25.07.14

Транспортная безопасность теперь еще и от кибератак

На портале, информирующем о разработке новых нормативных актов, появилось два финальных варианта Постановлений Правительства, касающихся транспортной безопасности:

  • "Об утверждении Требований по обеспечению транспортной безопасности (в том числе требования к антитеррористической защищенности объектов (территорий), учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств морского и речного транспорта, включая Особенности исполнения Требований по обеспечению транспортной безопасности при создании, эксплуатации и использовании во внутренних морских водах, в территориальном море, исключительной экономической зоне, на континентальном шельфе Российской Федерации установок и сооружений, создаваемых на основе морской плавучей (передвижной) платформы"
  • "Об утверждении Требований по обеспечению транспортной безопасности (в том числе требований к антитеррористической защищенности объектов (территорий), учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств воздушного транспорта".
Постановления очень схожи и отличаются только типом регулируемого транспорта - морской или воздушный. Поэтому и требования, касающиеся защиты информации, в них также схожи. Ничего сверхъестественного в них нет - подозреваю, что ни ФСТЭК и 8-й Центр или ЦИБ ФСБ к его экспертизе не привлекались. Поэтому касательно "нашей" темы там всего два пункта:

  1. Необходимо обеспечивать защиту баз данных пропусков от доступа посторонних.
  2. Необходимо обеспечивать защиту технических средств обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств от несанкционированного доступа к элементам управления, обработки и хранения данных.
Как обеспечивать такую защиту в нормативном акте не сказано, но на эту тему у нас есть 31-й приказ ФСТЭК, который недавно был утвержден Минюстом. Как написано в преамбуле к 31-му приказу, он распространяется и на область транспортной безопасности.

Единственное, что стоило бы авторам включить в постановление - это отсылку на необходимость выполнения объектами транспортной инфраструктуры требований ФСТЭК в области защиты информации. Чтобы не было двойных толкований и вопросов - а может ли ФСТЭК регулировать вопросы защиты информации на транспорте.

Все-таки поднимаемый мной уже неоднократно вопрос о несогласованности терминологии в области критически важных объектов сильно мешает координировать усилия по обеспечению различных видов безопасности - транспортной, информационной, промышленной и т.п.

24.07.14

Запись и презентация с вебинара по 31-му приказу ФСТЭК по защите АСУ ТП

Провел сегодня вебинар по 31-му приказу ФСТЭК по защите АСУ ТП. Выкладываю презентацию:



Сама запись с голосовым сопровождением доступна на сайте Webex. К сожалению, первые 5-6 слайдов не отображаются - я забыл включить отображение :-( Но в презентации они есть и их можно посмотреть.

Juniper продает свои активы по мобильной безопасности и выигрывает суд у Palo Alto

Спустя ровно 4 года с момента приобретения за 70 миллионов долларов небольшой компании SMobile компания Juniper продает все активы, связанные с мобильной безопасностью американскому инвестиционному фонду Siris Capital за 250 миллионов. Все это делается в рамках объявленной стратегии по реструктуризации бизнеса с целью фокусировки на основных направлениях деятельности. Видимо безопасность в число фокусных теперь не входит.

При этом Juniper умудряется из такого отсутствия фокуса все равно извлекать прибыль. Помимо поулчения 180 миллионов долларов прибыли от продажи подразделения по мобильной безопасности, Juniper в конце мая выиграла суд у компании Palo Alto, которая была обвинена в краже интеллектуальной собственности. В итоге 28-го мая суд обязал Palo Alto выплатить Juniper'у 175 миллионов долларов. Все-таки в патентном троллинге что-то есть :-)

22.07.14

Что считать отечественным ПО: хроники Совета Федерации

Закончилось пару часов назад заседание Совета Федерации по поводу импортозамещения и критериев отечественного ПО. Ну что сказать?.. Выводов я сделал несколько. Во-первых, у нас дофига ассоциаций, которые занимаются развитием чего-то отечественного под названием "программное обеспечение". И каждая ассоциация считает только себя исконно отечественной и отстаивающей интересы государства.

Во-вторых, мало кто понимает, что такое программное обеспечение. Точнее никто не задумывается над этим, считая, что речь идет только об операционных системах на базе Lunix и приложениях под Windows/Linux. Про микрокод для аппаратуры, который тоже относится к ПО, никто не заикается, но критерии "отечественности" хотят распространить и на него.

В-третьих, всем плевать на безопасность - важно получить преференции при госзакупках. Именно такая идея высказывалась на заседании. Попытка представителей ФСТЭК и ФСБ показать неправильность данного направления утонула в мелких деталях и историях о том, как кто-то пытался еще "до рождения Гейтса" предложить иностранным компаниям сугубо отечественные разработки и их послали, несмотря на то, что отечественная разработка по словам ее автора была более функциональной и занимала всего 40 Кб, а не 200, как у иностранцев.

В-четвертых, Минкомсвязь не особо горит желанием влезать в эту тему и брать на себя хоть какую-то ответственность в части определения критериев отечественного ПО, ведения его реестра и т.п. Очень расплывчатые ответы и формулировки. В итоге представитель Минкомсвязи и вовсем свалил с мероприятия в первой его трети.

В-пятых, желающих присосаться к госзакупкам оказалось гораздо больше желающих поработать в области персональных данных. Зал был забит битком.

В-шестых, кто-то в критерии пропихнул возможность считать отечественным ПО то, которое делается даже в офшорах и принадлежит лицам с двойным гражданством. Уж не знаю, кому это понадобилось, но с точки зрения национальной безопасности выглядит это как-то не очень.

В итоге заседание закончилось общим мнением продолжать развитие данной темы путем внесения поправок как минимум в 44-ФЗ о госзакупках. Все остальное достаточно туманно... 

Гарнитура с шифрованием - как защитить голос независимо от телефона или ПК?

В апреле я уже писал про законопроект, который должен был запретить пользоваться чиновникам несертифицированными мобильными устройствами, так как они, по мнению автора законопроекта, представляют собой угрозу национальной безопасности. Еще бы! Если бы американские спецслужбы узнали, о чем говорят наши депутаты, то тогда бы они поняли, что нашу страну им никогда не одолеть! Ведь если мы как-то развиваемся с такими избранниками, то что же тогда станет с нами, если в Госдуму придут адекватные люди?..

В прошлый раз я рассмотрел различные альтернативы привычным депататам iPhone'ам, но всех их объединяет одно - надо отказываться от привычного телефона и переходить на новый аппарат или носить с собой второй, специально для конфиденциальных переговоров. Удобно ли это? Конечно нет. Поэтому я в самом конце прошлой заметки и предположил, что от своих Vertu и iPhone'ов никто по своей воле не откажется. И вот тут мне на днях журналисты задали вопрос - а не слышал ли я про российские гарнитуры для мобильных устройств, которые шифруют голосовой трафик начиная сразу от гарнитуры?.. Я не слышал, но копать стал. Собственно, краткие результаты моего копания (без претензий на полноту).

Итак, если отбросить вариант с обеспечением конфиденциальности на самом телефоне (слишком большая зависимость от версии мобильной ОС и платформы) и с применением специального телефонного аппарата (неудобно), то у нас остается целых два варианта решения задачи:

  • шифровать в самой гарнитуре
  • шифровать в "прослойке", промежуточном крипто-модуле между гарнитурой и телефоном.
Про первый вариант мне и говорили и журналисты, упоминая при этом "Росэлектронику", которая должна наводнить российский рынок специализированными гарнитурами с встроенным шифрованием. Но как я не искал, я так и не нашел предприятие, которое бы уже выпускало такие устройства. Думалось мне, что это может быть тульское ОКБ "Октава", которое специализируется на выпуске именно гарнитур для силовиков, спецслужб, МЧС и т.п., но у них я не нашел ничего, чтобы имело отношение к криптографии. Было еще заявление "Росэлектроники" про выпуск криптомодулей для YotaPhone, но к гарнитурам оно имеет мало отношение - четкая зависимость от платформы аппарата.

В принципе, современные гарнитуры, например, Plantronics или Jabra, шифруют голос от микрофона до компьютера (или иного устройства, к которому подключается гарнитура)  с помощью 128-битного алгоритма E0, являющегося частью протокола Bluetooth. Но данный вариант не обеспечивает защиты голосового соединения от абонента до абонента. Скорее это решение для защиты беспроводного соединения от гарнитуры до компьютера или телефона, между котороми может быть до 100-120 метров. Логично предположить, что такой канал в незащищенном варианте легко прослушивается и поэтому требует защиты.

Больше СКЗИ, встроенных в гарнитуры я не нашел. Но зато нашел несколько реализаций второго упомянутого мной решения. Например, TopSec Mobile от Rode-Schwarz. 

Это аппаратное устройство, которое не зависит от модели телефона или компьютера, к которому присоединяется. Переговоры ведутся либо через сам TopSec Mobile, подносимый ко рту во время разговора, либо через гарнитуру, подключаемую к криптомодулю. Единственным минусом этого подхода является наличие выделенного сервера управления звонками, между зарегистрированными на сервере абонентами. Но это необходимое условие построения распределенных систем взаимодействия. 


Вторым найденным мной устройством был скремблер "GUARD Bluetooth" отечественной компании ЛОГОС. Исконно совковое устройство. Дизайна нет как такового. Гарнитуры намертво "вшита" в устройство и заменить ее можно только вместе с устройством. Зато гарантируется защита переговоров - устройство подключается по Bluetooth к передатчику - компьютеру или телефону (про защиту Bluetooth-канала с помощью E0 ни слова не сказано). Устройство не тестировал, но в сети можно найти его обзор. Внешний вид "GUARD Bluetooth" в сравнении с тем же TopSec Mobile дает очень хорошее представление о том, как соотносятся отечественные и западные СКЗИ (и по внешнему виду, и по удобству работы, и по функционалу). Зато для работы данного устройства не требуется никакой внешний сервер - возможна работа "точка-точка".


Последним решением, которое мне бы хотелось рассмотреть, является IndependenceKey, задача которого защитить различные виды взаимодействия между пользователями. Среди защищаемых типов общения есть и голосовая связь. Однако данное устройство является неким промежуточным вариантом между независимым криптомодулем и защитным ПО. В частности, к модулю IndependenceKey подключается гарнитура, с которой передается голос, шифруемый в модуле, но затем он поступает на ПО, установленное на персональным компьютере, куда, в USB-разъем, и вставляется IndependenceKey. К телефону его подключить будет проблематично.


Вот такие решения. Правда, ни одно из них не сертифицировано, и врядли будет. Может быть "Росэлектроника" порадует чем-нибудь интересным в ближайшем будущем?..

15.07.14

Индустриальный сегмент АСУ ТП поверх офисной сети: возможно ли?

Всегда думал, что индустриальные и офисные сегменты должны быть физически разнесены между собой и по офисной сети ну никак не стоит передавать трафик индустриальных приложений по протоколам OPC, Modbus, DNP3 и т.п. Но тут, готовясь к тренингу по безопасности АСУ ТП, наткнулся на интересный кейс от Боинга, в котором как раз ставилась задача по интеграции двух ранее физически разнесенных сегментов.

Раньше индустриальные сегменты выделялись особо с точки зрения дизайна, требований по сходимости, надежности, отказоустойчивости и т.п. У Cisco даже есть отдельное руководство, разработанное совместно с Rockwell Automation по данной теме - свыше 600 страниц подробных инструкций и рекомендаций.


Общая суть таких дизайнов - сегментация и разделение индустриальной и офисной сети.


Но очевидно, что такое разделение несет с собой и ряд сложностей. Вот только ряд из них:

  • Управление VLAN
  • Управление конфигурацией
  • Дублирование СКС
  • Увеличение стоимости
  • Рост числа ошибок.

Вполне закономерно возникает желание передавать индустриальный трафик поверх офисной сети. Но это тоже не панацея, т.к. обычная офисная сеть предлагает меньшую, чем требуется, защищенность. Ну а про несовместимость индустриальных и офисных протоколов и говорить не приходится. Вот на таком фоне Боинг в проекте по созданию 777-го и решил все-таки снизить свои издержки и объединить две сети.

За основу была взята идея оверлейных сетей, которую сейчас активно продвигают в связи с виртуализацией сетевых функций, программируемых (SDN) сетей и т.п. Но для ее реализации мало было просто навесить метки на разные типы трафика - вопрос с совместимостью и защищенностью все равно оставался.



Тогда Боинг, пригласивший известного игрока рынка индустриальной ИБ, компанию Tofino, заказал разработку специального загружаемого модуля безопасности (LMS) для своего межсетевого экрана (Tofino Security Appliance). Продукт был разработан - получился по сути некий защитный АСУ ТП ретранслятор, в задачи которого входили:

  • передача индустриальных протоколов поверх офисной сети за счет инкапсуляции
  • изоляция АСУ ТП от офисной сети с помощью простого индустриального МСЭ
  • защита коммуникаций между ретрансляторами с помощью протокола Host Identity Protocol (HIP).



Решение (LSM) было реализовано в виде открытой архитектуры на базе open source решений. Среди планов Tofino - встроить LSM либо на уровень оконечных устройств (HMI, БД, OPC-сервера и т.п.), либо сразу на уровне контроллеров.

Вот такое интересное решение. Надо заметить, что согласно недавно зарегистрированному приказу ФСТЭК №31 такой подход возможен и у нас. Только вот решений, реализующих эту схему, у нас почти что и нет. Хотя я сторонник все-таки традиционного подхода с физическим, а не логическим разделением индустриальных и офисных сетей.

ЗЫ. Кстати, по поводу 31-го приказа мы (Cisco) проводим онлайн-семинар 24-го июля в 11 утра по московскому времени. Кому интересно, приходите

14.07.14

Первый прецедент наказания за провоз шифровального средства в личных целях через границу РФ

2 года назад я писал про новый нормативный акт российской таможни, фактически требующей декларировать все мобильные устройства, пересекающие границу Таможенного союза (Россия, Белоруссия и Казахстан) воздушным путем должны декларироваться. В комментариях к заметке, а также в Фейсбуке мне возражали, что все фигня и никто не будет на таможне (если нет явного указания) контролировать ввоз мобильников и ноутбуков. И вот первый прецедент. На жителя Ульяновской области могут завести административное дело за покупку смартфона Motorola Moto G в немецком интернет-магазине. Данный смартфон в России еще не продается и  соответствующих нотификаций не имеет. Так что с точки зрения закона таможня в своем праве.

Я не буду повторять то, что уже писал. Хочу просто напомнить последовательность действий, которую вам стоит запомнить, если вы собираетесь пересечь воздушную границу с мобильным или иным высокотехнологическим устройством иностранного происхождения:

  1. Если вы ввозите/вывозите оборудование продаваемое и купленное в России
    • Проверьте в базе зарегистрированных нотификаций свою модель
    • Если модель есть, то просто распечатайте нотификацию или ее номер и возьмите с собой в путешествие
    • Если модели в базе нет, то у продавца должна быть таможенная декларация на ввезенное оборудование, в которой и должна быть указана модель вашего устройства
    • Если ни нотификации, ни таможенное декларации на вашу модель нет, то... непонятно, как оно продается в России. Возможно имеет смысл спросить об этом производителя, который должен обязательно знать о том, на каких основаниях ввозится его оборудование в РФ. В любом случае, отсутствие нотификации/декларации - это потенциальный риск конфискации оборудования, направление материалов в суд и выставление штрафа.
  2. Если вы ввозите/вывозите оборудование продаваемое в России, но купленное заграницей
    • Повторяете все те же действия, что в предыдущем пункте.
  3. Если вы ввозите/вывозите оборудование, в России непродаваемое и купленное заграницей
    • Ввоз оборудования может быть признан изначально незаконным со всеми вытекающими отсюда последствиями. Ввозится такое оборудование только в надежде на то, что не обнаружат на таможне.
Хочу отметить, что стоит обратить внимание на определение шифровальных средств, подпадающих под контроль российской таможни (как с этим обстоят дела в Белоруссии или Казахстане не знаю, хотя закон у нас единый). Это не то, что думаете вы - VPN и т.п. Это более широкая номенклатура позиций. И доказывать, что в вашем смартфоне или ноутбуке нет средств шифрования вы можете сколько угодно, но и смартфоны и ноутбуки включены в список контролируемых позиций.

Так что делайте выводы и оценивайте свои риски...

UPDATE: Нотификации должны быть не только на само устройство, но и на весь софт, который на нем установлен. Но это вообще утопия :-) Особенно для open-source или самописного ПО.

11.07.14

Беспрецедентное право о запрете хранения ПДн

А вот вернусь я к закону (или законопроекту) о запрете хранения ПДн россиян за границей :-) Ибо в последнюю неделю было высказано столько всего :-) И у меня тоже есть что сказать, помимо уже высказанного тут и тут и тут. Страсти немного улеглись и можно уже немного подытожить то, что произошло.

Начну я издалека, а точнее с иллюстрации того, как могут циркулировать ПДн россиян через границу Российской Федерации. Можно выделить два основных варианта:

  • Персональные данные россиянина уходят с территории РФ на Интернет-сервис, который затем хранит эти данные там же, заграницей. На иллюстрации ниже это вариант №1. По этому сценарию сейчас работают почти все зарубежные социальные сети, а также сайты отелей, бронирования билетов, организации мероприятий, лечения за рубежом и т.п. Именно против такого сценария и направлен, по моему мнению, принятый закон.
  • Персональные данные россиянина уходят с территории РФ на Интернет-сервис, который хранит эти данные в России. Это вариант №2. Никакой проблемы с нарушением требований закона в этом случае я не вижу; нужно только соблюсти требования по трансграничной передаче ПДн.
Кстати, о трансграничной передаче. Многие коллеги высказывают мысль, что ее-то никто не запрещал. Да, это так. Только попробуйте задаться вопросом - а что такое передача? Это стратегические бомбардировщики могут у нас летать, не приземляясь и заправляясь "на ходу". При передаче ПДн всегда есть точка отправления и точка получения ПДн. Всегда! Персональные данные не передаются в никуда (вариант №3 на иллюстрации). Поэтому они должны где-то "приземлиться". В случае трансграничной передаче они "приземляются" либо в России, либо за ее пределами. Первый случай хорошо описан в сказке Катаева "Цветик-семицветик":

Лети, лети, лепесток,
Через запад на восток,
Через север, через юг,
Возвращайся, сделав круг
Вот в этом случае персданные, трансгранично передаваясь, возвращаются в Россию, и мы получаем вариант №2. А если данные не возвращаются, то мы получаем вариант №1. Иными словами, трансграничная передача ПДн никому не нужна, если их запрещено хранить за рубежом. При этом формально ст.12 Евроконвенции, о которой тоже многие коллеги говорили, не ограничивается. В ней же говорится о трансграничной передаче, а не о хранении. Передача по-прежнему разрешена, а вот хранение нет :-(




Есть и других два, менее распространенных варианта:
  • Персональные данные россиянина уходят из-за границы также заграницу. Формально, ФЗ-152 не распространяется на иностранные юрлица, которые не могут и не должны знать о наших депутатах, столь рьяно беспокоящихся о гражданах своей страны. И формально они могут делать с ПДн все, что угодно и передавать их в рамках своего государства или за его пределы как угодно. Только вот мы забываем про вторую часть принятого закона, которая по объему больше первой и третьей частей. Она подробно расписывает процедуру блокирования доступа к сайтам-нарушителям. Нарушителям по мнению Роскомнадзора, а не зарубежного оператора ПДн. И если нарушение есть (а по мнению РКН и депутатов оно будет), то доступ к иностранному сайту будет блокирован (в варианте №1 он также будет блокирован). А вот дальше уже оператор ПДн будет доказывать в российском суде, что он не верблюд. И какова вероятность, что иностранный оператор будет с этим разбираться? А что он пойдет в суд? А что он выиграет дело? То-то и оно. Формально он может быть и будет прав, но фактически доступ к его сайту будет для россиян, не пользующихся VPN, закрыт.
  • Персональные данные россиянина уходят из-за границы в Россию. Это почти такой же вариант, что и предыдущий. Как только данные попадают в РФ, то на их обработку распространяется по мнению РКН ФЗ-152 в полном объеме и мы вновь возвращаемся к предыдущему сценарию.
И, наконец, последний, совсем уж редкий и вырожденный вариант - персональные данные россиянина уходят из-за границу обратно в заграницу транзитом через Россию. Я такой вариант представляю себе с трудом, но он тоже возможен. Но с точки зрения законодательства разницы между ним и предпоследним вариантом почти никакой.

Это теория. Теперь обратимся к практике. Как РКН, как надзиратель над законом, сможет удостовериться, что ПДн россиян хранятся (или не хранятся) за границей? По жалобе или исходя из уведомления, отправленного оператором ПДн, в котором теперь надо будет указывать место хранения ПДн. С жалобой все понятно, а вот с уведомлением ситуация не такая очевидная. Врядли российские операторы ПДн в здравом уме станут включать в уведомление удавку на свою шею. Поэтому у РКН останется только одна возможность узнать о нарушении закона - жалобе. Но что будет, когда РКН получит такой сигнал от "добропорядочных" граждан? Формально он может инициировать проверку. А фактически? Как можно проверить, что ПДн хранятся за рубежом? Если у меня есть какой-нибудт сервак и я могу его показать проверяющему, то как он может меня уличить в том, что у меня данные есть еще и на американском Amazon AWS или европейском MS Azure? Таблицы маршрутизации анализировать? Сниффить трафик? Репликацию СУБД изучать? Иными словами, российского оператора ПДн наказать сложно.

А вот с иностранными ситуация обстоит иначе. Они изначально в невыигрышном положении и им придется доказывать, что они данные не хранят за границей. Поэтому им надо будет представлять какой-то договор на хостинг БД с ПДн в России. Пойдет ли на это какой-нибудь австрийский небольшой семейный отель, в котором российский чиновник любит проводить зимние каникулы? Или швейцарская элитная школа, где учатся дети депутата? Или компания SABRE, благодаря которой депутат заказывает авиабилеты в Майями, чтобы проведать свою недвижимость? Или оператор Web-сайта международного экономического форума в Давосе, куда как мухи на мед слетаются депутаты? Или владелец магазина эксклюзивных алкогольных напитков и сигар в Лондоне, который обслуживает депутатов? Нет, не пойдут. Они будут либо нарушать ФЗ, либо перестанут работать с ПДн россиян.

Кстати, в последней фразе есть два важных момента. Что такое персональные данные? И что такое ПДн россиянина? Я за последние две недели смог вспомнить только один случай, когда у меня при заполнении хоть какой-либо анкеты спрашивали гражданство. Это было виза. Все! Больше случаев не припомню. Ну еще получение загранпаспорта. А в остальных случаях - гражданство не указывается. Ни во время заказа автомобиля в Hertz. Ни во время заказа билетов в Аэрофлоте. Ни во время бронирования билетов в парк Aventura. Ни во время бронирования на booking.com. Нигде. И как, позвольте спросить, иностранный оператор ПДн должен узнать, что он хранит ПДн россиян? По имени? Так они часто совпадают у славян, которые населяют и сопредельные государства, где нет таких идиотских законов. По фамилии? Та же ситуация. По IP-адресу? Он тоже не имеет "гражданства". Оператор может сказать, что он не хранит ПДн россиян и формально будет прав. Но только РКН это все равно никак не помешает заблокировать доступ к такому сайту. Еще можно сослаться на то, что иностранный оператор не хранит ПДн вовсе. Ведь, что такое ПДн, определяет он сам в своих локальных актах. Тот же РКН считает, что номер мобильного телефона, e-mail и логин не являются ПДн. А если добавить сюда еще и адрес? Тоже, скорее всего, нет. Но вот добавив ФИО можно говорить о ПДн. А если не ФИО, а только ФИ? Вопросы, вопросы, вопросы... Но так ли они важны?

На мой взгляд, совершенно не важна юридическая или техническая сторона данного закона. Можно долго спорить о том, как надо читать статьи закона - отдельно или в совокупности? Важно другое. У РКН появилась возможность блокировать сайты преимущественно иностранных компаний, которые якобы нарушают российское законодательство. Формально это будет выглядеть очень корректно. РКН направит запрос иностранному оператору ПДн (как обычно на русском языке). Тот его проигнорирует (он же не знает русского, как ни странно). РКН заблокирует доступ к сайту. Именно доступ, а не самого оператора. А дальше уже оператор будет пытаться (если захочет) что-то сделать. Когда вьетнамский "РКН" аналогичную махинацию с локальным хранением провернул у себя в стране с целью принудить Yahoo создать локальные хранилища, Yahoo послала вьетнамский "РКН" в пешее эротическое путешествие и ушел с вьетнамского рынка. У нас будет ситуация аналогичная, чего, на мой взгляд, и добиваются российские власти, так и не договорившись с Facebook, Google и Twitter (последним особенно). И их поставили перед выбором - либо за 2 с небольшим года они "исправятся", либо пойдут лесом. Аналогичный финт российские власти провернули с Visa и Mastercard, которых вынуждают играть по правилам РФ. Но если для последних Россия - это хоть и незначительный, но все-таки лакомый кусок бизнеса, то для западных социальных сетей, это скорее всего не так. Поэтому не исключаю, что через пару лет мы столкнемся с импортозамещением еще и социальных сетей. Если, конечно, в закон вновь не внесут поправки, а это вполне реальная вещь, видя как депутаты сначала принимают закон, а потом либо отменяют его, либо вносят поправки, отменяющие первичный запрет. Иными словами, данный закон разрабатывался и принимался (а скорость его принятия - это вообще песня) только с геополитической целью, а не для защиты прав российских граждан.

Кстати, об этом косвенно говорят и сами депутаты, которые во время заседаний в Комитете Госдумы и во время голосования на 2-м и 3-м чтении прямо говорили, что пусть оператор ПДн хранит ПДн где угодно; лишь бы их копия хранилась еще и в России (отмечен на иллюстрации ниже). Почему АНБ можно получать доступ к данным соцсетей, банков и операторов связи, а ФСБ нельзя? Потому что АНБ - это оно, а ФСБ - она? Мы за эмансипацию и равноправие. Поэтому нашим спецслужбам тоже надо.


А как же права субъекта? А никак. У нас давно права субъекта никого не интересуют. Даже уполномоченный орган по их защите. А как же право на доступ к информации, свободу перемещений, свободу слова, дарованные нам Конституцией? А никак. Мало ли у нас нарушений Конституции? Вон и Президент на днях, якобы совершил такое нарушение. А если гражданин считает себя ущемленным, то милости просим в Конституционный суд. А как же Евроконвенция? А никак. У нас уже скоро 8 лет как ст.19 ФЗ-152 противоречит Конвенции и ничего.

Если взглянуть на закон о запрете хранения ПДн с точки зрения геополитической, то все встает на свои места. И формулировки, и трактовки, и комментарии, и срок вступления в силу. Ведь формально РКН и сейчас имеет право блокировать сайты, содержащие запрещенную информацию. Один из последних примеров произошел 8-го июля. Кто-то прочтя об этом случае (кстати, я к этому сайту смог без проблем получить доступ) заговорил о нарушениях - якобы РКН до вступления в силу закона стал блокировать иностранные сайты. На самом деле у РКН такое право было по 139-му федеральному закону "о черных списках". И право блокировки, описанное в рассматриваемом нами сейчас законе, ему не особо и нужно.

Но вот что интересно в законе, так это третья часть, о которой все благополучно молчат и только Михаил Емельянников про нее заговорил первым и, пока, единственным. Речь о внесении изменений в ФЗ-294 "о проверках", согласно которым, надзор за обработкой ПДн и информации в Интернет исключается из общих норм ФЗ-294. Иными словами, после вступления в силу этой нормы РКН может уже не формировать списки плановых проверок, не согласовывать проверки с прокураторой, не соблюдать частоту плановых проверок раз в три года и многое другое. Вот это, на мой взгляд, самое опасное в этом законе, т.к. несет с собой вполне конкретные риски для российских операторов ПДн, которые теперь будут ходить постоянно под Дамокловым мечом, не зная, когда к ним придет проверка РКН. А учитывая законопроект по штрафам, вышедшим на финишную прямую, картина и вовсе становится зловещей...

Вот такая картина вырисовывается. Заметка получилась длинной, но зато я постарался изложить в ней мысли о законе о запрете хранения ПДн россиян за рубежом, которые появились за последнее время. Прав я был или нет, покажет время. За оставшиеся 2 года с небольшим у нас будет возможность либо напрячься по поводу этого закона, либо на фоне всего остального посчитать его такой мелочью...

09.07.14

Детектив с принятием поправок в ФЗ-152

Не смог пройти мимо этой потрясающей истории с принятием поправок в ФЗ-152 по поводу запрета хранения ПДн россиян заграницей. Итак, РИА Новости публикует сегодня новость о том, что Президент Путин подписал все законопроекты, которые приняла в эту сессию Госдума и Совет Федерации, включая и пресловутый закон о запрете хранения ПДн. Все бы ничего, но судя по словам Путина, подписал он все законы в ночью с 8-го на 9-е июля... но Совет Федерации только сегодня, т.е. 9-июля, рассматривал оставшиеся законы, включая и по ПДн. Как можно было подписать закон, если он еще не одобрен Советом Федерации?


Как как? Через как! Что мы не в России живем, что ли?! В России. Но даже у нас стараются соблюдать видимость законной деятельности. Президент по Конституции (ст.107) подписывает законы одобренный обеими палатами парламента. Тут же получается, что он подписал закон еще не одобренный, тем самым нарушив Конституцию, гарантом которой он является.

Сам законопроект о запрете хранения ПДн россиян за границей был внесен в Госдуму 24-го июня. 1 июля законопроект был принят в первом чтении, а 4-го - во втором и третьем. 5-го июля он поступил в Совет Федерации. 7-го числа законопроект направлен в комитет СФ по конституционному законодательству и государственному строительству, а 8-го комитет выносит решение об одобрении законопроекта. А дальше получается интересная ситуация, - законопроект уходит на подпись Президенту, а также параллельно его представляют в Совете Федерации.

Вот тут впору вспомнить Конституцию, которая определяет порядок принятия федеральных законов. "Конституция Российской Федерации, регламентируя законодательный процесс, определяет, что законопроекты вносятся в Государственную Думу (статья 104, часть 2) и что федеральные законы принимает эта палата (статья 105, часть 1). Законы, принятые Государственной Думой, передаются на рассмотрение Совета Федерации (статья 105, часть 3), что призвано обеспечить учет его мнения в законодательном процессе и предоставляет ему возможность выразить свое согласие либо несогласие с Государственной Думой в отношении любого закона.

В соответствии со статьей 105 (часть 4) Конституции Российской Федерации федеральный закон считается одобренным Советом Федерации, если за него проголосовало более половины от общего числа членов этой палаты либо если в течение четырнадцати дней он не был рассмотрен Советом Федерации. Таким образом Совет Федерации решает сам, какие из принятых Государственной Думой законов подлежат рассмотрению на его заседании.

Исключение из этого общего правила установлено статьей 106 Конституции Российской Федерации, которая дает перечень федеральных законов, подлежащих обязательному рассмотрению в Совете Федерации".

Иными словами, либо законопроект рассматривается Советом Федерации и одобряется (или не одобряется) и отправляется Президенту, либо законопроект Советом Федерации игнорируется и по истечении 14-ти дней считается одобренным и опять же направляется Президенту. Выделенные курсивом текст - это не моя блажь, а Постановление Конституционного Суда РФ от 23 марта 1995 г. № 1-П "По делу о толковании части 4 статьи 105 и статьи 106 Конституции Российской Федерации".

Согласно статье 106 Федерального конституционного закона "О Конституционном Суде Российской Федерации" данное Конституционным Судом Российской Федерации толкование является официальным и обязательным для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений. А согласно статье 79 Федерального конституционного закона "О Конституционном Суде Российской Федерации" настоящее Постановление является окончательным, не подлежит обжалованию и вступает в силу немедленно после его провозглашения. Иными словами, это окончательное решение - спорить с ним бесполезно.

Т.е. законопроект мог быть отправлен из комитета СФ Президенту либо после его одобрения (что и было сделано сегодня судя по повестке дня СФ в самом конце заседания), либо по истечении 14-ти дней с момента поступления в СФ, т.е. 20-го июля. Но Президент подписал закон вчера ночью. Если бы он его подписал сегодня ночью, то вопросов бы не было. Если бы он подписал его после возвращения из своей длительной командировки, то вопросов тоже не было бы. Но он его подписал ДО! Как?!

Врядли закон отменят - это было глупо (хотя и правильно). Гораздо интереснее, как из этого будут выкручиваться и кто будет наказан. Президента не накажешь - он ошибиться не мог. Вон и его пресс-секретарь уже это подтверждает. Совет Федерации тоже не мог - они сделали все по процедуре. Получается, что ошиблись в РИА Новости, возглавляемые известным медийным деятелем Киселевым Д. Накажут выпускающего редактора или редактора Web-сайта? Или окажется, что по приезде из командировки Путин "случайно" найдет пачку неподписанных ранее законов?

Приказ ФСТЭК по защите АСУ ТП №31

Участвуя в экспертизе или разработке того или иного нормативного акта, забываешь потом про него рассказать :-) Буду исправляться, тем более, что и повод подоспел как нельзя кстати. Итак, 30 июня Минюстом был зарегистрирован долгожданный приказ ФСТЭК №31 от 14.03.2014 по защите АСУ ТП. Презентацию по данному проекту я уже выкладывал.



Теперь пройдусь по ключевым тезисам, которые я хотел бы выделить в отношении данного приказа. Они остались неизменными по сравнению с озвученными на февральской конференции ФСТЭК:
  1. Приказ №31 продолжает курс ФСТЭК по унификации требований по защите информации и информационных систем (а теперь еще и АСУ ТП). На мой взгляд это хорошо.
  2. Приказ №31 - это задел на будущее. Сегодня не так много технических решений, способных закрыть даже половину требований приказа. Я про этого уже говорил. Но и опасаться этого не стоит - свобода выбора защитных мер позволяет пока не принимать в расчет то, что невозможно выполнить. Правда, свобода выбора тоже для кого-то является злом, но тут уж ничего не поделаешь.
  3. Приказ говорит об автоматизированных, а не информационных системах. Видимо мы еще долго будем жить на два мира - мира ИС и АС. Введенная в 2006-м году, в трехглавом законе определение информационной системы заставило всех регуляторов пересмотреть свою нормативную базу, но в тех же ГОСТах остались системы автоматизированные. Более того, ФСТЭК вынуждена развивать ГОСТы по АС в защищенном исполнении, параллельно развивая свои НПА по информационным системам. Я бы на месте ФСТЭК в каком-нибудь ГОСТе уравнял эти понятия или выступил бы с инициативой по внесению изменений в 149-ФЗ и включению туда понятия АС наряду с ИС.
  4. Приказ вводит 3-хуровневую классификацию АСУ ТП. Это одно из отличий от 4-хуровневой классификации ГИС в 17-м приказе и уровней защищенности ИСПДн в ПП-1119/приказе №21. Связано это с принятой на критически важных объектах трехуровневой классификацией уровней опасности, уровней антитеррористической защищенности и т.п. 
  5. Обязательная сертификация средств защиты информации не требуется - вместо нее явно говорится об оценке соответствия в соответствии с ФЗ "О техническом регулировании". Это хорошо, т.к. сегодня в РФ существует либо специализированное ПО, сертифицированное по требованиям ИБ (например, ПО управления электровозами), либо промышленное оборудование, сертифицированное как МСЭ (таких изделий я навскидку в реестре ФСТЭК нашел всего 3 - Cisco Smart Grid Router, Cisco Smart Grid Switch, Cisco IE 3000). Других решений просто нет и при наличии требования обязательной сертификации выполнить его было бы физически невозможно. Да и испытательные лаборатории пока не готовы подступиться к этому вопросу - обычные ФСТЭКовские требования тут не работают. Кстати, тут стоило бы обратиться к проекту документа ФСТЭК по жизненному циклу ИТ. В нем очень неплохо было показано, что есть требования функциональные (они проверяются в рамках сертификации по обычным РД), есть требования к доверию (плохо прижившиеся у нас ОУДы в "Общих критериях") и есть требования к среде, в которой будет функционировать изделие ИТ. Вот последнего у нас пока нет, а в АСУ ТП без этого уже не обойтись.
  6. В отличие от 6 этапов построения системы защиты для ГИС, для АСУ ТП таких этапов 5 - исключена аттестация, которая является сугубо добровольной. Ее можно заменить на приемку самой АСУ ТП, в том числе и с точки зрения ИБ. Тоже решение закономерное - приемка АСУ ТП и так процесс непростой и проходит жесткое "модерирование" (цена ошибки слишком высока). Дублировать этот процесс еще и с точки зрения ИБ нецелесообразно; особенно при убогих и совершенно неадекватных реалиям требованиях по аттестации (тут и тут).
  7. Смена парадигмы, согласно которой конфиденциальность в АСУ ТП обеспечивается только если нужно заказчику, а на первое место выходит доступность АСУ ТП и ее целостность. При этом красной нитью по тексту приказа проходит мысль, что меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП.
  8. Возможно как обоснованное исключение защитных мер, так и применение мер компенсирующих.

Но финальный текст поменялся по сравнению с проектом. Было внесено немало изменений. Беглый анализ позволяет выделить следующие отличия принятой версии от предварительной:
  • Изменен п.2 - предназначение требований. Если в проекте речь шла о снижении рисков незаконного вмешательства, то в итоговом варианте - об обеспечении функционирования АСУ ТП в штатном режиме (риски тоже остались, но на втором месте).
  • Убран п.6 о том, что ФОИВы в своей сфере регулирования и корпорации имеют право разрабатывать свои собственные отраслевые и корпоративные стандарты. Не могу сказать, что это критично, т.к. аналогичная норма включена в алгоритм выбора защитных мер (на этапе дополнения защитных мер).
  • Добавлен новый блок в п.7 (раньше это был п.8), описывающий архитектуру и уровни АСУ ТП. На мой взгляд не хватает иллюстраций, которые у ФСТЭК есть, например, в рекомендациях по защите КСИИ. Может быть стоило бы разработать аналог методички по ГИСам, но для АСУ ТП. В нее я бы включил описание 6 блоков защитных мер, которых нет в ГИС, а также добавил бы из КСИИшных документов специфики АСУ ТП, включая и иллюстрации.
  • Незначительно расширен перечень объектов защиты - добавлены промышленные сервера и системы локальной автоматики, микропрограммное ПО. Убрана "информация о промышленном или технологическом процессе", но добавлена "иная критическая важная информация".
  • Переформулировали 8-й пункт (ранее 9-й), но суть осталась той же.
  • По тексту некоторые абзацы в пунктах переставили местами и переписали некоторые абзацы немного другими словами (суть осталась неизменной).
  • Убран фрагмент в п.14.1 (ранее 15.1) о том, что при отсутствии необходимых средств защиты информации необходимо их разработать (доработать).
  • П.15.1 (ранее 16.1) переписали с средств защиты на ПО АСУ ТП. Раньше речь шла о настройке средств защиты информации АСУ ТП - теперь о настройке параметров АСУ ТП, приводящих к снижению рисков. Вообще видно, что даже после общественного обсуждения работа с документом велась очень активно и не бездумно - там где средств защиты нет и не появится в ближайшее время произошла замена на встроенные в АСУ ТП защитные механизмы (там где они есть). 
  • В п.15.3 (ранее 16.3) ввели новый фрагмент про введение ограничений на действия персонала.
  • П.15.4 - новый. Он посвящен установке и настройке средств защиты информации в АСУ ТП.
  • В п.16.4 (ранее 17.4) добавили анализ уязвимостей, как часть процесса анализа угроз в процессе эксплуатации.
  • В п.17.2 (ранее 18.2) добавили уничтожение машинных носителей, содержащих энергонезависимую память.
  • В п.20 (ранее 21) добавили, что для каждого уровня АСУ ТП меры защиты рассматриваются отдельно от других уровней, реализуя тем самым принцип эшелонированной обороны. А вот пункт 22 из проекта (про сегментирование) убрали.
  • В п.24 (ранее 26) добавили, что в первую очередь надо рассматривать встроенные механизмы защиты АСУ ТП.
В приложение 2 (перечень защитных мер) внесли следующие изменения в части базового набора мер:
  • УПД.10 - мера убрана из базового набора для всех трех классов защищенности АСУ ТП (раньше для всех классов мера входила в базовый набор)
  • ЗНИ.6 - мера добавлена в базовый набор для 1-го уровня защищенности (раньше не было ни в одном)
  • ЗНИ.7 - мера добавлена в базовый набор еще и для 3-го уровня защищенности (раньше было для 2-го и 1-го)
  • РСБ.6 - мера убрана из базового набора для 3-го уровня защищенности
  • АНЗ.5 - мера убрана из базового набора для 3-го уровня защищенности
  • ОЦЛ.6 - мера добавлена в базовый набор для 1-го уровня защищенности (раньше не было ни в одном)
  • ОЦЛ.7 - мера добавлена в базовый набор для 1-го и 2-го уровней защищенности (раньше не было ни в одном)
  • ОДТ.0 - мера добавлена в базовый набор еще и для 3-го уровня защищенности (раньше было для 2-го и 1-го)
  • ОДТ.1 - мера добавлена в базовый набор для 1-го и 2-го уровней защищенности (раньше не было ни в одном)
  • ОДТ.3 - мера добавлена в базовый набор для 1-го и 2-го уровней защищенности (раньше не было ни в одном)
  • ЗСВ.8 - мера добавлена в базовый набор для 1-го уровня защищенности (раньше не было ни в одном)
  • ЗТС.5 - мера добавлена во все уровни защищенности базового набора
  • ЗИС.17 - мера добавлена в базовый набор еще и для 3-го уровня защищенности (раньше было для 2-го и 1-го)
  • ДНС.3 - мера убрана из базового набора для 3-го уровня защищенности
  • ДНС.4 - мера убрана из базового набора для 3-го уровня защищенности
  • ДНС.5 - мера добавлена во все уровни защищенности базового набора
Получается вот такая картина. Сейчас предстоит осознать, что будет меняться в отрасли с выходом данного приказа. Заказчикам придется закладывать реализацию его положений в свои планы-графики. Интеграторам придется изучать положения нового приказа для его внедрения у заказчиков. Разработанный мной курс, читаемый в АИСе, уже учитывает и сам приказ и сделанные в нем правки.

Но надо понимать, что этот приказ - это только начало долго пути под названием "защита информации в АСУ ТП". ФСТЭК не сможет обойти вниманием те вопросы, которые уже задаются потребителями:

  • Как соотносятся выпущенные требования и требования по КСИИ (особенно учитывая, что ФСТЭК продолжает выпускать ГОСТы по КСИИ)?
  • Как защищать АСУ ТП с гостайной (ответ "по закону о гостайне" - это не то, чего ждут заказчики)?
  • Как моделировать угрозы для АСУ ТП (все-таки там есть нюансы по сравнению с ГИС и ИСПДн)?
  • Чем руководствоваться, если все-таки заказчик АСУ ТП захочет ее аттестовать (РД ограниченного распространения тут никак не помогут)?
  • В России используется разными регуляторами разная терминология – критически важный объект, потенциально опасный объект, объект жизнеобеспечения, особо опасный объект, объект повышенной опасности. Приказ распространяется только на КВО и потенциально опасные объекты или на остальные тоже?
  • Как защищать системы, являющиеся критическими инфраструктурами (в терминах законопроекта ФСБ), но не являющиеся АСУ ТП?
  • Планируется ли выпуск методического документа, раскрывающего меры защиты, неучтенные в методичке по ГИСам?
  • Что такое требования к средствами защиты критических информационных инфраструктур из законопроекта по КИИ?
ЗЫ. Внесение в Госдуму законопроекта по безопасности критических информационных инфраструктур перенесено на осень.

ЗЗЫ. Кстати, мне кажется, ФСТЭК могла бы на основе уже имеющихся приказов №17, №21 и №31 разработать методические рекомендации по защите врачебной тайны и иных видов тайн, которые являются достаточно чувствительными, активно обрабатываются в информационных системах, но их обладатели не знают как подступиться к этому вопросу. А ФСТЭК уже набила руку в этом вопросе :-)

08.07.14

Оценка отдачи вложений в ИБ (мастер-класс для RISC)

Сегодня я читал небольшой мастер-класс для RISC по оценке отдачи вложений в информационную безопасность. Тема интересная и местами спекулятивная. Оно и понятно - признанных методик оценки вложений нет и каждый изголяется как может. Я тоже смог :-) В течение 2-х часов рассказывал о разных нюансах данного процесса. Не думаю, что ответил на все возможные вопросы и закрыл все интересующих слушателей темы, но надеюсь как вводная часть (все-таки на тех же курсах MBA в РАНХиГС я эту тему читаю 8 часов, а не 2) - материал был полезен.

Презентация с мастер-класса:



ЗЫ. Запись будет скоро доступна. Следите за сайтом RISC.

04.07.14

"Зато Крым наш" - стратегия нормотворчества в области ИБ в стране

У меня есть некоторый фетиш - я люблю изучать отечественные учебники по правовому обеспечению ИБ и законодательным основам защиты информации. Меня всегда удивляло, почему авторы начинают рассмотрение не с Конституции, не с основ права, а сразу с закона о лицензировании, трехглавого закона, постановления о сертификации и переходят к документам ФСТЭК, даже не вдумываясь в законность их принятия и применения. Но события последнего месяца-полутора меня привели к мысли, что может быть это и неплохо, т.к. Россия - страна уникальная и у нас в принципе никто не следует хоть какой-нибудь логике при принятии нормативно-правовых актов.

Достаточно вспомнить закон об отмене зимнего времени, который спустя не очень продолжительное время вернули обратно. Те же депутаты, противореча самим себе, принимаю прямо противоположное решение и их это не смущает. Те же самые депутаты сначала запрещают рекламу пива, а потом разрешают ее. Те же депутаты сначала запрещают курение в общественных местах, а потом разрешают его на летних верандах. Те же депутаты сначала отменяют уголовку по клевете, а потом вновь ее вводят. Но вернемся к нашей теме.

Вспомним недавний законопроект Минкомсвязи "О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений". Если по-крупному, то он говорил примерно следующее - облака для госорганов могут быть только российскими, а для коммерческих компаний облака могут быть какие угодно; даже иностранные. И вот спустя полтора месяца, подведомственная Минкомсвязи служба в лице Роскомнадзора инициирует прямо противоположный законопроект о запрете хранения ПДн россиян за границей. Иными словами данный законопроект закрывает абсолютное большинство облачных проектов, использующих западные площадки... за исключением... исключением госорганов, которые попали почему-то в исключение. Т.е. по одному законопроекту госы не могут передавать любые, включая и ПДн, данные за пределы РФ, а по другому - можно. При этом законопроекты разрабатываются с разницей в месяц с небольшим двумя связанными структурами - Министерством и подчиненной ему службой. Но если министерство идет по традиционному пути и размещает свой законопроект на портале regulations.gov.ru с целью проведения общественной экспертизы, то Роскомнадзор, заручившись поддержкой Администрации Президента, вносит свой законопроект через депутатов сразу в Госдуму, минуя все общественные экспертизы. И если законопроект третьего человека в стране (председателя верхней палаты парламента - госпожи Матвиенко), внесенный в декабре 2013 года, до сих пор даже на первое чтение не был вынесен, то законопроект Роскомнадзора за неделю с момента внесения очень уж быстро пролетел этот этап. Скажу больше. Каким-то образом на сайте Госдумы уже выложен текст законопроекта к третьему чтению; при условии, что и второго еще не было и его результаты (какие поправки пройдут, а какие нет) формально неизвестны. Вот как так можно? Я уже не буду вспоминать про законопроект "О безопасности критической информационной инфраструктуры", в котором даже термин КИИ менялся неоднократно за непродолжительное время...

Про отсутствие здравого смысла у инициаторов некоторых законопроектов я и вовсе не говорю. Про то, что законопроект по запрету хранения ПДн россиян за пределами РФ направлен против иностранных социальных сетей, понимают все. Но почему из-за должны страдать все граждане России, которые теперь не смогут заказать авиабилеты, гостиницы, пройти обучение или лечение, купить что-нибудь в Интернет-магазине?.. Почему ради сиюминутной выгоды по вставлению пистона Twitter'у должны страдать все остальные, включая и самих чиновников?.. Почему из-за неспособности бороться с детской порнографией (а уж законов по этой теме напринимали) депутат Мизулина решает наплевать на право на свободу доступа к информации и ввести порнофильтр в обязательном порядке для всех нескольких десятков миллионов граждан России? Почему она не может понять, что даже в случае принятия такого закона через месяц 40 миллионов россиян принесут операторам связи заявление на отключение порно-фильтров и благая идея защитить детей опять обернется пшиком?

Почему вместо того, чтобы Роскомнадзору заниматься своим прямым делом по защите прав субъектов ПДн, он переориентировался на гнобление операторов? Почему в большинстве европейских стран уполномоченный орган помогает операторам ПДн, а у нас карает? Почему во всем мире идут в сторону снижения жесткости обязательных защитных мер в сторону введения требований по уведомлению об утечках ПДн, защите от нанесения реального ущерба субъекту и введения ответственности за неуведомление и нанесение реального ущерба, а у нас РКН всеми правдами и неправдами выступает категорически против обязательного уведомления об утечках, ссылаясь на нехватку кадров? А ведь именно это реально может защитить субъектов и поднять ответственность операторов ПДн, т.е. именно то, чем и должен заниматься РКН. Почему на ведение "черных списков", блокирование Интернет-ресурсов, подсчет кликов и блогеров у РКН находятся ресурсы, а на защиту граждан нет? Где логика?

Как можно трезво оценивать то, что сейчас творят субъекты законодательной инициативы и приближенные к ним лица? Ведь у нас отсутствует единая стратегия законодательного развития отрасли ИТ и ИБ. На отчеты Минюста о правоприменительной практики все плюют и делают то, что хотят. Не то, что надо, а то, что хотят, мало с кем согласуя свои действия. Поэтому и получается у нас то "лебедь, рак и щука", то "лебедь раком щуку", то иные комбинации этих трех слов. Делать прогнозы в области законотворчества становится нереально. Даже на уровне 50 на 50 нет гарантии, что ты попадешь в правильный сектор.

Вот есть люди-флюгеры, которые мечутся то туда, то сюда и постоянно пытаются подстроиться под текущий момент или лавируя между мнениями, желая угодить и нашим и вашим. А есть целые отрасли, которые "управляются" такими людьми, которые по десять раз на дню меняют свое решение и нет у них стержня и долгосрочной (или хотя бы среднесрочной) стратегии развития. И как можно выстраивать хоть какие-то длительные отношения в такой ситуации? Никак. И тут неприменимы даже методы agile-разработки, о которых я уже писал применительно к ИБ. Даже с ними существует общее понимание конечной цели. Она может немного видоизменяться, но общее направление все равно понятно. Сейчас в России даже общего направления нет. Еще несколько месяцев назад мы жили в мире и дружбе со всем ИТ-миром. Сегодня Россией движет лозунг "Зато Крым наш". Завтра будет "А после нас хоть трава не расти". Потом "Вернем Аляску и Форт-Росс". Потом "русский и китаец - братья навек". Потом... Да мало ли что может быть потом. Как посмотрит Папа с большого экрана, как интерпретируют движение его бровей в Администрации, как донесут это до законодателей или исполнителей... Столько возможных ветвлений...

Какая-то длинная и слишком эмоциональная заметка получилась. Но по-другому никак. Все-таки это то, с чем нам приходится жить и работать. И придется подстраиваться именно под такое развитие событий, совершенно непредсказуемое и сложно прогнозируемое. А ИБ-отрасль как-то еще и развивается. Но не благодаря, а вопреки. Зато интересно :-)


03.07.14

Мое письмо в РКН по поводу законопроекта о запрете хранения ПДн россиян за границей

Являясь членом Консультативного совета РКН по защите прав субъектов персональных данных, решил высказаться по поводу принятого в первом чтении законопроекта о запрете хранения ПДн россиян заграницей. Посему написал в РКН письмо такого содержания:

"Как член Консультативного совета РКН по защите прав субъектов персональных данных решил высказать свою позицию по законопроекту о запрете хранения персональных данных российских граждан заграницей. Я считаю, что вопрос защиты прав субъектов ПДн очень важен, но в формулировке, принятой в первом чтении, законопроект несет с собой ряд серьезных подводных камней, которые могут повлечь за собой очень серьезные последствия как для российской экономики, так и для рядовых граждан. Я не имею ввиду не только и не столько рост затрат хозяйствующих субъектов, вынужденных создавать специально для РФ отдельные центры обработки и хранения персональных данных. И я не имею ввиду снижение инвестиционной привлекательности России для иностранных компаний. Речь о другом.

В частности, текущая формулировка нарушает права граждан по свободу перемещения, определенную в Конституции РФ. Например, немалое количество российских граждан привыкло отдыхать заграницей для чего они бронируют гостиницы, автомобили, авиа- и ж/д билеты. Информация о такой брони хранится не в России и хранится у нас не может, т.к. иностранные компании просто не знают о требованиях российского законодательства о защите прав субъектов Пдн. Но даже если они и узнают об этом, то врядли стоит ожидать, что какой-нибудь небольшой зарубежный отель будет переносить часть своей базы данных в Россию для хранения ПДн россиян. И, наконец, некоторые услуги в принципе не могут работать без хранения данных за пределами РФ. Например, система бронирования авиабилетов SABRE, услугами которой пользуются все авиакомпании мира, включая и наш Аэрофлот, требует, чтобы доступ к хранимым в ней данным о авиапассажирах был обеспечен и для всех иностранных компаний. А разделить персональные данные по их государственной принадлежности невозможно, т.к. при заказе авиабилетов данные о гражданстве не указываются. При этом эта проблема возникнет не только для рядовых граждан, но и для госслужащих и депутатов, которые выезжают в другие государства по служебной необходимости.

Другие примеры, которые могут прекратить свое существование в случае принятия законопроекта в текущем виде, – лечение за рубежом, заказ товаров в иностранных Интернет-магазинах, отправка детей в зарубежные детские лагеря или учебные заведения, зарубежные почтовые отправления, зарубежные системы переводов электронных и обычных денежных средств, регистрация Интернет-сайтов, участие в международных и заграничных мероприятиях и т.п. По сути под запретом окажется и электронная почта, т.к. в рамках e-mail передаются персональные данные (например, в заголовке или подписи сообщения e-mail) и они обязаны хранится на принимающей или отправляющей стороне, которая может быть за пределами РФ. Будут поставлены под сомнения и облачные услуги, о важности которых говорят в последнее время и регулированием которых сейчас занимается Правительство РФ. В условиях запрета хранения ПДн россиян за границей, облачные вычисления потеряют смысл. Также ПДн россиян часто раскрываются у публичных компаний, торгующихся на международных площадках (Вымпелком, МТС и т.п.). Обработка и хранение ПДн российских официальных лиц в рамках различных международных мероприятий также станет под запретом. Наконец, непонятно, что делать с ПДн субъектов с двойным гражданством.

Поэтому, как член Консультативного совета РКН по защите прав субъектов персональных данных, понимая и разделяя всю важность поднятой темы, я предлагаю внести в законопроект следующие изменения:

  1. Запретить хранение ПДн за пределами РФ только операторам, обрабатывающим персональные данные для целей предоставления государственных и муниципальных услуг, являющимися федеральными органами исполнительной власти, органами государственных внебюджетных фондов, исполнительными органами государственной власти субъектов Российской Федерации и органами местного самоуправления, осуществляющими исполнительно-распорядительные полномочия.
  2. Разрешить любому оператору, за исключением указанных в предложении №1, хранить ПДн россиян за пределами в РФ без ограничений (но с обязательным выполнением требования законопроекта об уведомлении РКН), но только в странах, обеспечивающих адекватную защиту прав субъектов ПДн.
  3. В случае необходимости обработки ПДн (за исключением операторов, указанных в предложении №1) за пределами стран, обеспечивающих адекватную защиту прав субъектов, делать это на основании согласия субъекта ПДн, данного в любой форме, позволяющей удостовериться в даче такого согласия.
  4. Разрешить хранение за пределами РФ общедоступных ПДн россиян.
Спасибо. Надеюсь мои предложения будут вами рассмотрены и учтены при рассмотрении законопроекта во втором или, возможно, третьем чтении."

Жду реакции...

01.07.14

Карты угроз в реальном времени

Может кто еще не видел и кому будет полезно - карты атак в реальном времени, отображающие вредоносную и хакерскую активность. В реальной жизни служб ИБ помогает не сильно (если не рассматривать национальные CERTы), но может использоваться для анализа тенденций, медитаций или просто как динамический фон при общении с журналистами. Все они используют схожую методику для своей работы, но вот сенсоры у них разные (количество и место установки), а поэтому и результаты тоже. Все ресурсы (исключая последний) бесплатны.

Карта Arbor и Google - http://www.digitalattackmap.com
Карта Arbor и Google
Карта IP-Viking - http://map.ipviking.com (на мой взгляд, одна из наиболее интересных)

Карта IP Viking

Карта Лаборатории Касперского - http://cybermap.kaspersky.com

Карта Лаборатории Касперского
Карта HoneyMap - http://map.honeynet.org (когда снимал скриншот, данные от обманных систем не отображались)

Карта HoneyMap

Карта Дойче-Телеком - http://www.sicherheitstacho.eu

Карта Дойче-Телекома


Карта Akamai

Карта Cisco Senderbase - http://www.senderbase.org

Cisco SenderBase

Карта Lancope StealthWatch Lab Intelligence Center - http://www.lancope.com/slic/

Карта Lancope SLIC
Карта ThreatMetrix - http://www.threatmetrix.com/threatmetrix-labs/web-fraud-map/

Карта ThreatMetrix

Карта AlienVault - http://reputation.alienvault.com/panel/radar.php (у меня не заработала)

Карта AlienVault

Карта ботнетов QRator - https://radar.qrator.net/botnetmap/

Карта QRator

Карта АСУ ТП - https://ics-radar.shodan.io

Карта Shodan с АСУ ТП
Карты, создаваемая на платформе FireEye - в Интернет не доступна (часть продукта)

Карта FireEye

30.06.14

Как объединить отрасль ИБ?!

Не часто публикую чужие презентации, но тут делаю исключение. Эта презентация закрывала сессию "Россия защищенная" и, по сути, аккумулировала все ранее сказанное. Можно сказать, что это декларация нашей сессии :-)



Как в культурной столице говорили про культуру ИБ

На прошлой неделе я (вместе с Рустемом Хайретдиновым) модерировал секцию по информационной безопасности на питерском форуме "ИТ-Диалог 2014", организованном Комитетом по информатизации и связи Санкт-Петербруга и журналом IT Manager (за что им огромное спасибо). Ну а поскольку мероприятие получилось очень интересным, то и рассказать про него надо отдельно.

И дело тут не столько в месте проведения и культурной программе. Они были на высоте. Не каждый день удается ночевать в президентском номере (весь комплекс готовился к встрече президентов G20), а ужинать в Константиновском дворце, находящиеся под охраной ФСО :-)


Интерес представляла именно деловая программа секции "Россия защищенная", на которой были представлены доклады и от регуляторов (ФСТЭК и Роскомнадзор), и от государственных органов, которые делились своими наболевшими вопросами и опытом их решения. Началась секция с выступления местного Роскомнадзора (Дмитрий Иванов). Хоть и без презентации, но живенько были описаны типовые ошибки, допускаемые государевыми операторами ПДн в СЗФО:

  • Неназначение лица, ответственного за обработку ПДн
  • Отсутствие внутреннего контроля за порядком обработки ПДн
  • Нет типовых форм согласия на обработку ПДн
  • Не утвержден список должностей, допущенных к обработке ПДн
  • Не утвержден порядка доступа в помещения, в которых ведется обработка ПДн
  • Не утверждена политика в отношении обработки ПДн
  • После последнего уведомления РКН внесены изменения в обработку ПДн, о которых не послано повторное уведомление.
При этом соотношение обращений граждан в отношении нарушения их прав субъектов ПДн не в пользу коммерческих компаний - против них было 917 обращений в 2013-2014-м году, а против госорганов всего 7. Соответственно нарушений у коммерсантов было за этот период найдено 200, а у госов - 14. Предписаний соответственно 32 и 3.

Вторым выступал представитель ФСТЭК (Михаил Щитников). Он очень неплохо описал 17-й приказ, используя также неплохую презентацию. Наиболее интересно, на мой взгляд, было послушать его в отношении ряда возникающих вопросов. Что такое ГИС? Является ли ИС бухгалтерии ГИС? Попадают ли бюджетные учреждения или ФГУПы под действие 17-го приказа и под контроль ФСТЭК? 



Очень интересным было выступление Сергея Кучина, министра ИТ и связи Нижегородской области. Сергей, непонаслышке сталкивающийся с требованиями различных регуляторов и пытающийся увязать из с необходимостью внедрения современных ИТ, поднимал непростые вопросы. Например, как импортозамещение влияет на обязательства России, вступившей в ВТО? Хочу отметить, что этот вопрос вообще никогда до Сергея не поднимал на моей памяти. А ведь он очень непрост. Ведь запрет закупки иностранных технологий противоречит требованиям ВТО. Другой вопрос был более традиционен, но не менее важен - квалификация специалистов по ИБ и их достаточно число. Зарплаты государственных служащих не могут конкурировать с коммерческими организациями и надо что-то делать. В качестве варианта Сергей предложил ввести специальный коэффициент для расчета зарплаты. Правда, сами госорганы на это идут с трудом и нужна внешняя рекомендация. Идеально, если бы ФСТЭК могла такую рекомендацию подготовить - она бы помогла многим государственным и муниципальным специалистам по ИБ.

Еще одним вариантом решения кадрового вопроса могли бы стать обучающие курсы. Причем как онлайн (и тут ФСТЭК могла бы стать инициатором подготовки таких курсов, которые могли бы давать базу для профильных и непрофильных специалистов), так и очные. Мне очень понравилась инициатива Правительства Хабаровского края, которое с помощью АИС провело глубокое обучение своих специалистов по широкому кругу вопросов, связанных с ИБ.


Еще один поднятый Сергеем Кучиным вопрос давно известен представителям госорганов, вынужденных применять для своей работы нестыкующиеся между собой СКЗИ разных производителей - для СМЭВ, для внутренного электронного документооборота, для иных задач. И хотя такие продукты как "Континент", Застава, VipNet, С-Терра реализуют один и тот же алгоритм шифрования, единого протокола, который бы позволил им взаимодействовать друг с другом, они не используют. А значит госорганам приходится ставить такие железки в ряд, тратя бюджетные средства на ненужные танцы с бубном, в попытке заставить работать отечественные СКЗИ вместе.


Также мне запомнились выступления Андрея Лихолетова (Санкт-Петербург) и Дмитрия Едомского (Коми), которые, не сговариваясь, подняли очень непростую тему культуры ИБ на государственных предприятиях. Оба представляли именно сторону заказчиков и поэтому их выступления были очень неожиданными. Никакой техники, никаких рассказов о законодательстве... Но может быть оно и закономерно. Все-таки Питер - это культурная столица и где, если не в ней говорить о культуре ИБ.

Задал тон Андрей Лихолетов, который начал с основ формирования культуры ИБ, рассказал о том, что препятствует повышению культуры ИБ и т.п. Особенно интересно, что сейчас Совет Безопасности рассматривает документ по этой же тематике - "Основы государственной политики в области формирования культуры информационной безопасности". Становится очевидно, что только техническими мерами (да еще и преимущественно иностранного происхождения) защищенности государственных ИС не достичь. А в условиях низкой зарплаты и высокой текучки кадров эта задача становится и вовсе неподъемной. Поэтому так важно работать с людьми, снижать вероятность реализации угроз через человеческий фактор, включать рядовых сотрудников в процесс обеспечения ИБ.



Тему продолжил Дмитрий Едомский, который рассказал о том, как в Республике Коми внедряются мероприятия по повышению культуры ИБ. При этом рассказ изобиловал интересными практическими примерами.


Решение возникающих проблем с низким уровнем культуры ИБ обеспечивается на разных уровнях и разными методами - организационными и техническими.


Помимо упомянутых выступлений были также доклады и экспертов - от Microsoft, Positive Technologies, Лаборатории Касперского и Digital Security. Выступал и я, как представитель генерального партнера форума. Рассказывал о том, как иностранные ИТ-компании могут повысить уровень доверия к своей продукции в России (на примере Cisco).



ЗЫ. Завершал сессию Рустем с презентацией о том, как объединить усилия отрасли и всех ее игроков. Ей я посвящу отдельную заметку.

25.06.14

Персданным россиян хотят сделать только российскую прописку

Депутаты Госдумы Луговой, Деньгин и Ющенко решили вновь проявить заботу о народе и внесли вчера в Госдуму законопроект №553424-6 "О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)", посвященный, как это ни странно, национальной безопасности Российской Федерации.

Суть законопроекта проста до безобразия - персданные россиян должны храниться (а также записываться, систематизироваться, уточняться, накапливаться, извлекаться) только на территории Российской Федерации. Именно такую норму предлагается внести в ст.18 ФЗ-152. Исключений из данного требования всего 4:
  • обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей
  • обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве
  • обработка необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг
  • обработка необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Остальные нормы законопроекта уточняют особенности контроля исполнения данной нормы:
  • устанавливается право РКН ограничивать доступ к ПДн, осуществляемой с нарушением законодательства
  • устанавливается обязанность оператора уведомлять РКН  месте хранения ПДн россиян
  • устанавливается порядок ограничения доступа к информации, обрабатываемой с нарушениями законодательства
  • устанавливается необходимость создания реестра нарушителей законодательства о ПДн.
По мнению депутатов бюджетных средств на реализацию данного законопроекта не потребуется. Видимо и реестр сам создастся и вестись он будет сам :-)

Инициатива похвальная, но вот только есть ряд нюансов с ее реализацией. Сразу возникают очевидные вопросы. Попадает ли оформление авиабилетов через систему бронирования SABRE  (Аэрофлот ею пользуется) под 4 исключения? Не уверен. Это коммерческая система и под действие международных договоров или федеральных законов не подпадающая. Также как и бронирование гостиниц, билетов и автомобилей при поездках заграницу, а также при покупке в иностранных Интернет-магазинах. А работа иностранных компаний (или их представительств) в России?.. Она тоже будет сильно осложнена в случае принятия этого законопроекта. Например, в случае с кадровым учетом российских сотрудников в общей HR-системе за рубежом, или при выдаче кредитов представительствами западных банков, или при использовании АБС головного зарубежного банка.

И это именно те случаи, которые не совсем понятно, как реализовывать в случае принятия закона. Есть и другие примеры, на которые, видимо, и направлен законопроект. Интернет-компании, социальные сети и т.п. Если ПДн хранятся здесь, то по суду или в рамках ОРД эти данные можно легко истребовать. Возможно именно в этом кроется смысл данной депутатской инициативы?..

ЗЫ. Обещал сегодня рассказать про разработчиков, но появление этого законопроекта внесло коррективы в мои планы. Напишу про разработчиков уже завтра.