Новые поправки к закону о шифровании в США внесли еще больший сумбур в законодательство

Александр Панасенко 16 Июля 2009 - 13:02

Средства криптографической защиты информации

...

В штате Невада, США, принят новый закон SB-227 «О внесении (в нормативные акты) некоторых изменений касательно кражи личности» (http://www.leg.state.nv.us/75th2009/Bills/SB/SB227.pdf), положения которого с нового года заменят положения действующего ныне закона NRS 597.970.

В Неваде действует юридическое определение шифрования (в законе NRS 205.4742), которое позволяет создавать дешёвые технические решения, формально соответствующие этому определению, но фактически ничего не шифрующие и не защищающие. Вот выдержка из данного определения:
«кодирование означает применение защитных или разрушающих мер, без ограничения, включая криптографию, шифрование, кодирование или компьютерные программы, искажающие или разрушающие информацию для: 1. Предотвращения, помехи, задержки или разрыва доступа к любым данным, информации, изображениям, программам, сигналам или звуковым сигналам; 2. Сделать любые данные, информацию, изображения, программы, сигналы или звуковые сигналы не пригодными или неразборчивыми; 3. Предотвращения, помехи, задержки или разрыва нормального функционирования или использования любых компонентов, приборов, оборудования, системных сетей».
Такое притворное шифрование используется для обхода (т.е. чисто формального соответствия) требований закона ради экономии затрат.

Новый закон SB 227 вводит новое определение шифрования, обойти которое будет не так просто:
«(b) Шифрование это защита данных при их хранении или передаче в электронном или оптическом виде с применением :
(1) Технологий шифрования, которые были приняты в соответствии с установленными уполномоченным органом стандартами, в том числе, но неограниченные, Федеральными стандартами обработки информации, разработанными Национальным Институтом Стандартов и Технологий, определившим подобные данные как не поддающиеся расшифровке при отсутствии соответствующих криптографических ключей, необходимых для расшифровки подобных данных;
(2) Надлежащего управления и обеспечения безопасности криптографических ключей для защиты целостности кодирования, использующего принципы, провозглашенные в установленных уполномоченным органом стандартах, в том числе, но не ограниченных Национальным Институтом Стандартов и Технологий».
Тем не менее, и в новом законе есть ряд недостатков, которые предоставляют некоторые возможности его обхода. Не все термины в новом определении трактуются однозначно. Также новое определение противоречит определениям из других нормативных актов. В некоторых случаях использование притворного шифрования позволяет избежать обязательного информирования властей или потерпевших об утечках либо обнаруженных уязвимостях при обработке персональных данных. В соответствии с новым законом SB 227, в случае утечки персональных данных организация будет нести ответственность, но согласно SB 347 она не обязана сообщать о подобных утечках.

Эти несовершенства наводят на мысль о необходимости внесения поправок как во вновь принятый закон, так и в ряд действующих, чтобы между ними не было несоответствий.

О том, как обстоят дела с российской практикой шифрования данных, рассказывает Николай Федотов, ведущий аналитик InfoWatch: «Данная проблема - использование притворного шифрования для достижения чисто формального соответствия требованиям - в России отсутствует. Отечественные производители пока не доведены конкуренцией до таких крайностей, чтобы экономить копейки на шифровании.
В России иногда встречается прямо противоположная проблема: производитель применяет в своём продукте надёжное шифрование, но из-за разных бюрократических запретов вынужден делать вид, что никакого шифрования там нет. С точки зрения специалиста по информационной безопасности, лучше быть, чем казаться».

Источник

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Михаил Дудченко 11 Марта 2026 - 18:45

Малый и средний бизнес Корпорации Cистемы аудита и управления информационными активами (DCAP)Системы управления доступом (IdM/IAM) InfoWatch NGR Softlab ГК «Солар»

9% компаний разочаровались в датацентричном подходе к кибербезопасности

9% компаний по итогам 2025 года разочаровались в датацентричном подходе к кибербезопасности. Такие результаты показал опрос, проведённый среди зрителей и участников эфира AM Live «Новая архитектура защиты конфиденциальных данных: что делать в 2026 году».

В ходе дискуссии эксперты оценили, как за прошедший год изменились ответы на вопрос: «Используете ли вы датацентричный подход?». В целом число компаний, применяющих его, заметно выросло.

Если в прошлом году только 39% организаций уже активно использовали этот подход или находились на этапе внедрения, то сейчас таких стало 60%.

При этом значительно сократилось число тех, кто вообще не знал о существовании такой методики: их доля снизилась с 32% до 18%. Директор по инновациям и продуктовому развитию InfoWatch Андрей Арефьев так оценил эту динамику. По его мнению, многое упирается в восприятие самого подхода:

«Утечка происходит из-за действий человека, сами по себе данные не утекают».

Директор портфеля продуктов защиты данных в ГК «Солар» Мария Мозгалёва, в свою очередь, отметила, что многое зависит от масштаба компании:

«Крупный и верхний сегмент скорее активно используют этот подход или находятся в процессе внедрения. Они редко в нём разочаровываются. А вот B2B и B2B Middle — для них не так много инструментов, которые укладываются в их бюджет». Андрей Арефьев согласился с этим и в целом отметил, что сегодня информационная безопасность может обходиться слишком дорого для небольших компаний.

Директор по информационной безопасности WMX Лев Палей указал, что такая ситуация в целом естественна на ранних этапах, когда компании только начинают внедрять новые инструменты.

При этом среди всех методов защиты данных абсолютное большинство участников опроса назвали системы IDM (Identity Management, управление идентичностями) и IAM (Identity and Access Management, управление идентичностями и доступами) — 73%, а также DLP (Data Loss Prevention, предотвращение утечек данных), DCAP (Data-Centric Audit and Protection, датацентричный аудит и защита) и DAM (Database Access Management, управление доступом к базам данных) — по 69%.

Остальные методы отметило заметно меньшее число респондентов. Даже такой распространённый инструмент, как многофакторная аутентификация, важным назвали только 51% участников опроса.

Директор центра развития продуктов в NGR Softlab Алексей Дашков отметил, что здесь тоже многое зависит от размера компании:

«Аудит — это история про зрелую компанию, где нужно проверить, насколько всё соответствует регламентам, потому что бывает сложно определить, у кого реально есть доступ и кто какими методами пользуется».

Андрей Арефьев добавил, что любая информационная безопасность в принципе начинается с аудита. Мария Мозгалёва также подчеркнула, что данных становится всё больше, и без современных методов работать с ними уже невозможно.

При этом Алексей Дашков сформулировал ещё одну важную мысль:

«Хочется, чтобы информационная безопасность в компании в принципе начиналась с заинтересованности бизнеса в ней. Если она есть, компания получает значительный буст».

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!