Сперва, вот вам краткий обзор по отечественной проблематике систем защиты информации для тех, кто (поверьте — к вашему же счастью и душевному спокойствию) не имел практического опыта их создания и атестации согласно нашего дивного законодательства.
КСЗИ — stands for Комплексная система защиты информации. Подразумевает комплекс организационных и технических мероприятий, обеспечивающий реализацию определенной технологии обработки информации. Огрубляя для простоты — некоторое количество коробок документов с описаниями того, как обеспечить целостность, доступность, конфиденциальность информации, обрабатываемой в этих ваших инторнетах.
Порядок создания описан в НД ТЗІ 3.7-003-2005 dstszi.kmu.gov.ua/...atalog/document?id=106350. Чисто ради интереса читать его бессмысленно и даже опасно для вашего душевного здоровья. Так что, вот вам спойлер — создается Техническое Задание (ТЗ), согласовуется с Госспецсвязью, согласно ТЗ разрабатывается проект КСЗИ, реализуется, далее созданное КСЗИ всячески анализируется разработчиком и персоналом заказчика на предмет его соответствию ТЗ и попутно допиливается. И когда все стороны этого увлекательного процесса вроде бы согласны, что нужный результат достигнут — остается убедить государство в лице Госспецвязи в том, что если что-либо с информацией и случится, то их — Госспецсвязь — за это не накажут. Можно, впрочем и не убеждать, что правда входит в противоречие с Законом Украины “Про захист інформації в інформаційно-телекомунікаційних системах” zakon5.rada.gov.ua/laws/show/80/94-вр.
Процесс убеждения Госспецсвязи, при удачном раскладе, состоит из двух этапов — Экспертиза и Атестация. При неудачном — экспертизу прийдётся перездавать неоднократно. Отказ же в атестации при полноценной экспертизе — ну просто реальный epic fail.
Экспертизу организовывает заказчик КСЗИ согласно “Положення про державну експертизу в сфері технічного захисту інформації” zakon4.rada.gov.ua/laws/show/z0820-07. Выполняется экспертиза сторонним подрядчиком из числа тех, у кого есть лицензия Госспецсвязи на оценку защищенности информации. Необходимость наличия такой лицензии — требование Закона Украины “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19 и постановления КМУ “Про ліцензування видів господарської діяльності” zakon4.rada.gov.ua/laws/show/222-19. Выбор исполнителя экспертизы согласовывается с Госспецсвязью.
Счастливчик, определенный экспертом, потрошит коробки с документацией на КСЗИ, изучает, пишет методику её тестирования, согласовывает с Госспецсвязью, проводит согласно методики экспертные исследования КСЗИ, пишет заключение и, если оно таки положительное — отправляет КСЗИ на Атестацию в Госспецсвязь.
Госспецсвязь собирает комиссию и та проверяет заключение эксперта на синтаксические и орфографические ошибки, сверяет соответствие списка документов в коробках с описанием новосозданной КСЗИ требованиям вороха методичек и отправляет кого-нить помоложе распечатать и заламинировать Атестат соответствия.
Всю эту стройную последовательность множим на объём производимой в процессе бумаги в метрах кубических, добавляем издержки на режимно-секретные ритуалы и пересылку непрозрачных, прошитых суровыми нитками, пакетов туда и обратно курьером — и на выходе получаем средне-статистическую Экспертизу+Атестацию длиной от пары недель до многих месяцев.
Теперь, кратко, почему КСЗИ секретится (а для систем без гос. тайны — служебится — присвоением грифа ДСК). Описательная часть КСЗИ содержит детальные сведения о всем комплексе защиты — от персонала, до технических средств. По модели угроз, плану защиты, структуре службы защиты и прочим документам КСЗИ очень удобно подыскивать способ как взломать это всё попроще либо, например, к кому лучше всего незаметно подкатить с деньгами или паяльником. Примерьте пункты 1, 2 и 3 части 2 статьи 6 Закона Украины “Про доступ до публічної інформації” zakon3.rada.gov.ua/laws/show/2939-17 на бенефиты доступа общественности к коробкам с кучей узкоспециальной хуеты в сравнении с потенциальным импактом от доступа к ней же недружелюбных пидарасов из какой-нить Федеральной Службы Баночек, и одной теорией заговора Госспецсвязи против прогрессивной общественности, надеюсь, станет меньше. По той же причине служебятся Экспертные и Атестационные заключения — причем в особенности это касается отказов, так как в них фактически содержится перечень брешей в безопасности КСЗИ.
Не менее коротко — о результатах стороннего тестирования функционированя реестра специалистами TestLab2 и PricewaterhouseCoopers. То, что его провели — позитивный сигнал и, значит, есть шанс что Реестр не свалится под нагрузкой и, может быть даже его не сломают сильные или раздавят тяжелые программисты. К экспертизе же либо атестации КСЗИ данные тестирования не относятся по определению, так как без лицензии Госспецсвязи любая оценка не будет экспертной в терминах действующего законодательства.
Теперь к хронологии драмы с НАЗК, Мирандой, Госспецсвязью, Порошенко, Турчиновым и прочими доброжелателями.
Проследовав к набросу Сергея Сидоренко “Хто зірвав електронне декларування статків: хронологія та документи” в “Европейской правде”
www.eurointegration.com.ua/...icles/2016/08/14/7053339 вы сможете приоткрыть завесу тайны над тем, как же происходила реализация этого, без какой либо иронии, чрезвычайно важного Государственного проекта.
Пройдемся по ссылкам на документы из фельетона господина Сидоренко и посортируем даты & события.
2015-12-02 ПРООН заключает договор с Мирандой
2015-12-10 Сдан результат № 1 (СУБД с тестовыми данными, поисковик, публичный API)
2015-12-11 Заседание № 1 группы контроля за качеством (результат № 1)
2016-01-20 Сдан результат № 2 (публичный сайт, АРМ сотрудников НАЗК, формы ввода, средства аутентификации)
2016-02-02 Заседание № 2 группы контроля за качеством (результат № 2)
2016-02-29 Заседание № 3 группы контроля за качеством (результат № 2)
2016-02-29 Сдан результат № 3 (документация, справочная информация, рекламки, буклетики и прочая)
2016-05-10 Заседание № 4 группы контроля за качеством (результат № 3)
2016-07-01 Письмо НАЗК в Госспецсвязь — согласование графика создания КСЗИ ?
2016-07-05 Согласование графика создания КСЗИ Госспецсвязью
2016-07-22 Приемные испытания результатов 1, 2 и 3 комиссией НАЗК
2016-07-25 Принятие выводов по результатам приемных испытаний результатов 1, 2 и 3 комиссией НАЗК
2016-07-27 Передача результатов 1, 2 и 3 НАЗК
2016-07-28 НАЗК просит Госспецсвязь согласовать ТОВ “Криптософт” в качестве эксперта по КСЗИ (как окажется в последствии то же ТОВ участвовало в работах по созданию КСЗИ и потому не может проверять свою же работу)
2016-08-02 НАЗК, по настоянию Госспецсвязи, определяет экспертом ГЦ киберзащиты, и принимает решение о проведении экспертизы КСЗИ
2016-08-03 Госспецсвязь согласовывает ТЗ на КСЗИ
2016-08-05 КСЗИ проходит предварительные испытания
2016-08-08 НАЗК передало КСЗИ на экспертизу
2016-08-10 Программный код и документация получены для экспертизы Госспецсвязью
2016-08-11 Госспецсвязь ведут на 2х-часовую экскурсию по объекту без возможности жать на педали
2016-08-12 Экспертный совет Госспецсвязи отказывает в атестации КСЗИ
2016-08-13 Торжественное вручение НАЗК отказа в атестации
Первый очевидный, и, пожалуй, самый главный проеб — НАЗК должен был умолять Госспецсвязь согласовать им хоть какую-нибудь экспертную организацию ещё в феврале месяце.
Второе, что бросается в глаза — это обилие событий с 29 февраля по 1 июля. Целых 4 месяца работы над нихуя!? С перерывом на выездное заседание, разумеется. Ну, если, конечно, поверить в то, что последний из 3х результатов 1го этапа был таки передан в ПРООН 29 февраля, а не спешно допиливался вплоть до конца июля.
Последнее — на экспертизу и атестацию ГЦ киберзащиты и Госспецсвязи было щедро отвешено целых 5 дней — с 8 по 12 августа включительно. И это при условии безотлагательного изобретения моментальной телепортации бумаги. Для представления об объеме работ для экспертов можно насладиться фоткой тех самых коробок на fb НАЗК
www.facebook.com/.../1112586892134567/?type=3На fb ленте Юрия Новикова из Миранды можно найти коммент Mykola Kulieshov с оценкой объема документации на КСЗИ — “более 1500 стр.”
www.facebook.com/...mment_tracking={"tn":"R“
Тоесть, за 4 дня ГЦ киберзащиты нужно было составить целостное мнение о созданной КСЗИ, создать методику экспертных испытаний её частями и целиком, согласовать, провести испытания, заполнить протоколы, написать экспертное заключение, чтобы 12 августа Госспецсвязь могла с чистой душой воспользоваться ламинатором. Странно что прогрессивная общественность, и особенно домохозяйки, удивились, что чуда не случилось и, то что ГЦ киберзащиты в судорогах родило за 4 дня атестацию не прошло.
На этом месте правдолюбы и просто внимательные к деталям граждане, вероятно, возмутятся тем, что Госспецсвязь же подписало календарный план и обязалось провести атестацию 12 августа!
Так вот — Госспецсвязь пообещало провести Атестацию КСЗИ — и провело. Правда ровно с тем же победным результатом, что провел экспертизу выбранный изначально НАЗК 28 июля в качестве эксперта ТОВ “Криптософт”.
Печально, конечно, что результат оказался неудовлетворительным, но кто ж мешал НАЗК согласовать Эксперта заранее, месяца эдак за 4-5 ?
Last but not least — какая связь Порошенко и Турчинова с КСЗИ реестра НАЗК ?
Отвечу откровенно — хуй его знает. Но в набросе от Сидоренко все было так интригующе и детективно, что меня до сих пор мучает мысль — держались ли они за руки, когда стояли за спиной у НАЗК и Госспецсвязи.
И да, хохмы ради, загляните на страницу 8 “Рішення про затвердження висновку приймальних випробувань програмного забезпечення системи електронного декларування України”
www.eurointegration.com.ua/.../c/2cc2778-conclusion.pdf.
Согласно расписанию реализации проекта, задания 1, 2 и 3 должны были быть выполнены подрядчиком до 2015-12-30. Дополнительные же 2 задания (которые, кстати, выполнены небыли) по связи с внешними реестрами — до 2016-07-30.
