Перейти к основному содержанию

kursiv_in_telegram.JPG


5918 просмотров

Информационная безопасность Казахстана оказалась вне закона

Эксперт-аналитик Ak Kamal Security Михаил Поздняков рассказал о стандартах безопасности

Фото: Shutterstock

Обновленный стандарт СТ РК ISO/IEC 15408:2017 является одним из основополагающих в информационной безопасности (ИБ): только после прохождения сертификации программного обеспечения на соответствие данному стандарту оно может попасть в список доверенного ПО.

Предыдущий стандарт СТ РК ГОСТе Р ИСО/МЭК 15408-2006 был основан на российском ГОСТе. Это нормальная практика, которая используется во всем мире и называется гармонизацией государственных стандартов. Плюсов у гармонизации много: единообразные стандарты в разных странах упрощают импорт и экспорт, аудит и многие другие трансграничные операции.

Новый СТ РК ISO/IEC 15408:2017 тоже является результатом гармонизации. Вот только за основу в этот раз решили взять не соответствующий российский ГОСТ, который, по сути, является переводом соответствующего международного стандарта ISO, а, собственно, изначальный ISO/IEC 15408 2008-09 годов и перевести его самостоятельно. По идее, ничего плохого случиться не могло. Но случилось.

Первой проблемой нового стандарта стала терминология. Информационная безопасность – область специфическая, в которой за много лет сложилась своя, особая терминология, чаще всего привязанная к изначальным английским терминам и сокращениям. В частности, один и тот же термин target of evaluation и его аббревиатура ToE изначально переводится как «цель оценки», но почему-то с сокращением (ОО). Далее по тексту могут всплывать не только эти термины, но и «объект оценки», а к середине документа появляется и аббревиатура ЦО. То же самое и с другими важными терминами: «цель безопасности» становится аббревиатурой ЗБ, а далее по тексту можно встретить и само «задание по безопасности». Причем задание по безопасности в казахской версии стандарта неожиданно сохранило оригинальную латинскую аббревиатуру ST, что значительно разобщило две языковые версии стандарта. И это далеко не все примеры путаницы с терминологией.

Вторая проблема этого стандарта в том, что из-за особенностей в нем используется большое количество аббревиатур, с которыми переводчики тоже успели поэкспериментировать. Практически во всем стандарте для обозначения классов, семейств, компонентов и элементов используются латинские обозначения, но в третьей части стандарта, начиная со страницы 90 и до страницы 148, переводчики внезапно решили, что они тоже должны быть на кириллице.

Использование кириллических аббревиатур вместо канонических на латинице было бы уместно только в случае, если бы они использовались в рамках всего стандарта, но не в отдельно взятом блоке. Более того, составители стандарта не озаботились согласовать переведенные на кириллицу обозначения в свод­ных таблицах. В итоге стандарт содержит таблицы, ссылающиеся на семейства и компоненты, которые по факту не описаны в стандарте. Также использование кириллических обозначений выглядит неправильным в перспективе перехода казахского языка на латиницу, так как после перевода кириллических обозначений обратно на латиницу они вряд ли совпадут с оригинальными обозначениями.

Третья проблема стандарта в том, что переводчики не понимали специфики документа, из-за чего делали ошибки или недопустимые упрощения, которые искажали смысл тех или иных моментов или вовсе лишали их сути. К примеру, в пунктах 3.2.8-3.2.11, соответствующих пунктам 115-118 в оригинальном стандарте ISO, переводчики выбросили уточняющие маркеры data, stamp и control, и это привело к тому, что в казахстанской версии получилось четыре одинаковых термина «сцепление вызовов» с разными формулировками.

В общем, несмотря на всю концептуальность и значимость данного стандарта, к его переводу не были привлечены специалисты соответствующего направления. Это привело к тому, что использовать новый документ невозможно. В таких условиях прохождение сертификации на соответствие данному стандарту становится задачей нетривиальной в силу многочисленных ошибок и нестыковок в данном государственном стандарте, который, к сожалению, именно в таком виде прошел все этапы согласований и утверждений.

Кстати, бесплатно получить документ СТ РК ISO/IEC 15408-3-2017 (равно как и любого другого СТ РК) даже в электронном виде невозможно, хотя стандарты ГОСТ РФ находятся в свободном доступе.


290 просмотров

Казахстанцев захлестнула новая волна интернет-мошенничества

Виртуальные воры переключились на банковские счета и карточки своих жертв

Коллаж: Вадим Квятковский

Пока специалисты выявляют схемы, по которым воры обманывают казахстанцев в виртуальном мире, число подобных преступлений неуклонно растет. Теперь мошенники переключились на банковские счета и карточки своих жертв.

Такая статистика

Согласно данным Комитета по правовой статистике и специальным учетам Генеральной прокуратуры РК, с каждым годом увеличивается число фактов интернет-мошенничества.

Так, в 2018 году в Казахстане было зарегистрировано 263,1 тыс. преступлений, из них почти 29,3 тыс. случаев – из разряда мошенничества. Интересный факт: согласно данным того же источника, в целом общее количество преступлений снизилось на 7,9% по сравнению с предыдущим годом, а вот количество фактов мошенничества выросло на 6,6%.

Жертвами интернет-мошенников чаще всего становятся жители городов. Так, в 2018 году больше всего таких случаев – 7515 – зарегистрировано в Алматы, 4263 факта – в Нур-Султане, в Шымкенте – 2346 факта, в Алматинской и Карагандинской областях – 2016 и 1989 случаев соответственно.

Бесплатный сыр

Специалисты прогнозируют дальнейший рост фактов обмана граждан, выявляя новые схемы интернет-мошенничества. Если раньше жертвы обмана попадались на покупке каких-либо вещей, перечислив предоплату или сообщив личную информацию мошеннику, тем самым предоставив все необходимые данные для того, чтобы преступник мог или просто присвоить деньги, или перечислить имеющиеся средства себе на карту, то сейчас способы воровства денег усложнились.

Эксперты предполагают, что в скором времени одним из самых «популярных» видов станет схема обмана жертв, которым за небольшое вознаграждение предлагают помощь в списании долгов по банковским кредитам и микрозаймам. Подобные объявления заполонили соцсети.

Специалисты Национального банка Казахстана предупреждают: не стоит верить таким объявлениям – получив деньги, мошенники скроются.

Похожие ситуации уже произошли в Восточном Казахстане. На днях житель Семея оформил на полмиллиона три онлайн-кредита на свою сожительницу, воспользовавшись ее документами и номером банковской карты. В Курчумском районе женщина смогла взять несколько онлайн-кредитов почти на 500 тыс. тенге. Жертвами ее махинаций стали жители района. 

В городе Аягозе мошенница оформила сразу 10 онлайн-займов более чем на 600 тыс. тенге. Для этого ей было достаточно иметь на руках фото удостоверения личности и данные карты жертвы.

Не устояла перед соблазном легких денег и сотрудница одного из БВУ. 

«Как было установлено в ходе оперативно-разыскных мероприятий, 27-летняя менеджер по банковским картам, используя доступ к базе данных банковских карт клиентов, привязывала свой абонентский номер к банковским счетам, а после, используя онлайн-банкинг, похищала деньги», – рассказали в департаменте полиции ВКО.

Нанесенный ущерб составил 1,6 млн тенге.

На любой вкус

«Способов мошенничества сегодня множество. В прошлом году, например, финансовые виртуальные воры под прикрытием посреднических фирм предлагали казахстанцам оформить кредит в банке и передать этим фирмам часть полученных средств. Взамен они обещали погасить задолженность перед банком вместо заемщиков. Итог у этих историй был печальный – мошенники исчезали с полученными деньгами», – рассказали в Национальном банке Казахстана.

Быть более бдительными и не делиться личной информацией, в том числе и о банковских картах, ПИН- и СМС-кодах, настоятельно рекомендуют и в полиции. Если что-то настораживает, необходимо немедленно обратиться либо в банк, либо в департамент полиции.

«Главная проблема наших граждан в их финансовой неграмотности и доверчивости. Возникновению данных ситуаций способствует еще и уровень жизни, когда люди, набрав кредитов, пытаются сэкономить. Поймать мошенников невероятно сложно: они могут работать по поддельному IP-адресу, пользоваться «одноразовой» симкой. Зачастую интернет-сделки оформляются в виде гражданско-правовых. В этом случае трудно назвать сделку мошенничеством. И тем более это доказать», – рассказал «Курсиву» редактор агентства правовой информации и журналистских расследований «Витязь» Алексей Божков.

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

 

Цифра дня

64-е
место
занял Казахстан по скорости фиксированного интернета в мире

Цитата дня

Популизм – это политика посредственности. Я не раздаю пустых обещаний. Я - человек конкретных дел. Я буду твердо проводить в жизнь свою программу реформ.

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank

Вы - главная инвест-идея

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций