Security Lab

История с показом порноролика на рекламном экране получила неожиданное продолжение

История с показом порноролика на рекламном экране получила неожиданное продолжение

2 февраля Комитет по рекламе г. Москвы принял "Положение о защите информации от несанкционированного вмешательства при трансляции видеороликов, установленых на территории города Москвы"

История с показом порноролика на рекламном экране получила неожиданное продолжение.

2 февраля Комитет по рекламе г. Москвы принял "Положение о защите информации от несанкционированного вмешательства при трансляции видеороликов, установленных на территории города Москвы". По сложившейся традиции документ утвержден зампредом комитета А.Д. Минчуком. О существовании этого документа заинтересованные лица могли узнать из интервью, прозвучавшем в эфире "Вести ФМ". Судя по всему, московские рекламщики «Вести ФМ» не слушают, так что начавшиеся визиты сотрудников комитета на предмет проверки его исполнения стали для них сюрпризом. Документ не публиковался, распространяется только в бумажном виде, так что для заинтересованных лиц делаю краткий обзор этого эпического труда.

Документ делит светодиодные экраны на два класса по тому, каким способом загружается контент на его сервер управления: экраны с передачей данных на физических носителях и экраны с передачей данных по каналам связи.

В первом случае от операторов экранов требуется:

  • фиксировать факт передачи носителя с роликом
  • проверять целостность данных на носителе
  • организовать маркировку и учет носителей
  • разработать и внедрить собственные нормативные документы по защите экранов от НСД
  • усилить прочность корпуса экрана
  • установить сигнализацию на вскрытие с датчиком объема и модулем GSM

Ну, допустим. А вот требования к экранам с управлением по сети - это что-то с чем-то. Требования взяты из РД с классификацией АС, но при этом надерганы из разных классов. Для тех, кому лень рыться в РД, в скобках привожу класс, из которого требование взято. Итак, в системе управления экраном должны выполняться следующие требования:

  • должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов ()
  • должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам ()
  • должна осуществляться идентификация информации (самодеятельность);
  • должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа ()
  • должно осуществляться управление потоками информации ()
  • должны проводиться маркировка и учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (сформулировано немножко по-другому, но эквивалентно требованию из класса )
  • должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова ()
  • должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации ()
  • должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемой информации ()
  • должна осуществляться регистрация попыток доступа программ к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей ()
  • должен вестись учет носителей информации ()
  • должна осуществляться сигнализация "нарушений защиты" ()
  • должна контролироваться целостность СЗИ по наличию файлов с нужными именами (1Г)
  • должны отсутствовать средства разработки ()
  • должна обеспечиваться физическая охрана СВТ (, от избытка усердия требование повторили два раза)
  • должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД ()
  • должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности (, тоже повторили два раза)
  • должно обеспечиваться информации[s1] , принадлежащей различным субъектам доступа (группам субъектов) на разных ключах ()
  • должны использоваться аттестованные (сертифицированные) криптографические средства ()
  • должна обеспечиваться целостность программной среды за счет использования трансляторов с языков высокого уровня и отсутствия средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации ()
  • в СВТ должны тестироваться реализация правил разграничения доступа, очистка памяти и прочее бла-бла-бла, взятое из блока требований тестирования РД СВТ (требования к СВТ 5-го класса)
  • при наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей других процессов (других субъектов), т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга (СВТ 4-го класса)
  • КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемый или идентифицированный ("помеченные"). При вводе с "помеченного" устройства (выводе на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи (СВТ 4-го класса)

Требования, выделенные красным, применяются к системам, предназначенным для защиты сведений, составляющих государственную тайну. Даже на первый взгляд очевидно, что документ писал человек, далекий от предметной области. В одну кучу смешаны требования к объектам разной природы (СВТ и АС), причем требования выбраны произвольно (это требование я хочу использовать, а вот это мне не нравится, его я брать не буду) и из разных классов.
Умиляют требования по контролю исполнения требований. От операторов требуют

  • не реже раза в год проводить аудит информационной безопасности (!) систем управления экранами (в оригинале - "систем информационных технологий")
  • проводить аудит информационной безопасности организации
  • аттестовать системы управления экранами в системах сертификации ФСБ и ФСТЭК одновременно
  • установить камеры видеонаблюдения за экранами с возможностью экстренного отключения питания экранов, на случай «а вдруг»
  • предоставить сотрудникам комитета удаленный доступ к экранам для просмотра транслируемого изображения

Честно говоря, при чтении документа первой в голову приходит классическая народная мудрость про инициативу и тех, кто чаще других склонен ее проявлять. Итак, имитация бурной деятельности проведена. Что же делать операторам наружной рекламы?

Прежде всего, нужно понимать, что данный нормативный правовой акт противоречит федеральному законодательству. Согласно ФЗ "Об информации, информационных технологиях и защите информации", обязанность оператора как обладателя информации принимать определенные меры защиты наступает только в случаях, установленных законодательством РФ (ч. 4 статьи 16 ФЗ). Согласно указанной статье законодательство Российской Федерации об информации, информационных технологиях и о защите информации состоит из упомянутого Федерального закона и других регулирующих отношения по использованию информации федеральных законов. Таким образом, орган местного самоуправления не уполномочен самовольно накладывать на оператора экрана какие-либо обязательства по защите информации.

Более того, федеральным законом "О техническом регулировании" четко установлены механизмы формирования обязательных требований. Обязательные требования по обеспечению безопасности информации могут быть установлены:

  • техническими регламентами, т.е. документами, которые вводятся в действие отдельными федеральными законами или постановлениями Правительства
  • нормативными документами ФСБ и ФСТЭК в особых случаях (например, для информации, доступ к которой ограничивается в соответствии с законодательством) .


Получается, что комитет в лице г-на Минчука превысил свои полномочия. Поскольку исполнение этого бреда - занятие весьма затратное, я бы на месте заинтересованных рекламных агентств попытался добиться признания этого документа недействительным. Для этого есть три пути:

  • обращение в орган местного самоуправления
  • обращение в прокуратуру
  • обращение в арбитражный суд

Дерзайте :)

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!