Семинар Cisco по информационной безопасности банков

Вчера мы (т.е. Cisco) провели онлайн-семинар для банков по информационной безопасности. Выступал я ;-) С тремя презентациями:

• Архитектура информационной безопасности банка
• Стратегия информационной безопасности Cisco и пути ее раззвития
• Защита персональных данных в кредитном учреждении.

Семинар записывался с помощью встроенных в WebEx технологий. Запись выложена тут. Ее длительность 3 часа 5 минут.

О банковском эгоизме

Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:

Personal Data In Russia And Other Countries

View more documents from lukatsky.

Конференция была разделена на три части:

• общее введение в проблему
• рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
• презентация рекомендаций для банков.

В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:

• ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
• лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.

ФСТЭК тоже выступал, но из интересного только два момента запомнилось:

• четверокнижие - это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
  
• ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.

 Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):

• практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
• организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.

ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.

Что должна включать в себя модель угроз?

Вопрос непраздный и часто возникающий. Чем руководствоваться при создании модели угроз? Есть ли рекомендации ФСТЭК и ФСБ по данному вопросу? Есть ли готовые шаблоны? К сожалению, на последние 2 вопроса ответа со стороны регуляторов нет. Поэтому все руководствуются здравым смыслом и своим пониманием того, как это может быть сделано. Уральцам чуть проще - у них есть методические рекомендации, в которых есть пример шаблона по модели угроз. Он состоит из следующих разделов:

• общие положения
• перечень угроз, представляющих потенциальную опасность для ПДн, обрабатываемых в ИСПДн
• определение актуальных угроз.

Согласно ГОСТ Р 52448-2005 модель угроз должна включать:

• Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты
• Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей
• Стадии жизненного цикла сети электросвязи
• Описание процесса возникновения угроз и путей их практической реализации

Приложение к модели должно включать:

• Полный перечень угроз
• Базу данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением.

Уже неплохо, но содержание тоже неполное. Гораздо полнее и интереснее содержание модели угроз описано в ГОСТ Р 51344-99:

• Характеристика оборудования (техусловия, область применения, использование по назначению)
• Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)
• Идентифицированные опасности
• Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)
• Сомнения, связанные с использованными данными и источниками
• Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)
• Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска
• Остаточные риски.

Но самым лучшим, на мой взгляд, шаблоном содержания можем похвастаться ГОСТ Р 51901.1-2002, согласно которому модель угроз должна строиться по следующему сценарию:

• Краткое изложение анализа
• Выводы
• Цели и область применения анализа
• Ограничения, допущения и обоснование предположений
• Описание соответствующих частей системы
• Методология анализа
• Результаты идентификации опасностей
• Используемые модели, в т.ч. допущения и их обоснования
• Используемые данные и их источники
• Результаты оценки величины риска
• Анализ чувствительности и неопределенности
• Рассмотрение и обсуждение результатов
• Рассмотрение и обсуждение трудностей моделирования
• Ссылки и рекомендации.

ЗЫ. Это все из курса по моделированию угроз ;-)

Перенос сроков ФЗ-152?!

Вопросов вчерашняя статья в "Газете" о переносе сроков выполнения ст.25.3 ФЗ-152 на 2 года вызвала немало вопросов. При этом мало кто подумал о том, что журналисты не до конца разобравшись с тем, что же говорилось на заседании, выдали "сенсацию". На самом деле все немного не так - Минкомсвязь не имеет права переносить сроки или осовобождать кого-то от обязанности выполнения закона - не в их это компетенции. Минкомсвязь просто озвучил то, о чем ему давно говорили участники рынка - выполнить требования ст.25.3 за оставшееся время невозможно. Поэтому министерство направило в ГосДуму ходатайство о сдвиге сроков. Но в ГД такое предложение было уже давно. От Минкомсвязи в ГД ушло и несколько иных предложений, но назвать их революционными язык не поворачивается - все уже звучало на парламентских слушаний.

ЗЫ. На сайте Минкомсвязи открылся раздел по ИБ и ПДн.

Архитектура ИБ - статья в ДИС

Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад ;-)  Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности - теме нечастно возникающей в прессе и на конференциях.

О сроках обработки ПДн

Одна из проблем, которая часто возникает при реализации проектов по ПДн - правильное определение сроков хранения (обработки ПДн). Зададим малый срок и придется их удалять, несмотря на наличие потребности в их обработке. Зададим большой срок и будем тратить денег больше, чем надо. Как же учесть всевозможные сценарии и цели обработки ПДн и не придумывать срок хранения для каждой пары "ПДн и целт их обработки".

Предлагаю следующую формулировку для срока хранения: "В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства". На мой взгляд такая формулировка покрывает практически 100% ситуация с обработкой ПДн.

ФСБ опубликовала регламент проведения проверок по ПДн

ФСБ на своем сайте опубликовала типовой регламент проведения проверок по персональным данным.