕоложение о защите информации от несанкционированного вмешательства при трансл€ции видеороликов, установленых на территории города ћосквы"

»стори€ с показом порноролика на рекламном экране получила неожиданное продолжение.

2 феврал€  омитет по рекламе г. ћосквы прин€л "ѕоложение о защите информации от несанкционированного вмешательства при трансл€ции видеороликов, установленных на территории города ћосквы". ѕо сложившейс€ традиции документ утвержден зампредом комитета ј.ƒ. ћинчуком. ќ существовании этого документа заинтересованные лица могли узнать из интервью, прозвучавшем в эфире "¬ести ‘ћ". —уд€ по всему, московские рекламщики «¬ести ‘ћ» не слушают, так что начавшиес€ визиты сотрудников комитета на предмет проверки его исполнени€ стали дл€ них сюрпризом. ƒокумент не публиковалс€, распростран€етс€ только в бумажном виде, так что дл€ заинтересованных лиц делаю краткий обзор этого эпического труда.

ƒокумент делит светодиодные экраны на два класса по тому, каким способом загружаетс€ контент на его сервер управлени€: экраны с передачей данных на физических носител€х и экраны с передачей данных по каналам св€зи.

¬ первом случае от операторов экранов требуетс€:

  • фиксировать факт передачи носител€ с роликом
  • провер€ть целостность данных на носителе
  • организовать маркировку и учет носителей
  • разработать и внедрить собственные нормативные документы по защите экранов от Ќ—ƒ
  • усилить прочность корпуса экрана
  • установить сигнализацию на вскрытие с датчиком объема и модулем GSM

Ќу, допустим. ј вот требовани€ к экранам с управлением по сети - это что-то с чем-то. “ребовани€ вз€ты из –ƒ с классификацией ј—, но при этом надерганы из разных классов. ƒл€ тех, кому лень рытьс€ в –ƒ, в скобках привожу класс, из которого требование вз€то. »так, в системе управлени€ экраном должны выполн€тьс€ следующие требовани€:

  • должна осуществл€тьс€ идентификаци€ и проверка подлинности субъектов доступа при входе в систему по паролю условно-посто€нного действи€ длиной не менее шести буквенно-цифровых символов ()
  • должна осуществл€тьс€ идентификаци€ терминалов, Ё¬ћ, узлов сети Ё¬ћ, каналов св€зи, внешних устройств Ё¬ћ по логическим именам (1√)
  • должна осуществл€тьс€ идентификаци€ информации (самоде€тельность);
  • должен осуществл€тьс€ контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа (1√)
  • должно осуществл€тьс€ управление потоками информации ()
  • должны проводитьс€ маркировка и учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (сформулировано немножко по-другому, но эквивалентно требованию из класса )
  • должна осуществл€тьс€ регистраци€ входа (выхода) субъектов доступа в систему (из системы), либо регистраци€ загрузки и инициализации операционной системы и ее программного останова (1√)
  • должна осуществл€тьс€ регистраци€ запуска (завершени€) программ и процессов (заданий, задач), предназначенных дл€ обработки защищаемой информации (1√)
  • должна осуществл€тьс€ регистраци€ попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемой информации (1√)
  • должна осуществл€тьс€ регистраци€ попыток доступа программ к терминалам, Ё¬ћ, узлам сети Ё¬ћ, каналам св€зи, внешним устройствам Ё¬ћ, программам, томам, каталогам, файлам, запис€м, пол€м записей (1√)
  • должен вестись учет носителей информации ()
  • должна осуществл€тьс€ сигнализаци€ "нарушений защиты" ()
  • должна контролироватьс€ целостность —«» по наличию файлов с нужными именами (1√)
  • должны отсутствовать средства разработки (1√)
  • должна обеспечиватьс€ физическа€ охрана —¬“ (1√, от избытка усерди€ требование повторили два раза)
  • должно проводитьс€ периодическое тестирование функций —«» Ќ—ƒ при изменении программной среды и персонала ј— с помощью тест-программ, имитирующих попытки Ќ—ƒ (1√)
  • должны быть в наличии средства восстановлени€ —«» Ќ—ƒ, предусматривающие ведение двух копий программных средств —«» Ќ—ƒ и их периодическое обновление и контроль работоспособности (1√, тоже повторили два раза)
  • должно обеспечиватьс€ информации[s1] , принадлежащей различным субъектам доступа (группам субъектов) на разных ключах ()
  • должны использоватьс€ аттестованные (сертифицированные) криптографические средства ()
  • должна обеспечиватьс€ целостность программной среды за счет использовани€ трансл€торов с €зыков высокого уровн€ и отсутстви€ средств модификации объектного кода программ в процессе обработки и (или) хранени€ защищаемой информации ()
  • в —¬“ должны тестироватьс€ реализаци€ правил разграничени€ доступа, очистка пам€ти и прочее бла-бла-бла, вз€тое из блока требований тестировани€ –ƒ —¬“ (требовани€ к —¬“ 5-го класса)
  • при наличии в —¬“ мультипрограммировани€ в  —« должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей других процессов (других субъектов), т.е. в оперативной пам€ти Ё¬ћ программы разных пользователей должны быть защищены друг от друга (—¬“ 4-го класса)
  •  —« должен различать каждое устройство ввода-вывода и каждый канал св€зи как произвольно используемый или идентифицированный ("помеченные"). ѕри вводе с "помеченного" устройства (выводе на "помеченное" устройство)  —« должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. “акое же соответствие должно обеспечиватьс€ при работе с "помеченным" каналом св€зи (—¬“ 4-го класса)

“ребовани€, выделенные красным, примен€ютс€ к системам, предназначенным дл€ защиты сведений, составл€ющих государственную тайну. ƒаже на первый взгл€д очевидно, что документ писал человек, далекий от предметной области. ¬ одну кучу смешаны требовани€ к объектам разной природы (—¬“ и ј—), причем требовани€ выбраны произвольно (это требование € хочу использовать, а вот это мне не нравитс€, его € брать не буду) и из разных классов.
”мил€ют требовани€ по контролю исполнени€ требований. ќт операторов требуют

  • не реже раза в год проводить аудит информационной безопасности (!) систем управлени€ экранами (в оригинале - "систем информационных технологий")
  • проводить аудит информационной безопасности организации
  • аттестовать системы управлени€ экранами в системах сертификации ‘—Ѕ и ‘—“Ё  одновременно
  • установить камеры видеонаблюдени€ за экранами с возможностью экстренного отключени€ питани€ экранов, на случай «а вдруг»
  • предоставить сотрудникам комитета удаленный доступ к экранам дл€ просмотра транслируемого изображени€

„естно говор€, при чтении документа первой в голову приходит классическа€ народна€ мудрость про инициативу и тех, кто чаще других склонен ее про€вл€ть. »так, имитаци€ бурной де€тельности проведена. „то же делать операторам наружной рекламы?

ѕрежде всего, нужно понимать, что данный нормативный правовой акт противоречит федеральному законодательству. —огласно ‘« "ќб информации, информационных технологи€х и защите информации", об€занность оператора как обладател€ информации принимать определенные меры защиты наступает только в случа€х, установленных законодательством –‘ (ч. 4 статьи 16 ‘«). —огласно указанной статье законодательство –оссийской ‘едерации об информации, информационных технологи€х и о защите информации состоит из упом€нутого ‘едерального закона и других регулирующих отношени€ по использованию информации федеральных законов. “аким образом, орган местного самоуправлени€ не уполномочен самовольно накладывать на оператора экрана какие-либо об€зательства по защите информации.

Ѕолее того, федеральным законом "ќ техническом регулировании" четко установлены механизмы формировани€ об€зательных требований. ќб€зательные требовани€ по обеспечению безопасности информации могут быть установлены:

  • техническими регламентами, т.е. документами, которые ввод€тс€ в действие отдельными федеральными законами или постановлени€ми ѕравительства
  • нормативными документами ‘—Ѕ и ‘—“Ё  в особых случа€х (например, дл€ информации, доступ к которой ограничиваетс€ в соответствии с законодательством) .


ѕолучаетс€, что комитет в лице г-на ћинчука превысил свои полномочи€. ѕоскольку исполнение этого бреда - зан€тие весьма затратное, € бы на месте заинтересованных рекламных агентств попыталс€ добитьс€ признани€ этого документа недействительным. ƒл€ этого есть три пути:

  • обращение в орган местного самоуправлени€
  • обращение в прокуратуру
  • обращение в арбитражный суд

ƒерзайте :)

или введите им€

CAPTCHA
—траницы: 1  2  3  4  5  
фетиш-мастер [ћалиновые штаны]
24-02-2010 10:24:35
видеороликов, установленых на территории города ћосквымо€ тво€ понимать? )) в —¬“ должны тестироватьс€ реализаци€ правил разграничени€ доступа, очистка пам€тии прочее бла-бла-бла, вз€тое из блока требований тестировани€ –ƒ —¬“ (требовани€ к —¬“ 5-го класса)зачот
0 |
24-02-2010 11:09:42
в системе управлени€ экраном должны выполн€тьс€ следующие требовани€: ... должна осуществл€тьс€ идентификаци€ информации омг, это как. —истема управлени€ экраном должна сама просматривать видеоролики и показывать только правильные.
0 |
ћимо проходил
25-02-2010 07:42:43
Ётот момент должен покрыватьс€ орг.мерами (сотрудник в штатском).
0 |
avvadonn
18-05-2010 12:39:22
»дентификаци€ это не контроль контента. Ёто всего лишь идентификаци€. „то означает всего лишь присваивание некого признака, номера или ещЄ чего-либо уникально идентифицирующего каждый ролик.
0 |
24-02-2010 13:30:09
требовани€ к экраном с управлением по сети - это что-то с чем-то» это правильно. ƒл€ рекламы должны быть установлены такие правила, что бы рекламщики их почитали, бросили свой бизнес, и свалили в деревню на ѕћ∆. ¬реда от всей этой рекламы на пор€док больше, чем пользы.
0 |
кость
24-02-2010 13:43:28
ўас еще под шумок свою контору дл€ аттестации таких объектов сл€пают.
0 |
24-02-2010 15:44:48
¬ каждой шутке есть дол€ шутки. ≈сли возлагать на —ћ» цензурные ограничени€ и требовать от них ответственности в качестве представл€емого контента, то почему бы данные ограничени€ не возложить и на оборудование —ћ», которое напр€мую участвует в формировании этого самого контента? ѕредставьте себе газету ¬згл€д, где на первых двух полосах больша€ гола€ (.) или фотка из цикла каррикатур Ѕуш-Ѕен Ћаден. —мешно?  ому то не очень. » если получаетс€ так что рекламное агентство делает деньги на рекламе, которую крутит их Win98 (утрирую), почему бы не заставить это агентство тратить n-ую сумму денег и на собственную безопастность? ѕо таким экранам можно не только порно, но и агитационные ролики гон€ть, или те же гостайны, или шантаж. ЋёЅ”ё информацию дл€ любых ÷≈Ћ≈…. ¬ышки, оборудование и ѕќ сотовых компаний сертификацию проходит, а это примерно то же самое только ступеньки развити€ разные - радиосв€зь и человеческое зрение. ѕ€та€ колонна не дремлит.
0 |
24-02-2010 22:18:59
Ќе надо никого ќЅя«џ¬ј“№. ѕусть плат€т штрафы за инциденты постфактум. Ёто заставит рекламщиков самосто€тельно ввести ƒќ—“ј“ќ„Ќџ≈ защитные меры. ј вс€ эта хренотень с одновременной сертификацией в ‘—Ѕ и ‘—“Ё  просто означает, что кому-то оп€ть захотелось н€м-н€м. ƒавайте договоримс€ где кака€ степень риска. ќдно дело взлом банковского счЄта, и другое дело дефлораци€ сознани€ путЄм просмотра рекламы. ≈щЄ вопрос что показывать опаснее, порнографию или рекламу фильтров ѕетрика. Ќо чЄрт возми, правда они хот€т ввести штатную единицу, котора€ будет смотреть на экраны и воврем€ отрубать питание?! Ёто венец всех перечисленных защитных мер, как в ≈ралаше: а на случай если € потер€ю оба билета, у мен€ есть проездной!
0 |
avvadonn
18-05-2010 12:41:22
самой достаточной защитной мерой встанет в таком случае включение суммы штрафов в стоимость минуты ролика на экране.
0 |
—траницы: 1  2  3  4  5