Токсичные активы

ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ 1/201746
УДК 004.94
Токсичные активы в ИТ
И. И. Лившиц, канд. техн. наук; А. В. Неклюдов
ООО "Газинформсервис", Санкт-Петербург, Россия
В ходе революции в области информационных технологий (ИТ), произошедшей в конце XX века, во-
просы информационной безопасности (ИБ) практически полностью утратили самостоятельность и
стали органичной и неотъемлемой частью ИТ. Соответственно возросла и значимость корректного
определения сущностей, подлежащих защите и именуемых активами в нотации стандарта ИСО 27001.
В работе рассмотрено несколько примеров несуществующих (или мнимых) активов, для которых вве-
ден термин "токсичный актив". Отмечается, что необходимо создать в России национальную полно-
форматную, сбалансированную и самодостаточную индустрию ИТ, которая от базиса до самого верх-
него слоя надстройки должна быть "пронизана" функциями безопасности. Представлено обоснование
того, что навык распознавания токсичных активов в области ИТ и очистки от них поможет специали-
стам существенно улучшить требуемый уровень ИБ.
Ключевые слова: информационная безопасность, стандарт, система менеджмента информационной безопасно-
сти, активы.
Название статьи возникло под влиянием доку-
мента Организации по безопасности и сотрудни-
честву в Европе (ОБСЕ) "Руководство по передо-
вой практике защиты важнейших объектов
неядерной энергетической инфраструктуры от
террористических актов в связи с угрозами, исхо-
дящими от киберпространства" (далее Руковод-
ство) [1]. В создании Руководства принимали уча-
стие Антитеррористическое подразделение
Департамента по противодействию транснацио-
нальным угрозам Секретариата ОБСЕ, эксперты из
НАТО, финансовую поддержку проекту оказывала
Делегация США в ОБСЕ.
Вместе с тем обнаруженная при изучении Ру-
ководства на тридцать шестом листе деталь заста-
вила авторов задуматься о целесообразности до-
полнения широко используемого в мире
информационных технологий понятия актива до-
полнительной характеристикой — токсичностью.
Мир финансов, в свое время утративший понятия
меры, нормы и предела и получивший в результа-
те кризис, в ходе последнего также столкнулся с
необходимостью обозначения проблемных акти-
вов. Так родилось понятие токсичного актива.
Положительным следствием введения понятия
токсичного актива в мире финансов явились вывод
ряда активов из зоны умолчания, организация их
учета и контроля и в целом усиление институцио-
нально роли надзора. В мире ИТ тоже есть доста-
Лившиц Илья Иосифович, ведущий инженер.
E-mail: Livshitz.il@yandex.ru
Неклюдов Андрей Валерьевич, ведущий инженер.
E-mail: nav7ad@mail.ru
Статья поступила в редакцию 11 января 2017 г.
© Лившиц И. И., Неклюдов А. В., 2017
точно большая зона, в которой существует не
только практика умолчания, но и практика мани-
пуляции, используемая для маскировки глубокого
разрыва между произносимыми фразами и факти-
ческим состоянием дел. А значит, есть необходи-
мость сокрытия и/или вывода ряда активов из зо-
ны умолчания.
Токсичность актива, безусловно, есть величина
относительная и переменная. Токсичность актива
со временем может как увеличиваться, так и
уменьшаться. Актив может иметь сложную струк-
туру и состоять из вложенных активов (всем инте-
ресующимся точными примерами классификации
и базовыми процессами управления активами ав-
торы рекомендуют ознакомиться со стандартами
ISO серии 27000 или их аналогами — ГОСТ
Р ИСО) [2—5].
Революция в области ИТ, произошедшая в кон-
це XX века за рубежом, имела одно весьма инте-
ресное для нас следствие. В ходе революции
вопросы информационной безопасности практи-
чески полностью утратили самостоятельность и
стали органичной и неотъемлемой частью ИТ.
Данный тезис подтверждается многими фактами
из зарубежной практики [6, 7]. Это и структура
организаций, вовлеченных в процессы, и распре-
деление полномочий внутри них, и практика взаи-
модействий организаций, и наименование норма-
тивных документов. Хотя и сейчас за рубежом
существуют классы решений "firewal", "proxy",
IDS/IPS и т. п., однако многие из них имеют место
только потому, что были "привиты" как расшире-
ние функционала безопасности на специализиро-
ванные компоненты ИТ, такие, как адаптирован-
ные платформы активного сетевого оборудования
или выделенные (dedicated) сервера. Зачастую

1/2017 Общие вопросы 47
причиной условно самостоятельного позициони-
рования таких компонентов ИБ являются исклю-
чительно соображения маркетинга как доказатель-
ства существования автономного дополнительного
решения, хорошо реализующего одну специфиче-
скую функцию ИБ [10]. Поскольку сегодня общее
понятие ИТ органично включает в себя вопросы
ИБ, далее мы будем говорить не только о токсич-
ности активов, но и о влиянии токсичных активов
на ИБ.
Вернемся к тридцать шестой странице Руко-
водства, к таблице, в которой перечислены акти-
вы. Внимание авторов в ней привлекла третья
строка сверху, в которой представлен актив "сты-
ки между аппаратным и программным обеспече-
нием" (см. рисунок). Дело в том, что данный актив
существовать не может. Даже если предположить,
что разработчики Руководства имели в виду под
стыком интерфейсы для взаимодействия между
аппаратным и программным обеспечением (ПО),
то и в этом случае каждый стык относится либо к
аппаратному, либо к программному обеспечению,
т. е. актив является мнимым.
При этом данный актив должен быть учтен в
перечне активов, после чего владельцы актива
должны предпринимать меры по определению
рисков ИБ и, при необходимости, по снижению
рисков для активов. А это означает отвлечение
ресурсов в самом широком смысле этого слова
(время, деньги, техника, люди и т. п.). Поскольку
же количество ресурсов у реальной организации
отнюдь не безгранично, на понижение рисков для
реального, а не мнимого актива ресурсов может не
хватить со всеми вытекающими отсюда послед-
ствиями.
Таким образом, актив "стыки между аппарат-
ным и программным обеспечением" является ток-
сичным и, что методически значительно хуже, де-
лает токсичным все Руководство, поскольку
полностью отходит от классической логической
цепочки Билла Хьюлетта (основателя НР): "Нельзя
управлять тем, что невозможно измерить". Фраг-
менты токсичных документов имеют свойство за-
имствоваться в другие документы, в том числе в
нормативные документы по ИБ стран, регулиру-
ющие органы которых уже достаточно самоуве-
ренны, но еще недостаточно компетентны. В ре-
зультате мнимый актив "стыки между аппаратным
и программным обеспечением" становится пред-
метом всеобщего внимания, что делает токсичны-
ми все те документы, в которые он может быть
включен. Далее следуют неоправданные затраты,
что означает неоправданный расход ресурсов, т. е.,
фактически, прямой ущерб от токсичного актива.
Далее мы продолжим выборочную оценку ток-
сичности активов.
Пример перечня активов согласно документу ОБСЕ

Примеры токсичных активов
Квантовая криптография. В ряде источников
16 июня 2016 г. было опубликовано сообщение о
том, что Российский квантовый центр запустил
первую в нашей стране линию квантовой защи-
щенной связи (длиной порядка 30 км) между двумя
зданиями Газпромбанка (http://www.cnews.ru/news/
top/2016-06-16_v_rossii_zapushchena_liniya_kvanto-
voj_svyazi_v_gorodskih). По имеющимся в откры-
том доступе данным, Российский квантовый
центр, являющийся резидентом "Сколково", хотел
получить от "Сколково" грант в 1,31 млрд руб. на
работы, связанные с защищенной квантовой свя-
зью. Газпромбанк выделил на эти работы сначала
148 млн руб., а затем еще 250 млн руб.
Таким образом, Газпромбанк за 398 млн руб.
приобрел некоторый актив (https://defence.ru/
article/12003/). По крайней мере есть основания
полагать, что на это очень рассчитывало руковод-
ство банка. Однако изучение публично доступных
учебников в области криптографии выявило, что у
всех протоколов квантового распределения ключа
есть целых две "ахиллесовы пяты".
Во-первых, это необходимость в классическом
(не квантовом) канале обмена сообщениями, поз-
воляющем установить аутентичность отправителя
сообщения.
Во-вторых, гипотеза о хороших статистических
свойствах просеянных бит требует доказательств.
Если из случайной последовательности бит с хо-
рошими статистическими свойствами исключить
некоторое количество случайно выбранных бит, то
статистические свойства последовательности мо-
гут ухудшиться. Доказательство статистических
свойств последовательности достаточно ресурсо-
емко, поэтому на практике поступают иначе: про-
пускают просеянные биты через хорошо исследо-
ванную процедуру генерации сеансовых ключей,
используемую в классических криптографических
системах, которая дает на выходе заведомо каче-
ственную последовательность.
Таким образом, заведомо известно, что кванто-
вое распределение ключей не может обеспечить
качественное распределение ключей без поддерж-
ки классической криптографической системы. Ка-
чество последовательности на выходе определяет-
ся классической криптографической системой,
поскольку через нее пропускается последователь-
ность просеянных бит. Если же последователь-
ность просеянных бит поступает на выход напря-
мую, то ее статистические свойства нельзя считать
хорошими.
Отметим, что стоимость классических крипто-
графических систем гораздо меньше по сравнению
с системой квантового распределения ключей и,
самое главное, во всех банках, имеющих филиаль-
ную сеть, они уже есть.
Кроме того, система квантового распределения
ключей при ее аккуратном применении позволяет
согласовать последовательность бит, которая мо-
жет быть использована в качестве сеансового
ключа для симметричной криптографии. Вместе с
тем система квантового распределения ключей
принципиально не может решить другую весьма
актуальную для банков проблему, а именно рас-
пределение открытых ключей для несимметрич-
ной криптографии. Это серьезная проблема, кото-
рую банки стремятся оптимизировать, причем не
столько в контексте организации взаимодействия
между своими филиалами, сколько в контексте
организации взаимодействия между филиалами
банка и их клиентами.
Отметим, что за рубежом интерес к так называ-
емой квантовой криптографии уменьшился почти
до нуля, а часть отработанных технологий, отнюдь
не безвозмездно, была имплантирована в "Сколко-
во". В США сосредоточились на более конкретной
и, как там предполагается, более востребованной в
перспективе постквантовой криптографии, первые
упоминания о которой появились в англоязычных
источниках еще в 2004 г. Вероятно, это заблаго-
временная подготовка к появлению квантового
цифрового вычислителя, которое, как считается,
способно "обесценить" многие криптографические
алгоритмы и протоколы.
Таким образом, квантовая криптография в том
виде, в каком она культивируется в России, с вы-
сокой вероятностью представляет собой типичный
токсичный актив, на который уже тратятся реаль-
ные ресурсы и по отношению к которому питают-
ся неоправданные иллюзии.
Стандарты. Система стандартов ГОСТ 19.ххх
"Единая система программной документации" в
свое время, наверное, была весьма перспективной,
но в 2016 г. документы, самый последний из кото-
рых датирован 1990 г., представляются несколько
утратившими актуальность. ИТ являются чрезвы-
чайно динамичным направлением, в котором все
меняется быстро и непрерывно. Соответственно
самые актуальные документы — это документация
производителей на компоненты систем обработки
информации. За ними стараются "успеть" между-
народные стандарты и нормативные документы
государств, имеющих под своей юрисдикцией раз-
витую индустрию ИТ. Система стандартов ГОСТ
19.ххх выглядит с позиций данных документов
чрезвычайно устаревшей. При этом все тендеры и
конкурсы государственных и ряда коммерческих
организаций пишутся именно под устаревшие
ГОСТы.

Таким образом, система стандартов ГОСТ
19.ххх представляет собой типичный пример ток-
сичного актива из-за того, что он не обновлялся
сообразно развитию технологий.
Рекомендации по предотвращению возникно-
вения такой ситуации просты. Надо либо поддер-
живать документы в актуальном состоянии, либо
своевременно выводить их из использования в со-
ответствии с принятым в индустрии жизненным
циклом.
Отметим, что когда в США поняли, что приве-
дение в адекватное состояние их документов по
ИБ из знаменитой "радужной серии" обойдется
дороже разработки новых документов, "радужная
серия" в полном составе была выведена из дей-
ствия. При этом объем упраздненных документов
был значительным. Как пишут сами американцы,
высота стопки указанных документов составляла
более 6 футов (что превышает 1,8 м). Результате
вывода из действия "радужная серия" оказалась
активом с нулевой токсичностью, поскольку стала
ценным историческим экспонатом, а исторический
экспонат практически всегда ценен.
Системы стандартов ГОСТ 24.ххх "Система
технической документации на АСУ" и ГОСТ
34.ххх "Стандарты информационной технологии"
токсичны не только в силу своей неактуальности.
В СССР существовала одна проблема, связанная с
нарастающим отставанием в области ИТ, которая
досталась по наследству и России: никто не пони-
мал (и не понимает) глубоко сути ИТ и перспектив
их развития, поэтому по ряду направлений стан-
дарты вообще не создавались, а по некоторым со-
здавались системы стандартов, которые в значи-
тельной мере дублировали друг друга.
ГОСТ 24.ххх и ГОСТ 34.ххх — как раз пример
дублей. Оба они описывают подходы к построе-
нию системы обработки информации. Все осталь-
ное — нюансы, которые всегда могут быть учтены
и в рамках одной системы стандартов, и даже во-
обще без стандартов с ориентацией исключитель-
но на документацию производителей на компо-
ненты систем обработки информации, которая
является стандартом де-факто и, как правило, все-
гда актуальна.
Идеальным решением был бы один унифици-
рованный стандарт, описывающий процесс
создания систем, реализующих ИТ. Он должен
быть гибок и адаптируем к потребностям пользо-
вателя стандарта. В качестве примера таких стан-
дартов можно привести ГОСТ 15408 в части, ка-
сающейся оценки безопасности ИТ, и систему
стандартов ГОСТ 2700х в части, касающейся
управления ИБ.
Таким образом, системы стандартов ГОСТ
24.ххх и ГОСТ 34.ххх представляют собой типич-
ный пример токсичных активов.
Люди. Люди также являются активом. Автора-
ми была устроена экспресс-проверка актива типа
"люди" на группах студентов, которые обучались
в магистратуре известного вуза по специально-
стям, связанным с защитой информации. Аудито-
рии был задан бесхитростный, но, безусловно,
профильный вопрос: "Почему возможна защита
информации?". Правильного ответа не дал ни один
человек. Из полученных ответов следовало, что
студенты после четырех лет обучения по специ-
альности в принципе не способны устанавливать
причинно-следственные связи. У кого-то возмож-
ность защиты информации проистекала из ценно-
сти информации, у кого-то — из наличия наруши-
теля и т. п. Указанной экспресс-проверке
подверглась и вторая независимая группа студен-
тов, обучавшихся на английском языке (в том чис-
ле и иностранных граждан), которые предполагали
после окончания магистратуры найти применение
своим знаниям в других странах. В этой группе
правильного ответа также не дал ни один человек.
Нужно отметить, что значительная часть груп-
пы собиралась провести вторую половину маги-
стратуры в зарубежном учебном заведении. Сту-
денты получили из зарубежного учебного
заведения перечень знаний в области ИТ и мето-
дов защиты информации, которыми они должны
обладать для прохождения второй половины обу-
чения в магистратуре. Как оказалось, у них совер-
шенно нет шансов на успешное обучение в маги-
стратуре за рубежом. Дело в том, что
согласованные с российскими регулирующими
органами (ФСБ и ФСТЭК) учебные планы для
специальностей, связанных с защитой информа-
ции, совершенно не соответствуют мировому
уровню развития ИТ (ISO, NIST, NERC, Cobit,
ITIL).
Люди, неспособные дать ответ на основной во-
прос по профессии и необладающие знаниями,
соответствующими мировому уровню развития
ИТ, представляют собой типичный пример ток-
сичного актива.
Российские регулирующие органы. Здесь мы
рассмотрим только два российских регулирующих
органа: ФСБ и ФСТЭК (далее при совместном
упоминании именуемые регуляторами), которые, с
одной стороны, имеют монопольные неограни-
ченные права в области регулирования вопросов
защиты информации в гражданском секторе, а с
другой стороны, являются основными источника-
ми известных проблем.

В гражданском секторе регуляторы всегда ори-
ентировались на использование для защиты ин-
формации российских решений, встраиваемых в
компоненты зарубежных ИТ. Об этом свидетель-
ствует вся история развития российских открытых
нормативных документов в области защиты ин-
формации. При этом при создании российских
нормативных документов часто заимствовались
идеи и положения зарубежных документов в обла-
сти защиты информации, но в большинстве случа-
ев без положительных результатов.
В силу неразвитости российской индустрии ИТ
(особенно базисных) возможности регуляторов по
ознакомлению с текущим мировым уровнем ИТ и
перспективами их развития существенно ограни-
чены, что неизбежно повлекло за собой критиче-
ское снижение компетенции регуляторов. Перей-
дем к рассмотрению регуляторов, не забывая и их
предшественников — КГБ и ФАПСИ для ФСБ и
Гостехкомиссии для ФСТЭК.
В СССР наличие криптографии в открытых
официальных документах не признавалось. Затем
изменение экономических отношений потребова-
ло наличия гражданской криптографии, и некото-
рое минимально необходимое количество крипто-
графических алгоритмов было задокументировано
и даже стандартизировано. Однако надо отметить,
что формально стандарты на криптографические
алгоритмы всегда находились в зоне ответствен-
ности Росстандарта и его предшественников.
Рассматривая историю нормативного обеспе-
чения гражданской криптографии в СССР–России,
можно сделать вывод о том, что основным замыс-
лом КГБ–ФАПСИ–ФСБ была и есть значительная
унификация подходов к регулированию граждан-
ской и правительственной криптографии, что
должно обеспечивать монопольный неограничен-
ный жесткий контроль гражданской криптогра-
фии.
Нельзя сказать, что КГБ–ФАПСИ (ФСБ тогда
еще не было) оказались очень оригинальными в
своих замыслах, т. к. практически в те же годы
АНБ США исповедовало примерно те же подхо-
ды. Правительственные организации можно по-
нять, криптография действительно требует дели-
катного обращения. Сохранение максимально
возможного контроля над сферой гражданской
криптографии означает обеспечение существенно-
го преимущества государства по отношению к
пользователям гражданской криптографии.
Однако произошедшая за рубежом революция в
области ИТ настолько изменила баланс сил в
пользу неправительственных, отраслевых центров
компетенции, что даже у АНБ США не осталось
иного выбора, кроме как встраиваться в склады-
вающуюся систему центров компетенции на рав-
ноправных началах. Поскольку революция в обла-
сти ИТ обошла стороной СССР–Россию (не в ча-
сти потребления продуктов революции, а в части
активного участия в революционных процессах),
российские регуляторы оказались в своеобразном
вакууме: отечественные центры компетенции в
области ИТ не могли возникнуть и встраиваться
было просто некуда. Отсюда и возникло ограни-
ченное понимание регуляторами смысла и мас-
штаба изменений, произошедших в мире ИТ.
Следует признать, что все нормативные доку-
менты ФАПСИ–ФСБ в области гражданской
криптографии и сейчас сохраняют ориентацию на
недосягаемую цель — сохранение максимально
возможного контроля над сферой гражданской
криптографии.
Таким образом, нормативные документы
ФАПСИ–ФСБ в области гражданской криптогра-
фии являются токсичными активами.
У ФСТЭК практически все нормативные доку-
менты, когда-либо созданные Гостехкомиссией–
ФСТЭК, до сих пор являются действующими. Ру-
ководящие документы по АС, СВТ, МЭ и НДВ
(слабое подражание американской "радужной се-
рии") действуют до сих пор. Ценность этих акти-
вов близка к нулю, поскольку те ИТ, которые бы-
ли описаны в "радужной серии", сохранились уже
практически только в качестве музейных экспона-
тов. Таким образом, руководящие документы Гос-
техкомиссии–ФСТЭК по АС, СВТ, МЭ и НДВ яв-
ляются токсичными активами.
Прекрасный пример представляет собой ком-
плект документов по КСИИ (ФСТЭК), в которых
написано, что нарушение конфиденциальности
обрабатываемой информации приводит к выходу
системы из строя (см. раздел 3.2 "Порядок опреде-
ления степени важности информации, подлежа-
щей защите на объекте информатизации" в доку-
менте "Методика определения актуальных угроз").
Имеются множественные ошибки в тексте, в мо-
дели угроз, формулы не работоспособны, в Мини-
стерстве юстиции документы не зарегистрированы
(что не мешает ФСТЭК рекомендовать их к ис-
пользованию специальным письмом). Вывод:
комплект документов по КСИИ является токсич-
ным активом.
Две действующие книги из четырех по персо-
нальным данным (две книги отменены — событие,
практически уникальное для ФСТЭК) написаны в
стиле КСИИ, но в Министерстве юстиции доку-
менты зарегистрированы. Вывод — две действу-
ющие книги по персональным данным являются
токсичными активами, поскольку в них соблюда-
ется стиль КСИИ.

Приказы № 17, 21, 31 (представители так назы-
ваемого нового подхода) — еще один образец
дублей; здесь можно было обойтись одним доку-
ментом общего плана и тоненькими комментария-
ми, поясняющими нюансы применения в конкрет-
ном направлении. Меры безопасности с высокой
вероятностью заимствованы из американского до-
кумента NIST SP 800-53, но заимствованы непро-
фессионально. Надо было заимствовать или два
приложения, APPENDIX D SECURITY CONTROL
BASELINES — SUMMARY и APPENDIX F
SECURITY CONTROL CATALOG, или только
APPENDIX F SECURITY CONTROL CATALOG, а
еще лучше весь документ целиком. Но ФСТЭК
заимствовал только APPENDIX D SECURITY
CONTROL BASELINES — SUMMARY, что не
могло не повлечь за собой утраты смысла. К тому
же заимствование было сделано некорректно, ме-
ры были частично перетасованы и переформули-
рованы, что существенно затруднило восстанов-
ление смысла по американскому первоисточнику.
Надо отметить, что APPENDIX F SECURITY
CONTROL CATALOG был переведен в виде ме-
тодического документа для приказа № 17 и, судя
по его виду, тоже пострадал при переводе. Таким
образом, приказы № 17, 21, 31 являются токсич-
ными активами.
ФСТЭК переходит к сертификации средств за-
щиты в соответствии с ГОСТ 15408 [11—13], для
чего были разработаны семейства профилей
защиты для различных типов средств защиты.
ГОСТ 15408 — абсолютно адекватный документ,
являющийся переводом международного стандар-
та ISO/IEC 15408. Однако ФСТЭК скомпромети-
ровал актив мирового уровня ГОСТ 15408. Во-
первых, ФСТЭК до сих пор не упразднил старую
редакцию ГОСТ 15408 2002 г., изданную в каче-
стве руководящего документа ФСТЭК, хотя Рос-
стандарт ее давно отменил. При этом различные
редакции ГОСТ 15408 отличаются друг от друга
весьма существенно. Во-вторых, в профиле
ФСТЭК не указано, какой из версий ГОСТ 15408
соответствует конкретный профиль защиты. В-
третьих, в профиле не указан его тип (упрощен-
ный или неупрощенный). В-четвертых, структура
профилей защиты, не полностью соответствует
ГОСТ 15408, за рубежом такие небрежности не
допускаются. В-пятых, в профилях имеются
ошибки. Например, в документе "Профиль защиты
средства доверенной загрузки уровня загрузочной
записи пятого класса защиты" написано: "Объект
оценки представляет собой программно-
техническое средство" (непонятно, каким образом
в загрузочную запись будет доставляться техниче-
ская часть объекта оценки). В-шестых, формы со-
ответствия в тех профилях, где они есть, не отве-
чают замыслу ГОСТ 15408. Итак, в целом в про-
филях защиты очень много спорных моментов, и
они не прошли фазу публичного оценивания со-
обществом экспертов. Таким образом, профили
защиты с высокой вероятностью представляют
собой токсичные активы.
Российские лицензиаты. Рассмотрим россий-
ских лицензиатов в области защиты информации
(далее лицензиаты), действующих по лицензиям
только двух основных российских регулирующих
органов: ФСБ и ФСТЭК. Как уже отмечалось, ре-
волюция в области ИТ обошла стороной СССР–
Россию. Это обусловило отсутствие понимания
широкими кругами российских специалистов того
факта, что теперь ИБ является неотъемлемой ча-
стью ИТ. В результате в России пытаются решать
вопросы защиты информации отдельно от ИТ.
То, что лицензиаты в России не смогли создать
самодостаточную жизнеспособную индустрию
ИБ, является закономерным финалом. За рубежом
ее тоже не создали, но потому, что поняли — в
этом нет необходимости. Им были нужны ИТ, ор-
ганично пронизанные функциями безопасности, и
они такие ИТ создали, причем весь их спектр от
базиса до самого верхнего слоя надстройки.
В СССР–России необходимый объем базисных
ИТ не был создан (не надо путать создание базис-
ных ИТ с заимствованием фрагментов свободного
ПО и их компиляцией на территории России, это
принципиально разные вещи). Примером профа-
нации идеи создания российских ИТ является
"Единый реестр российских программ для элек-
тронных вычислительных машин и баз данных", в
котором по состоянию на 21.11.2016 г. числится
более 20 российских операционных систем. Зару-
бежные разработчики за всю свою историю все
вместе вряд ли смогли бы создать столько опера-
ционных систем.
Все имеющиеся в России состоявшиеся ИТ,
среди которых есть действительно технологии ми-
рового уровня, относятся к надстройке. И все они
зависимы от зарубежных базисных ИТ. Это делает
российские ИТ крайне уязвимыми. Более того,
даже при реализации государственных инициатив
в области ИБ (в частности, проекта ГосСОПКА)
"…отнюдь не все так гладко по причине целого
ряда технических проблем. Речь идет об отсут-
ствии собственного ПО многих классов, как об-
щесистемного (операционных систем, систем
управления базами данных), так и прикладного
(например, для моделирования месторождений);
об отсутствии собственной элементной базы и
отечественного телекоммуникационного обору-
дования на всей территории страны"

(http://www.ng.ru/ideas/2016-12-23/5_6893_kiber.
html).
Таким образом, у российских лицензиатов
лучше всего получается выполнение токсичных
(как мы выяснили ранее) требований регуляторов.
При этом часть требований заведомо невыполнима
в силу объективных причин. Но в тандеме регуля-
торы–лицензиаты никто не имеет желания и воз-
можности видеть объективные причины. Лучший
результат имеет место в случае, когда результаты
творчества лицензиатов не мешают работать ба-
зисным технологиям, над которыми они реализо-
ваны, худший — когда результат творчества ли-
цензиатов вызывает деградацию показателей
базисных технологий, что случается нередко.
При этом без зарубежных базисных ИТ ни один
из результатов творчества лицензиатов не реали-
зуем. У результатов творчества лицензиатов все-
гда есть потребность в ARM, x86-64, PCI/PCI-
X/PCI-E, USB, ATA/SATA, SCSI/SAS, Ethernet, IP,
BIOS/UEFI, Windows API, *nux API и т. п. Более
того, такой результат и не создается. Отсутствуют
отечественные среды разработки, компиляторы,
редакторы связей, профайлеры, отладчики, биб-
лиотеки и т. п., которые играют существенную
роль при обеспечении ИБ. При отсутствии же к
ним должного уровня доверия не может быть и
доверия к тому, что будет сделано при их исполь-
зовании. Сложность компонентов базисных
технологий такова, что их оценка на предмет без-
опасности соизмерима по сложности с разработ-
кой с нуля аналога, содержащего весь необходи-
мый функционал безопасности. Про новую
гарвардскую архитектуру нет смысла даже и гово-
рить. Гарвардская архитектура — это не логика,
это физика. Все остальное — это и не старая, и не
новая, а негарвардская архитектура.
Разговоры про то, что наши криптографические
шлюзы — самые прогрессивные в мире, являются
только разговорами. Наши криптографические
шлюзы просто работоспособны. Младшие модели,
как правило, строятся на заимствованной плат-
форме маршрутизатора зарубежного производите-
ля. В итоге получается устройство с параметрами,
соизмеримыми с ним. Для средних и старших мо-
делей в качестве платформы чаще всего выбирает-
ся компьютер с архитектурой центрального про-
цессора x86-64. В качестве операционной системы
используется адаптированный *nux. Российские
криптографические алгоритмы реализуются с ис-
пользованием расширенных наборов инструкций
процессора общего назначения или с использова-
нием наборов инструкций графического процессо-
ра. Это максимум того, что можно получить на
основе типовой платформы компьютера общего
назначения, и меньше того, что можно получить
на основе адаптированной платформы активного
сетевого оборудования с криптографическим про-
цессором, подключенным через специализирован-
ную высокоскоростную шину. Однако такие плат-
формы доступны только для зарубежных
производителей.
Тем не менее надо признать, что существуют
весьма удачные продукты, созданные лицензиата-
ми. Но все они относятся к надстройке, зависимы
от зарубежных базисных ИТ и потому уязвимы.
Примерами таких продуктов являются программ-
ные средства криптографической защиты инфор-
мации для операционных систем общего назначе-
ния и средства защиты от вредоносного кода.
Не будем обсуждать, почему именно эти клас-
сы продуктов заслужили такую оценку. Вместо
этого приведем в качестве примера свидетельство
зависимости и уязвимости одного продукта
одного из этих классов. На ресурсе
https://eugene.kaspersky.ru/2016/11/10/s-menya-xvatit/
10.11.2016 г. опубликована статья "Евгений Кас-
перский о беспределе Microsoft: "С меня хватит! ".
Касперский озабочен следующим: "Тенденция
налицо: Microsoft постепенно выдавливает из
Windows независимых разработчиков из тех обла-
стей, в которых имеет собственные приложе-
ния".
С этим тезисом сложно не согласиться.
Microsoft и прежде, когда признавала целесооб-
разность акции, активно использовала правило
"своя рука — владыка" (отметим, что в этом она
не одинока). Разница только в том, что Microsoft
явно преследует цель "подвинуть" независимых
разработчиков, а разработчики свободных опера-
ционных систем семейства *nix часто, преследуя
цель "значительный ребилдинг" компонентов опе-
рационной системы, в качестве побочного резуль-
тата тоже имеют "подвинутых" независимых раз-
работчиков. Независимые разработчики средств
защиты от вредоносного кода для *nix уже и при-
выкли к такой ситуации.
Вместе с тем надо признать, что Microsoft —
один из крупнейших в мире центров компетенций,
обладающий очень широким спектром ИТ как
уровня базиса, так и уровня надстройки. И хотя
Microsoft имеет ограниченное отношение к таким
базисным технологиям, как разработка и произ-
водство микроэлектроники и оборудования на ее
базе, она в силу своей "массивности" оказывает
влияние на технические решения и в данных сек-
торах базисных технологий.
Microsoft в течение ряда лет ведет планомер-
ную подготовку к преодолению ряда технических
ограничений и противоречий, оказавшихся неиз-

бежным следствием прошлых компромиссных
решений, причем пути движения тщательно ди-
версифицируются. То, что в ходе этой подготовки
Microsoft в какой-то момент будет вынуждена
начать приносить в жертву интересы сторонних
разработчиков, не вызывало сомнений.
Рассмотрим данную ситуацию следующим об-
разом. Microsoft начала производить некоторые
действия, и независимые разработчики средств
защиты от вредоносного кода испытали неудоб-
ства. Прочие же лицензиаты неудобств не испытали,
наверное в том числе и потому, что их продукты
либо менее зависимы от специфичных интерфей-
сов ядра операционной системы, либо отстали на
несколько поколений от актуальной версии опера-
ционной системы и действия Microsoft для них
незаметны.
Представим, что за рубежом принято решение
о том, что с некоторого момента неприемлемых
репутационных потерь больше нет. Далее все за-
рубежные центры компетенции в области ИТ бе-
рутся под единое управление (в т. ч. со свободным
и открытым ПО) и используются как средство
воздействия на системы обработки информации
оппонентов. В результате абсолютно все компо-
ненты зарубежных ИТ становятся для нас токсич-
ными активами и продукция лицензиатов в ток-
сичной среде в России утрачивает свой потенциал,
в большинстве своем мнимый.
После реализации описанного сценария в Рос-
сии останутся только "голые" регуляторы, "голые"
лицензиаты и "голые" производители прикладного
программного обеспечения (уровень надстройки
ИТ), поскольку набора ИТ базисного уровня, не-
обходимых для обеспечения технологической не-
зависимости, в России нет.
Приведем пример (http://www.securitylab.ru/
news/484601.php). Наталья Касперская, выступая
на заседании Совета Федерации, подчеркнула, что
"над информационной безопасностью нужно ра-
ботать постоянно, поскольку с развитием ин-
формационных технологий развиваются и угрозы,
а средства защиты быстро становятся уста-
ревшими". Однако очевидного вывода, что для
того чтобы поспевать за развитием ИТ,
надо участвовать в их развитии, так и не прозву-
чало.
Следующий пример (http://russiansoft.cnews.ru/
news/top/2016-11-29_reshaetsya_sudba_goslinuxon_
mozhet_ne_popast): GosLinux не хотят брать в Ре-
естр российского ПО. В источнике прямо указыва-
ется, что "GosLinux является специально сформи-
рованным по требованиям ФССП типовым
дистрибутивом Linux со встроенными средствами
защиты информации. Его разработка велась в те-
чение 2013 г. на базе свободного дистрибутива
CentOS 6.4, который, в свою очередь, основан на
коммерческом дистрибутиве Red Hat Enterprise
Linux". Далее: "Сумма госконтракта составила
118,15 млн руб.". "Главные претензии к GosLinux
в контексте его возможного включения в Реестр
заключаются в том, что он по ряду параметров не
является самостоятельным продуктом" (что со-
вершенно справедливо). "Уровень переработки
CentOS в нем составляет менее 5 %".
Следующий пример (http://www.warandpeace.ru/
ru/news/view/117182/): разработчик российской
операционной системы Astra Linux НПО "РусБИ-
Тех" из-за санкций не смог получить права на по-
пулярные шрифты, в том числе Arial, Verdana,
Tahoma и Times New Roman. Американская
Monotype Imaging, которой принадлежат права на
шрифты, предложила слишком высокие цены:
650 евро за каждое рабочее место Astra Linux с
пакетом шрифтов, включающим Times New
Roman, Arial, Courier New, Tahoma и Verdana.
Сторонам удалось доторговаться примерно до
130 евро за меньшее количество шрифтов. При
этом, согласно источникам, для некоторых компа-
ний Monotype Imaging называла цену всего в
3–4 евро за рабочее место. Однако Monotype
Imaging отказалась от договора с российской ком-
панией из-за ее сотрудничества с Минобороны.
Таким образом, абсолютно все продукты надо со-
здавать самостоятельно, а не переименовывать
зарубежные продукты, иначе будут возникать
проблемы даже в таких относительных мелочах,
как шрифты.
Следующий пример: на базе ОС QNX Neutrino
6.5.0 для платформы "Эльбрус-нейтрино" разрабо-
тана защищенная ОС реального времени "Нейтри-
но" КПДА.10964-01, которая позиционируется как
российская (http://safe.cnews.ru/news/top/2016-12-
09_v_rossii_gotovyatsya_gigantskie_proekty_na_elbr
usah). Возникает вопрос: почему нельзя было сде-
лать аналог, превосходящий существующие об-
разцы? Почему наши команды побеждают на мно-
гих соревнованиях по программированию, а в
реальной работе демонстрируют только навыки
типа "скопировать–вставить"?
О творчестве наших лицензиатов и примкнув-
ших к ним на волне импортозамещения можно
говорить еще долго, и токсичных активов будет
найдено много, но это отдельная тема. Однако в
целом результаты творчества лицензиатов являют-
ся преимущественно токсичными активами, по-
скольку они строятся на основе токсичных требо-
ваний регуляторов и зависят от зарубежных
базисных ИТ.

Модель угроз
В России без модели угроз ни регуляторы, ни
лицензиаты до сих пор не мыслят своего суще-
ствования. Вместе с тем за рубежом, где есть соб-
ственные ИТ, известно о моделировании угроз в
двух случаях. При этом в обоих случаях в качестве
целевого объекта выступает не реальная система
обработки информации, а модель системы обра-
ботки информации (СОИ), на которую в условиях
лаборатории оказывается заданное деструктивное
воздействие, т. е. в обоих случаях имеет место
краш-тест, проверка теории практикой.
В России, где практически все ИТ заимствова-
ны, о моделировании угроз ничего не известно.
Зато для реальной СОИ при каждом удобном слу-
чае обязательно строится модель угроз. И на этом
все завершается, краш-теста не проводится, теория
практикой не проверяется. Моделирование же
угроз для модели СОИ и для реальной системы
обработки информации — совершенно разные вещи.
Самое интересное, что авторам неизвестны
свидетельства того, что кто-то из регуляторов или
лицензиатов обратил на этот парадокс внимание,
как, впрочем, и того, что кто-то из них хотя бы раз
поинтересовался опытом моделирования угроз за
рубежом.
Логичное объяснение такому парадоксу есть.
За рубежом руководствуются следующими сооб-
ражениями:
 надо поставлять потребителю СОИ надле-
жащего качества, а значит, надо использовать
компоненты, стойкость которых проверена зара-
нее;
 когда СОИ поставлена потребителю, незачем
думать о стойкости ее компонентов, если все было
проверено заранее.
Поскольку вероятность преодоления защиты в
реальной системе обработки информации не равна
нулю, для того чтобы связать вероятность такого
события с сопутствующим ему ущербом, за рубе-
жом уже более 15 лет используют понятие рисков
ИБ (например, ISO 27005). Отметим, что понятие
рисков — отнюдь не изобретение мира ИТ
(например, ISO 31000), а прямое заимствование
соответствующего опыта из мира финансов, в ко-
тором понятие риска используется еще с XIV в.
Поскольку же все организации имеют отношения
с различными финансовыми институтами, начиная
с некоторого масштаба деятельности каждая орга-
низация уже имеет реестр рисков общепринятого
"отраслевого" формата (Basel, SOLAS-74, IATA).
Поэтому когда за рубежом встает вопрос обеспе-
чения ИБ какого-то объекта, часто даже не возни-
кает необходимости в первичном расчете рисков,
их просто выбирают из реестров рисков организа-
ции.
Таким образом, за рубежом четко разделяют
два случая: лабораторные условия и условия
реальной среды функционирования. Для лабора-
торных условий может осуществляться моделиро-
вание угроз, а для реальной среды функциониро-
вания осуществляется только оценка рисков,
поскольку не учитывать вероятностный характер
событий безопасности в реальном мире есть верх
непрофессионализма.
В России ни регуляторы, ни лицензиаты не ис-
пользуют оценку рисков в практике обеспечения
ИБ. Это пошло с тех времен, когда защита инфор-
мации осуществлялась исключительно в интересах
государственных структур, в которых разговоры о
том, что вероятность преодоления защиты в ре-
альной системе обработки информации не равна
нулю, сразу пресекались. Тем не менее для любых
систем в реальном мире вероятностный характер
событий преодоления защиты необходимо учиты-
вать. Тот факт, что этого до сих пор не делают ни
регуляторы, ни лицензиаты в России, свидетель-
ствует об их недостаточно высоком профессиона-
лизме.
Поиски истоков культивируемых в России мо-
делей угроз приведут нас к американской "радуж-
ной серии", откуда очень ранняя идея моделиро-
вания угроз была заимствована в искаженном
виде, превратившись из процесса моделирования
угроз в ритуальное их перечисление. В американ-
ской практике, даже очень ранней (эпохи "радуж-
ной серии"), необходимой частью процесса моде-
лирования угроз обязательно являлась модель
системы. В российской практике модели системы
вообще нет.
Несмотря на то что идея моделирования угроз
из американской "радужной серии" позволяла по-
лучать некоторые осязаемые результаты, в США
она была отвергнута в составе всей "радужной се-
рии". Это произошло в том числе и потому, что
сообщество дошло до понимания вероятностного
характера событий преодоления защиты в систе-
мах обработки информации в реальном мире. По-
сле чего из мира финансов были просто заимство-
ваны риски, которые уже широко используются
несколько столетий.
Необходимо пояснить один момент: существу-
ющая за рубежом практика моделирования угроз
есть явление современное, ни в коем случае не
происходящее от американской "радужной серии"
и используемое исключительно в лабораторных
условиях.
Итак, представляется, что в России вместо за-
имствования американского опыта моделирования

угроз, что имело бы какой-то смысл, было заим-
ствовано только наименование процесса, да и то в
искаженном виде (модель угрозы). Это было пер-
вой ошибкой. В результате имеем не процесс, а
самый обыкновенный и бессмысленный фетиш.
Вторая ошибка — игнорирование перехода зару-
бежного сообщества от моделирования угроз к
оценке рисков ИБ (уже более 15 лет назад). Сле-
довательно, все российские модели угроз являют-
ся токсичными активами.
Отрасли
Некоторые отрасли пытаются создать соб-
ственную нормативную базу по ИБ. Такие случаи
известны и в России, и за рубежом. За редким ис-
ключением доступ к подобным документам огра-
ничен как минимум тем, что они предоставляются
только на возмездной основе. По опыту знаком-
ства авторов с такого рода документами можно
утверждать, что зачастую они только усложняют
ситуацию, причем как в России, так и за рубежом.
Неплохо, если отраслевое творчество заканчи-
вается просто ссылками на адекватные междуна-
родные или национальные нормативные докумен-
ты; лучше, если в ссылках есть какая-то логика, а
не просто содержится перечисление всего, что бы-
ло известно в момент написания документа.
В этом плане положительно выделяется только
Банк России, имеющий достаточно адекватную
отраслевую нормативную базу СТО БР ИББС по
ИБ, причем свободно доступную. Таким образом,
отраслевые нормативные документы по ИБ, за
очень редким исключением, представляют собой
токсичные активы.
Что делать?
Представляется необходимым строить в России
национальную полноформатную, сбалансирован-
ную и самодостаточную индустрию ИТ от базиса
до самого верхнего слоя надстройки. ИТ должны
быть "пронизаны" функциями безопасности. При
этом, безусловно, следует отказаться от использо-
вания токсичных активов.
Как делать?
 В качестве основы индустрии ИТ должен
рассматриваться гражданский сектор ИТ как са-
мый массовый и динамичный, а все специальные
сектора ИТ должны в максимально возможной
степени использовать "заделы" гражданского сек-
тора с их развитием и адаптацией под специфиче-
ские требования. Это обеспечит сбалансирован-
ность индустрии, которую можно будет схематич-
но представить в виде пирамиды, в основании ко-
торой лежит самый широкий сектор — граждан-
ский, а ближе к вершине находятся более узкие
специальные сектора.
 Индустрия ИТ должна строиться на базе
партнерства государства и предприятий различной
формы собственности. Роль государства в парт-
нерстве должна проявляться в гарантиях востре-
бованности суверенных российских ИТ при усло-
вии их надлежащего качества, безопасности и
конкурентоспособности по отношению к зарубеж-
ным ИТ в прозрачном и непротиворечивом норма-
тивно-правовом обеспечении, способствующем
прогрессу российских ИТ.
 Необходимо безусловно отказаться от ли-
цензирования деятельности по защите информа-
ции в гражданском секторе ИТ, для чего требуется
внести изменения в нормативно-правовые акты по
лицензированию деятельности по защите инфор-
мации. Это исключит избыточную и бессмыслен-
но административную нагрузку на организации,
вовлеченные в область ИТ, обеспечит прозрачную
и конкурентную среду для участников.
 Необходимо безусловно обеспечить едино-
образие и прозрачность процедур оценки соответ-
ствия требованиям ИБ в гражданском секторе ИТ,
для чего требуется внести изменения в норматив-
но-правовые акты по техническому регулирова-
нию. Для обеспечения процедур оценки соответ-
ствия актуальной и адекватной нормативной базой
необходимо признать целесообразным использо-
вание для данных целей следующих международ-
ных документов:
– актуальную редакцию ГОСТ Р ИСО/МЭК
15408 "Информационная технология. Методы и
средства обеспечения безопасности. Критерии
оценки безопасности информационных техно-
логий" (3 части);
– актуальную редакцию системы стандартов
ГОСТ Р ИСО/МЭК 2700х "Информационная
технология. Методы и средства обеспечения
безопасности. Системы менеджмента инфор-
мационной безопасности".
Использование перечисленных документов
обеспечит единство шкал и методов измерений с
зарубежными центрами компетенций в области
ИТ, что позволит объективно, в сопоставимых из-
меряемых величинах оценивать степень соответ-
ствия российских ИТ мировому уровню.
 Необходимо вовлечение регуляторов на об-
щих правах с прочими участниками индустрии ИТ
в обсуждение проблем отрасли и формирование

совместных решений по ее развитию. Это позво-
лит регуляторам обладать актуальной информаци-
ей о современных ИТ и на данной объективной
основе вносить позитивный вклад в нормативное
обеспечение процессов защиты информации.
 Лицензиаты могут на общих правах войти в
состав участников индустрии ИТ.
Заключение
Навык распознавания токсичных активов в об-
ласти ИТ и очистки от них может существенно
улучшить показатели устойчивости организации
вне зависимости от ее формы собственности и ме-
ста регистрации. Вместе с тем перед Россией сто-
ит гораздо более сложная задача по созданию
национальной, суверенной, полноформатной, сба-
лансированной, самодостаточной индустрии ИТ.
При этом необходимо вывести вопросы ИБ из ту-
пика, в котором вот уже 25 лет их удерживает тан-
дем из регуляторов и лицензиатов.
Необходимо признать неизбежность того, что,
как и за рубежом, вопросы ИБ должны практиче-
ски полностью утратить кажущуюся самостоя-
тельность и стать неотъемлемой частью ИТ. Если
регуляторы и лицензиаты не согласны с этим тези-
сом и считают необходимым продолжать следо-
вать прежним курсом, то им необходимо объяс-
нить, почему практикуемая в России в течение
последних 25 лет раздельная разработка ИБ и ИТ
привела лишь к тому, что ИБ в России состоит
преимущественно из токсичных активов, а рос-
сийские ИТ базисного уровня по-прежнему отсут-
ствуют как класс.
Авторы считают, что тезис о том, что ИБ может
быть локомотивом для ИТ, несостоятелен, по-
скольку нигде в мире пока не подтвердился прак-
тикой. А вот тезис о том, что ИТ могут быть локо-
мотивом для ИБ, неоднократно подтверждался на
практике.
Кроме того, необходимым условием создания
индустрии ИТ в России является отказ от лицен-
зирования деятельности по защите информации в
гражданском секторе ИТ. Без этого невозможно
сделать ИТ локомотивом для ИБ, избавиться от
навязывания индустрии ИТ токсичных активов,
минимизировать административную нагрузку на
индустрию ИТ, привлечь в индустрию ИТ крити-
ческую массу участников, обладающих реальны-
ми, а не мнимыми компетенциями.
Литература
1. Руководство по передовой практике защиты важней-
ших объектов неядерной энергетической инфраструктуры
от террористических актов в связи с угрозами, исходящими
от киберпространства. http://www.osce.org/ru/atu/110472?
download=true
2. ISO/IEC 27000:2014. Information technology — Security
techniques — Information security management systems — Over-
view and vocabulary, International Organization for Standardiza-
tion, 2014. — 31 p.
techniques — Information security management systems —
Requirements, International Organization for Standardization,
2013. — 23 p.
techniques — Information security management — Measurement,
International Organization for Standardization, 2009. — 55 p.
5. ISO/IEC 27005-2011. Information technology — Security
techniques — Information security risk management, International
Organization for Standardization, 2011. — 68 p.
6. Шишкин В. М., Юсупов Р. М. Доктрина информацион-
ной безопасности Российской Федерации — опыт количе-
ственного моделирования // Труды СПИИРАН. 2002. Т. 1.
Вып. 1.
7. Юсупов Р. М., Шишкин В. М. О некоторых противоре-
чиях в решении проблем информационной безопасности //
Труды СПИИРАН. 2008. Вып. 6. С. 39—59.
8. Лившиц И. И., Полещук А. В. Практическая оценка ре-
зультативности СМИБ в соответствии с требованиями раз-
личных систем стандартизации: ИСО 27001 и СТО Газпром //
Труды СПИИРАН. 2015. № 3. С. 33—44.
9. Лившиц И. И. Подходы к решению проблемы учета
потерь в интегрированных системах менеджмента // Инфор-
матизация и связь. 2013. № 1. С. 57—62.
10. Лившиц И. И. Подходы к применению модели инте-
грированной системы менеджмента для проведения аудитов
сложных промышленных объектов — аэропортовых комплек-
сов // Труды СПИИРАН. 2014. № 6. С. 72—94.
11. ГОСТ Р ИСО/МЭК 15408-1-2012 "Информационная
технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных техноло-
гий". Ч. 1. "Введение и общая модель", 2012.
гий". Ч. 2. "Функциональные компоненты безопасности",
2013.
гий". Ч. 3. "Компоненты доверия к безопасности", 2013.

Toxic assets in relation to information technology
I. I. Livshitz, A. V. Nekludov
LLC "GasInformService", St.-Petersburg, Russia
The IT revolution, which had been in the late nineteenth century, had a very interesting consequence. During
the revolution the issues of Information security almost completely lost its independence and become an organic
and integral part of IT. Respectively, increased the importance of correct determination of entities to be protected
and referred to as assets in the notation of ISO 27001. The paper considers several examples of non-existent (or
imaginary) assets, which introduced the term "toxic asset". It is noted that it is necessary to create in Russia a na-
tional full-length, balanced and self-sustaining IT industry, which from the basis to the top layer of the add-in
should be "riddled" with security features. Presents the rationale that learning to recognize the toxic assets in the
field of it and cleaning them, the professionals can significantly improve the required level of IT-security.
Keywords: information security, integrated management system, standard, IT-security Management System, asset.
Bibliography — 13 references. Received January 23, 2017

Токсичные активы

More Related Content

Similar to Токсичные активы (20)

More from Илья Лившиц (19)

Токсичные активы