Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 («Cybersecurity Act of 2009»). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает, что аналогичный нормативный акт может появиться у нас… только не такого качества ;-(
Подробнее на Компьютерре…
Может просто мы еще не готовы для таких законопроектов…
А что, уже доказали вину разработчиков ас?
А причем тут вина разработчиков? Они ведь продавали софт "as is". Хотя, как они правильно отмечают, у них 18-летний опыт таких проектов. И РусГидро говорит, что это не вина АСУ ТП.
Vair: Одному американцу недавно дали Нобелевку за то, что он доказал, что инфляция — это результат не реальных экономических процессов, а нашего ожидания их. Т.е. мы ждем, что инфляция будет 20% и она будет именно такой. Мы ждем, что нефть будет стоить 40 баксов и она будет именно такой.
В ИБ тоже самое. Мы ждем, что будет плохо — и оно будет плохо 😉 А был бы законопроект, который направлен на "хорошо" и было бы "хорошо".
Эх…если бы это все было у нас, и не только на уровне нормативных актов…мечты мечты…
Да, отличный документ и в самом деле. Прям так и представляю себе, как ВВП дает поручение главам ФСТЭК и ФСБ организовать на основе призовых программ с денежными призами поиск талантливых безопасников с целью их найма на государственную службу…Смешно и грустно.
А ведь сами мерикане Америку не открыли: люди и правда важнейшшая часть ИБ. Почему же наши не видят? Может как раз потому, что никто и никогда не занимался поисками и наймом тех самых талантливых?…
Ну почему уж никогда то!
Методы работы странные, но работа то ведется.
Да-да, меня, тогда еще студента, сидящего с гитарой на лавке на Цветном бульваре пригласили на работу в ФАПСИ:))) До сих пор не знаю — жалеть, что отказался или нет… Я имел в виду — именно в таком контексте, игровом, конкурсном. А так, набор не самых плохих кадров конечно ведется, уверен. А мы расхебываем заваренные им неудобоваримые каши…
ЗЫ Хотя и идеализировать документ, конечно, тоже не стоит — фидбэк на opencongress говорит, что поддерживают его только 2% посетителей. Конечно выборка оставляет желать (пользователи Интернет вряд ли будут голосовать за ограничения свобод в Интернет же), но все же…
Критика, разумеется, есть. Особенно в части выработки обязательных требований со стороны NIST. Но в остальном документ более чем грамотный.
А СМИ больше про право первого рубильника и ограничении свободы слова говорят. ИМХО рановато. Во-первых документ говорит, что стратегия кибербезопасности всего лишь "may declare" такое право, а а во-вторых применяться оно будет только при наличии серьезной угрозы федеральным правительственным и государственным системам. В общем, надо сперва увидеть проект концепции. PS Если услышите, что Обама девелоперов набирает, свистните;)
А я про рубильник в законопроекте что-то не нашел… Может невнимательно читал?
Sec 18 (CYBERSECURITY RESPONSIBILITIES AND AUTHORITY), часть 2:
The President—…- may declare a cybersecurity emergency and order the limitation or shutdown of Internet traffic to and from any compromised Federal Government or United States critical infrastructure information system or network;
По сути, президент может объявить кибертревогу и всем вырубить газ…тьфу, Интернет.
Не всем, а только органам власти или критическим инфраструктурам. И это логично. У нас такое требование было в пресловутом Указе Президента 351.
Ну да, конечно, я ведь и в предыдущем посте про это упоминал. Хотя я слышал и другую трактовку, исходя из двойственности "to and from". Согласись, отключить трафик можно по-разному;)
Ну не все так мрачно 😉 Там вам не Россия 😉
Зато такие гримасы Азиопы вполне смогут выявить, какой софт надёжен, а какой нет.