Почему пароль должен показываться звездочками?

Во-вторых, Сатин сразу заявил, что он гуманитарий и будет говорить про информационную безопасность именно с этой позиции. И тут он выдал… Первый приведенный им пример. Губернаторы часто пишут в Минкомсвязь и жалуются лично министру (видимо, про существование ФСТЭК они не знают) гневные письма о том, что им сложно вводить пароль в различные государственные информационные системы, т.к. он отображается звездочками!!! Чтобы быть ближе к аудитории он сразу привел смежный пример. Вот, представьте, что вы получаете одноразовый код для доступа к ДБО по SMS. Получаете вы его в открытом виде? Да. Так зачем в интерфейсе ДБО его вводить звездочками? Особенно в тех случаях, когда ДБО у вас мобильная и SMS вы получаете на этот же смартфон? Неожиданный вопрос 🙂

Дальше больше. Второй пример Сатина касался нашего премьер-министра, который при очередном посещении какой-то поликлиники для изучения опыта электронной регистрации на прием к врачу высказал претензию, что CAPTCHA, используемая для отсечения ботов-мошенников, которые будут регистрироваться, а потом продавать места в электронных очередях, слишком неудобна и от нее надо отказаться.

Оба примера очень неплохо иллюстрируют отношение властей к информационной безопасности. Во-первых, полное непонимание ИБ, а точнее понимание со своей позиции, отличной от принятой у безопасников. Во-вторых, становится понятно отношение Минкомсвязи к безопасности. Я все удивлялся, почем после прихода Никифорова был сокращен отдел ИБ? Почему министр полностью игнорирует все запросы по теме ИБ? Почему в концепции развития отрасли до 2018-го года тема ИБ вообще не звучит? Почему при обсуждении даже связанных с ИБ тем (госуслуги, электронных платежи, УЦ и т.п.) о теме ИБ все равно все молчат? А теперь стало понятно — для молодого министра и его команды тема ИБ — это бельмо на глазу. Она МЕШАЕТ. Мешает развитию ИТ, мешает развитию отрасли, мешает внедрению новых сервисов и услуг…

Но была и еще одна часть в выступлении Сатина, которая мне понравилась. Касалась она эргономики ИБ (usability). Мне эта тема хорошо знакома — я про нее писал неоднократно. И вот тут Дмитрий Сатин вступил на знакомые ему рельсы, т.к. он в последнее время регулярно говорил об удобстве использования… Правда не ИБ, а сайтов госструктур. Но это темы близкие и поэтому советник министра достаточно неплохо описал, каким требованиям должна удовлетворять система ИБ и какими метриками оценивать ее не с точки зрения традиционной, ИБшной, не с точки зрения финансовой, а с точки зрения пользовательской — «удобно или неудобно». В качестве примера документа, описывающего возможные требования к системе ИБ с точки зрения именно удобства Дмитрий Сатин привел ГОСТ Р ИСО 9241-11 «Эргономические требования к проведению офисных работ с использованием видеодисплейных терминалов (VDT). Часть 11. Руководство по обеспечению пригодности использования». Не смотрите на то, что этот ГОСТ ориентирован на дисплеи — важна общая идея.

А сам ГОСТ очень неплох с концептуальной точки зрения. Он описывает пошаговую процедуру разработки удобного в использовании интерфейса. Удобного, значит пользователи не будут его обходить или «сносить» всеми правдами и неправдами. ГОСТ Р ИСО 9241-11 говорит, что прежде чем что-то делать ответьте на следующие вопросы:

• кто ваш пользователь?
• каковы его задачи?
• как он будет пользоваться вашей системой?
• в какой среде он будет пользоваться вашей системой?