Мало кто знает, но на прошлой неделе был подписан указ, который иначе как Security Epic Fail не назовешь. В указе говориться, что системах разрабатываемых для МВД стоит отказаться от CryptoPro ввиду "необоснованного увеличения финансовых расходов". И дело тут не в самом криптопро, (хотя стомость в 158т.р. для простой организации взаимодействия типа сервер-сервер тоже немаленькая) а в требованиях, которые навешиваются на систему, если она претендует быть "защищенной". Требования навешивает ФСБ и ФТЭК, требования называются "требования к системам типа К2" - то есть к системам, работающими с персональными данными и проникновение злоумышленника сулит серьезные проблемы владельцам этих данных. Тут же появляется куча бумажной работы, как составление моделей угроз, правда тут же есть и возможность всего этого избежать за суммы с шестью нулями, все бумаги составят сами аттестационные комиссии. Из этой скрупулезной модели угроз особенно порадовал пункт "Преднамеренная порча технической документации". Подразумевающий, что кто-то эту документацию читает и использует систему строго по инструкции. Остальные пункты - в основном случайный перехват чего-то злоумышленником. В любом случае выход был найден красивый - "система МВД закрытая, следовательно защищенная (согласно предыдущим документам), значит можно отказаться от криптопро, не попасть в класс к2 и показать фигу всем бюрократам".