18.09.14

Роскомнадзор остался без члена

Летом 2012-го года меня пригласили войти в состав Консультативного совета Роскомнадзора по защите прав субъектов персональных данных. В тот момент многие коллеги высказывали скепсис относительно этой структуры. Да и я сам имел неоднозначное отношение к этой структуре. Вот что я писал 2 с лишним года назад: "Ну а дальше началось то, что вызвало у меня двойственное ощущение от Совета. С одной стороны мне, безусловно, приятно включение в состав этой организации, что позволяет надеяться на то, что мое мнение будет услышано. С другой, складывается впечатление, что Общественные и Консультативные советы нужны только для того, чтобы придать уже принятым по сути решениям видимость наличия независимой оценки общественными организациями. Это, кстати, тоже занесу в плюс - понимать как работают такие советы тоже полезно. Но я все-таки надеюсь, что мое впечатление обманчиво и к мнению участников все-таки прислушаются и, что самое главное, учтут."

Теперь, спустя два года могу сказать, что мнение о "ширме" у меня скорее усилилось, чем изменилось в лучшую сторону. А уж после ухода Шередина и вовсе все стало как-то совсем уж худо. И советы проходили редко и законопроекты никакие не обсуждались и мнение ничье не учитывалось. Дошло до того, что некоторые члены КС вышли из него чуть ли не со скандалом, т.к. никакого выхлопа из практических предложений и обсуждений не было.

Я продолжал оставаться членом КС и на последнее предложение продолжить работу я ответил положительно. Было это совсем недавно. 3-го сентября я даже получил приглашение на очередное заседание совета, которое должно было пройти вчера. В понедельник я переписывался с представителем РКН о том, какая у меня должность (видимо решался вопрос о новом приказе о составе КС РКН), а во вторник был опубликован новый список членов совета... уже без меня. Сам список кстати сильно пополнел - число представителей власти увеличилось почти вдвое.

Когда я во вторник увидел обновленный список и имея на руках приглашение о посещении заседания совета, у меня закрались смутные подозрения, что меня там не ждут. Причину такого поворота я до конца не понял. То ли моя работа в представительстве американской компании, то ли мое письмо в РКН по поводу 242-ФЗ (на тот момент еще законопроекта). Кстати, на письмо мне так никто и не ответил. А ведь я его писал не как хрен с горы, а как член Консультативного совета. Видимо кому-то не понравилась критика законопроекта. И этот кто-то известен :-) Письмо было направлено (как выяснилось позже) автору законопроекта о запрете хранения ПДн россиян за границей. И вот то ли первое, то ли второе, но повлияло на решение РКН об исключении меня из состава членов.

Но у чиновников как-то непринято уведомлять о таких решениях. Поэтому я во вторник вечером решил уточнить, по ошибке меня нет в списке или со злым умыслом?.. И вот вчера я получил ответ, поразивший меня глубиной своей проработки. Всего одна фраза: "Вы исключены из состава в связи с несоответствием (изменением) занимаемой должности". Должность у меня не менялась последние 10 лет работы в компании (кстати, я вчера отметил свое первое десятилетие в Cisco). А вот с формулировкой о несоответствии занимаемой должности в качестве причины исключения человека из общественного совета я сталкиваюсь впервые. РКН просто отжег :-)

Вот так закончилась моя эпопея с членством в Консультативном совете РКН по защите прав субъектов персональных данных. Благодарю коллег за сотрудничество и желаю КС РКН продолжать также успешно работать на благо российских граждан!

ЗЫ. Кстати, законопроект о переносе сроков вступления в силу 242-ФЗ с 01.09.2016 на 01.01.2015 будет рассмотрен в ГД в первом чтении в эту пятницу, 19-го сентября.

17.09.14

Сказ про вампира-педераста, задушенного импотентом из спецназа

Вообще занятная ситуация сейчас творится в нашей с вами сфере. На ум приходит две картины. Первая навеяна опусами некоторых отечественных акул пера, которые не разбираясь в теме, желая успеть к дедлайну и застолбить за собой право первой ночи, выпускают материалы, которые либо вольно, либо невольно не соответствуют действительности. На просторах Интернета я нашел картинку, которая хорошо иллюстрирует то, что сейчас пишут СМИ (причем в разных странах) на тему текущей обстановки.


Как обычно поступает журналист, которому надо срочно сдать в номер материал? В социальной сети (ФБ или Twitter) находится какой-нибудь "жареный" факт в виде краткой реплики или высказывания неизвестного журналисту человека. Например, "компания Х отказала мне в поставке оборудования". Но это мелко и журналисту малоинтересно. Поэтому он берет первоначальный факт и транслирует его в "компания Х присоединилась к санкциям" или "компания Х прекращает поставки своего оборудования в Россию". Звучит зловеще. К такому заголовку даже текст не нужен - глаз автоматически за него ухватится и у читателя сложится мнение, с которым мы сейчас все сталкиваемся.

На деле может оказаться так, что никакого запрета на ввоз нет, а имело место изменение процедуры ввоза. Или партнер решил ввезти оборудование, которое он раньше не ввозил и по которому он не знаком с правилами оформления документов. Или оборудование новое и постановлено в очередь на изготовление. Или наоборот оборудование снимается с производства и заказы на него уже не размещаются. И ладно бы автор статьи или ее читатели решили самостоятельно разобраться в ситуации и провели бы свое мини-расследование. Нет! Вера на слово и распространение слухов. Мне напоминает такое отношение к новостным заголовкам классику советского кино:



Тут впору давать ссылку на рекомендации бывшего главреда издания Lenta.ru Галины Тимченко, которая советовала, как надо читать отечественные СМИ:


К сожалению, этой панике подвержен не только обыватель, но и специалист по ИБ, который начитавшись Интернет и СМИ и наслушавшись коллег-"специалистов", принимает все за чистую монету. И все это вместо того, чтобы спокойно разобраться самому, перепроверить "факты" по нескольким источникам или просто немного выждать, когда ситуация уляжется и рассосется сама собой.

Я хочу напомнить читателям начало 2010-го года. Тогда, Таможенный союз (Россия, Казахстан и Белоруссия) ввели новые правила ввоза шифровальных средств. Для многих производителей это была совершенно новая процедура, к которой многие были просто не готовы. Заказчики стали сталкиваться с увеличением срока поставки запрашиваемого оборудования, а иногда и с требованием оформления каких-то запросов в ФСБ. СМИ тогда тоже подхватили эту тему, преподав ее как "запрет на ввоз в Россию западной криптографии" (приведенные выше примеры про запрет поставки оборудования или присоединение к санкциям как раз мне встретились 4 года назад, а не сейчас, как могли подумать многие). А ведь никакого запрета не было - было всего лишь изменение процедуры ввоза. Через несколько месяцев ситуация устаканилась, производители разобрались с новыми правилами таможни, ФСБ и Минпромторга и зажили как раньше.

Еще раньше российский офис Cisco переходил на схему DDU. Это полностью меняло всю схему логистики и доставки продуктов в Россию. И тоже некоторые желтые издания извратили связанное с изменением цепочки поставки время доставки наших решений до конечного потребителя, превратив его сначала в уход Cisco из России, потом в снижение объема продаж, потом еще в какую-то ахинею. И вновь опасения СМИ не оправдались, и мы вернулись к нормальному процессу логистики.

Аналогичная ситуация произошла совсем недавно, в июле. Жителя Ульяновска хотят наказать (кто-то даже пишет, что чуть ли не арестовывают) за неверное декларирование заказанного на зарубежном Интернет-магазине смартфона. "Демократические" и оппозиционные СМИ начинают кричать о кровавой гебне, закручивающей гайки даже для обычных граждан, желающих приобщиться к прогрессу и заказывающих в Интернет-магазинах товары для личного потребления. Тогда еще так "удачно" сложилось, что власти решили уменьшить сумму, на которую в Интернет можно было покупать товаров. А ведь ничего нового или сверхъестественного не произошло - правила игры были известны несколько лет. Скажу более. Регуляторы были лояльны в течение нескольких лет и не требовали от физлиц соблюдения условий декларирования товаров, попадающих под определенные ограничения. И только когда таможня решила выполнить возложенные на нее обязательства (нужны они или нет - другой вопрос), все заголосили о запретах и ограничениях. Только вот ни граждане про их существование не знали, ни журналисты не удосужились их изучить перед своими "разоблачениями". Зато шумиха была знатная.

Вот и сейчас ситуация сейчас ровно такая же. Неразбериха, непонимание сложившихся и измененных процессов, слухи, желание "жареного", журналисты, постоянно подливающие масла в огонь... Исправить эту ситуацию мне не под силу. Я вообще не хотел про нее писать, считая, что специалисты в отрасли - люди здравые и умеют отделать мух от котлет, а слухи от реальности. Но увы :-( В ФБ эта тема стала всплывать с завидной регулярностью. Постоянно идут ссылки на доверенные (но неназванные) источники, на виденные (но непоказываемые) документы. И многие ведутся :-(

Поэтому, в качестве завершающего аккорда, я бы вновь обратился к классике советского кино, в котором дан рецепт, как безболезненно для душевного спокойствия и пищеварения пережить непростое время, в котором нам довелось жить последние месяцы и, возможно, придется жить еще какое-то время:



Как-то так...

16.09.14

Мое выступление на BIS Summit

19 сентября Москва в очередной раз встретит конференцию BIS Summit, ранее называемую DLP Russia. Такое изменение название связано в первую очередь с некоторой сменой фокуса у мероприятия с тематики утечки информации в сторону большей бизнес-ориентированности. Пригласили выступить на мероприятие и меня. Если в предыдущие года я фокусировался сначала на требованиях к DLP-решениям и законодательстве в области ИБ, то в этот раз наступлю на больную для многих мозоль финансового измерения ИБ.

К сожалению, времени выделено мне совсем немного, - всего 20 минут. Поэтому решил в этот раз не растекаться мыслью по древу, а привести 5 реальных кейсов, показывающих успешный и неуспешный опыт финансового обоснования проектов по ИБ в компаниях разных - отечественных и зарубежных, крупных и не очень. Задача перед мной поставлена (мной же) простая - показать возможные пути решения данной непростой задачи и показать, что, к сожалению, никакого универсального способа удовлетворения нужд бизнеса и безопасников нет. В каждом случае это особая, а местами уникальная ситуация и исходные данные, которые сложно транслировать на другие, даже схожие по бизнесу и масштабу компании. Однако при этом есть и ряд ключевых общих для многих ошибок, которые я тоже постараюсь рассмотреть в своей небольшой презентации. В заключение приведу пример проверенной структуры бизнес-кейса, которая помогает обосновывать перед бизнесом проекты по ИБ.

Приходите или подключайтесь дистанционно, будет интересно.

15.09.14

Доступ в Wi-Fi по паспорту и ФЗ-152

Пока прокуратура начала активные проверки по части использования публичных хотспотов "без паспортов", а многие компании начинают задумываться о том, как эту задачу решить технически, пока все ждут, когда Алексей Волков опубликует продолжение своего опуса (базируясь на ответе Минкомсвязи), а ваши канцелярии думаю, что делать с письмами, аналогичными нижеприведенным, я решил посмотреть, как соотносится пресловутое ПП-758 с законом о персональных данных.


Если посмотреть на возможные сценарии, на которые распространяется ПП-758, то у нас получается, что речь идет только о сотрудниках и посетителях, которые пользуются вашим оборудованием (ПК, ноутбуками, смартфонами, планшетниками). Такие ситуации возникают в корпоративной среде достаточно часто - при организации как обычного, так и гостевого беспроводного доступа. Если выполнять вышеприведенное письмо Вымпелкома, то компании, внедрившие у себя Wi-Fi, должны передавать оператору связи ФИО, место жительства и паспортные данные, а это у нас ПДн, подпадающие под требования ФЗ-152.

Итак, что должна сделать компания, получившая такое письмо:

  • Получить согласие субъекта ПДн на передачу таких данных оператору связи. Цель обработки новая, поэтому при изначально неправильной выбранной цели/целей обработки ПДн, вам придется не только переделывать форму согласия, но и переполучать его заново. Но тут есть три нюанса. Во-первых, согласно ГК "закон обратной силы не имеет" и получать согласия вы должны только с момента вступления в силу ПП-758. Во-вторых, согласно ст.6.1.2 ФЗ-152 получать согласие не надо, в случае выполнения возложенных на оператора ПДн обязанностей. В-третьих, для данной обработки оператором ПДн являетесь не вы, а оператор связи и задача получать согласие лежит на нем. Опираясь на эти нюансы можно согласие не получать и, если РКН или прокуратура будут настаивать на получении такого согласия, отказать им на законных основаниях (если вы готовы спорить с регуляторами).
  • Определить лиц, допущенных к обработке передаваемых ПДн оператору связи. Уточнить, включены они в уже утвержденные приказы или нет?
  • Определить срок хранения указанных ПДн. Для работников этот срок может быть равен сроку действия трудового договора + 1 квартал, а для посетителей - 6 месяцам (вы можете и больше указать, если субъект с этим согласится).
  • Для посетителей, пользущихся вашим Wi-Fi с ваших устройств, разработать поправки в положение об обработке ПДн (политику в отношении обработки ПДн), с которыми надо будет посетителей знакомить.
  • Определить порядок передачи ПДн оператору связи. Тут возникает один нюанс. Согласно 378-му приказу ФСБ, эти данные должны шифроваться с помощью сертифицированных СКЗИ. Это если следовать буквально приказу и признавать нарушение конфиденциальности серьезной угрозой. Правда, тут есть очередной нюанс. Хотя данные это ваши, оператором ПДн этих данных является оператор связи. Именно он устанавливает порядок и цели обработки ПДн, так как это определено ПП-758. Иными словами, и модель угроз должны определять не вы, а оператор связи. И если оператор связи решит, что конфиденциальность данных обеспечить надо, то тут увы - надо что-то решать. Правда, решать будет тоже оператор связи - если он от вас что-то требует, то и обеспечить СКЗИ тоже должен он (или предложить иной способ обеспечения конфиденциальности). На вашем месте, при получении такого запроса, я бы направил встречное письмо с просьбой уточнить механизмы защиты передаваемых по открытым каналам связи данных (e-mail у нас пока еще механизм открытый). Ну и как подсказка - посмотрите как поступают сами госорганы, чтобы уйти от применения СКЗИ.
  • Если в договоре между вами и оператором связи нет ни слова про обработку ПДн и обязанности сторон по данному направлению, то стоит задуматься, наконец-то, об обновлении договорных отношений. Как минимум, для выполнения ст.6.3 ФЗ-152.
  • Обновите порядок реагирования на запросы субъектов (а они точно будут).
  • Обновите порядок уничтожения (обезличивания или архивирования) собираемых данных.
  • Скорее всего вам не понадобится обновлять свое уведомление в РКН, но вдруг... Проверьте.
  • Передача указанных ПДн осуществляется с помощью уже известной ИСПДн, для которой определен уровень защищенности и защитные мероприятия? Если да, то хорошо. Если нет, то стоит решить и этот вопрос.

Я понимаю, что для данного вида обработки оператором ПДн будет являться оператор связи, а не вы. Но регуляторы в лице прокуратуры или РКН не очень любят это деление на оператора и обработчика и поэтому лучше исходить из худшего сценария развития событий.

12.09.14

Сказ о том, как о моем неутекшем пароле побеспокоились

Вчера я получил от Parallels письмо следующего содержания:



Вроде все понятно. Произошла компрометация большого числа почтовых учетных записей Яндекса, Mail.ru и Gmail. Некоторые компании, у которых пользователи регистрировались с указанием e-mail с указанных почтовых сервисов, решили побеспокоиться о своих клиентах и, кто-то просто предупредил о необходимости сменить пароль, кто-то решил сработать на опережение и заблокировал учетные записи, так сказать "во избежание".

И вот тут начинается самое интересно. Ни одной моей учетной записи скомпрометировано не было, но я все-таки получил сообщение о блокировке. Яндекс утверждает, что утечка произошла не у них, а путем фишинга и снифинга паролей у пользователей в течение длительного времени. Кто-то считает, что дело не чисто и есть некоторые сомнения в невиновности Яндекса. Я не буду сейчас вникать в это. Я хочу вернуться к теме, которую я поднимал в прошлом году - про слишком избыточную привязку к e-mail, как средству идентификации пользователя.

Что сделал Parallels, решив побеспокоиться обо мне? Заблокировал учетку и попросил доказать, что я - это я. И вот дальше самое интересное. Я захожу по ссылке на сайт Parallels, где меня просят указать мой... якобы "скомпрометированный" e-mail. Зачем? Вот какой в этом потаенный смысл? Если мой почтовый ящик не скомпрометирован, то мне достаточно было бы прислать напоминание о необходимости более внимательно относиться к своей безопасности или попросить привязать мою учетную запись не только к e-mail, но и к номеру мобильного телефона или использовать другой механизм (тот же Google Authenticator).


Если же мой почтовый ящик скомпрометирован, а Parallels именно это и подозревает (иначе нафига было блокировать мою учетную запись), то зачем отправлять на скомпрометированный e-mail инструкцию и ссылку на восстановлению доступа? Получается замкнутый круг :-(


Спустя какое-то время я получаю на ту же самую почту стандартное письмо с ссылкой на смену пароля.


Пройдя по ссылку, я меняю пароль и вуаля, я вновь имею доступ к своей учетной записи. По сути я проделал кучу манипуляций только ради того, чтобы сменить пароль к моей учетной записи на сайте Parallels. При этом, если раньше злоумышленник пароля на доступ к Parallels не знал вовсе, то теперь именно он его и установил (при условии компрометации почтового ящика). Удобно, ничего не скажешь.


Собственно винить Parallels тут и сложно и должно. Сложно, потому что у них врядли есть мои контакты кроме e-mail. Должно, потому что давно стоило бы использовать многофакторную аутентификацию и не просто запросить у меня номер мобильного телефона (такое поле есть в профиле пользователя, но оно необязательное), но и использовать его для восстановления доступа к учетной записи. Но другим компаниям, которые используют регистрацию пользователей на своих сайтах стоит подумать над изменением процесса регистрации, а точнее механизма идентификации пользователя.

ЗЫ. Единственное, что меня смущает во всей этой истории - позиция CISO Parallels. Алексей утверждает, что восстановление пароля по описанной мной процедуре не зависит от компрометации почтового ящика и полностью безопасно. Возможно это и так, и от пользователей просто скрывается сверхсекретная и сверхзащищенная процедура идентификации пользователя скомпрометированного почтового ящика. Но вот гложут меня сомнения все-таки... 

11.09.14

Всем лицензиатам ФСТЭК и ФСБ, а также операторам ПДн пора напрячься

5-го мая 2014-го года был подписан ФЗ-99, вносящий существенные изменения в 4-ю часть Гражданского Кодекса, а именно в вопросы организационно-правовых норм юридических лиц. Согласно сделанным поправкам, вступившим в силу с 1-го сентября 2014-го года, у нас теперь не будет ЗАО и ОАО - им на смену придут публичные и непубличные акционерные общества (чем-то мне это напомнило переименование милиции в полицию). Но дело не в самом изменении, а в его последствиях для отрасли ИБ. А они следующие:

1. Закон с тем же номером (99-ФЗ), но изданный 3-мя годами ранее, "О лицензировании отдельных видов деятельности", в статье 18 указывает случаи переоформления лицензий на лицензируемые виды деятельности. Согласно данной статье получается, что реорганизация, а также смена наименования юридического лица (а с 1-го сентября у нас именно это и произошло), требует переоформления ранее выданной лицензии. Иными словами, все лицензиаты ФСТЭК и ФСБ обязаны переоформить полученные ранее документы. Правда, 99-ФЗ от 2014-го года говорит, что наименования и учредительные документы юридических лиц, созданных до вступления в силу 99-ФЗ, должны быть приведены в соответствие с принятыми изменениями при первом изменении учредительных документов таких юридических лиц. Поэтому можно пока не торопиться. Если не будет прямого запроса от лицензирующих органов или если вы не кредитная организация.

2. Если вы кредитная организация, то на вас распространяется положение Банка России о внутреннем контроле 242-П, последнее изменение которого произошло 24-го апреля 2014-го года. Согласно новой редакции п.4.1 в кредитной организации помимо СВК должна быть создана еще и служба внутреннего аудита, что должно быть отражено в уставе кредитной организации. А так как раньше такой службы в банках не существовало, то это новация потребует изменения учредительных документов, что в свою очередь приведет к необходимости взаимодействия с ФСБ и ФСТЭК по поводу переоформления лицензии.

3. Согласно приказу Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" в уведомлении необходимо указывать наименование оператора ПДн и его организационно-правовую форму. Изменение этой информации (как и иной в ранее поданном уведомлении) требует посылки обновленного уведомления в Роскомнадзор. Так как 99-ФЗ от 2014-го года коснется очень многих юридических лиц, то всем им потребуется вновь напомнить о себе уполномоченному органу по защите прав субъектов персональных данных.

4. Ну и до кучи также потребуется переоформление аттестата аккредитации ФСТЭК, если он у вас есть (именно аттестата аккредитации, а не аттестата на объект информатизации).

А вот сертификаты на средства защиты, в которых упомянут заявитель или испытательная лаборатория, изменения не требуют и это хорошо :-)

10.09.14

Заложники наименований

Вчера, когда я написал про новый приказ ФСБ по защите ПДн, Алексей Волков не согласился со мной в той части, что раз приказ называется "...с использованием средств криптографической защиты информации...", то и касается он только тех, кто эти средства использует. В другом месте вспомнили старый баян о том, что иностранные средства шифрования и не СКЗИ вовсе по версии ФСБ (правда, обосновать эту позицию так и не смогли). И в итоге получилось как с юристами - "два эксперта - три мнения" :-) Я не планирую вступать с Алексеем в полемику; каждый все равно останется при своем. Просто хочу вспомнить несколько примеров, которые показывают, что не стоит так безоглядно смотреть на название и танцевать от него в принятии решении о том, на что распространяется или не распространяется нормативный акт.

Первый пример связан со старым ПП-687, название которого звучит как "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Многие специалисты в свое время "повелись" на название и посчитали, что ПП-687 касается только неавтоматизированной, т.е. ручной обработки ПДн. Однако, в самом тексте было сказано немного иное, а именно - "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека". Иными словами, если 4 упомянутых действия осуществлялись при непосредственном участии человека (а обычно так и есть), то такая обработка могла считаться осуществляемой без использования средств автоматизации. Специально для недоверчивых в тексте ПП-687 было добавлено - "Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее".

Но пойдем дальше. Вспомним ПП-1119, а точнее историю его появления. Первоначально вместо одного ПП-1119 планировалось принять два постановления, в одном из которых говорилось не о типе угроз как сейчас, а о категории нарушителей. Это понятие было ближе к авторам постановления (8-му Центру ФСБ) и они хотели использовать именно его. Однако когда проект ПП-1119 ушел в Администрацию Правительства оттуда пришел ответ, что использовать словосочетание "категория нарушителя" нельзя и его надо менять на "тип угрозы", упоминаемое в ФЗ-152.

Третий пример касается практики проведения проверок Роскомнадзором. В одном из известных мне случаев при проверке сотрудник РКН затребовал предусмотренную ст.18.1 ФЗ-152 политику в отношении обработки персональных данных. В ответ ему было представлено Положение об обработке персональных данных. И вот тут последовала странная реакция - требование представить не положение об обработке, а политику в отношении обработки. Попытки объяснить, что это одно и тоже успехом не увенчались и в акте проверки было написано замечание, которое, правда, было быстро устранено, но эта глупая привязка к термину из ФЗ сама по себе показательна.

Наконец, последний пример касается пресловутой "защиты информации", которая фигурирует в названии многих документов ФСТЭК. Например, в приказе №31 по защите АСУ ТП. Мы прекрасно понимаем, что документы ФСТЭК касаются не только и не столько информации, сколько систем, в которых эта информация циркулирует и обрабатывается. Но в названии упоминать "системы" нельзя, т.к. ФСТЭК является заложником очередного термина "федеральный орган, уполномоченный в области защиты конфиденциальной информации". ФСТЭК по версии законодателей (а также юристов Правительства и Администрации Президента) не защищает информационные или автоматизированные системы - она защищает информацию. Поэтому юристы ФСТЭК тратят много усилий на то, чтобы скрыть в тексте приказов то, что понятно любому специалисту - защищать информацию без защиты систем, в которых она обрабатывается, бессмысленно. Именно поэтому в названии многих документов ФСТЭК говорится о защите только информации и только внутри документов это понятия ширится и захватывает еще и сами системы.

Аналогичная ситуация и с ФСБ, которую все привыкли ассоциировать с СКЗИ. И поэтому во многих распоряжениях Президента или Правительства, на основе которых и создаются ведомственные приказы, фигурируют вполне конкретные названия документов, которые мы с вами и видим после их регистрации в Минюсте. Эти названия, зачастую неотражающие реального содержания (или отражающие его неполностью), предписаны сверху и поэтому поменять их практически нереально. Попробовать-то можно, но себе дороже. Именно по этой причине, названия некоторых документов ФСТЭК или ФСБ не всегда совпадают с их содержанием. Это не значит, что регулятор ошибся или вышел за рамки своего поля деятельности. Нет. Регулятор действует в рамках имеющегося распоряжение гаранта Конституции или премьер-министра, но при этом является заложником наименований, которые либо уже используются в каком-то нормативном акте, либо упомянуты в непубличном распоряжении, и отойти от них нельзя.

Отсюда простой вывод. Не всегда стоит ориентироваться только на название документа - надо внимательно читать то, что написано внутри него. Лично я по-прежнему считаю, что 378-й приказ ФСБ касается любого оператора ПДн, а не только тех, кто использует СКЗИ. СКЗИ - это только одна часть приказа регулятора. Вторая касается раскрытия вопросов, которые оставались неотвеченными в ПП-1119. 378-й приказ дает на них ответ. Поэтому в этой части он имеет отношение ко всем.

ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК - их может проверить только прокуратура.

09.09.14

Что делать с новым приказом ФСБ по персданным?

Как-то незаметно для всех прошла регистрация в середине августа приказа ФСБ "по персданным" (он же приказ №378 от 10.07.2014), о котором я писал не раз (в частности, тут и тут). И поскольку текст финального варианта ничем не отличается от проекта, о котором я писал, то много говорить о приказе не хочется. Тем более, что про него уже отписались Саша Бондаренко и Сергей Борисов. Но так как меня просили высказаться, то не могу не сказать пару слов :-)

Во-первых, я бы хотел развенчать заблуждение о том, что это приказ о применении СКЗИ для защиты персданных. Это не так. Приказ делится на две части - применение СКЗИ и ответ на до недавнего времени непонятные моменты, связанные с ПП-1119. Что такое режим безопасности помещений? Что такое электронный журнал сообщений? Что такое сохранность ПДн? На все это в приказе №378 даны ответы. Поэтому, даже если вы не применяете СКЗИ, то уйти от выполнения этого приказа ФСБ не удастся, как и от опечатывания помещений, учета машинных носителей ПДн и другой лабуды, которая мало кому помогает в деле защиты ПДн, а в ряде случаев и вовсе неисполнима.

Но приказ есть и с ним надо что-то делать. Что? Могу посоветовать ровно то, что советовали представители 8-го Центра на одном из заседании в Совете Федерации в конце прошлого года, когда мы подняли тему невыполнимости этого приказа. Сказали оно одну простую вещь - "не хотите выполнять приказ, творчески подойдите к процессу формирования модели угроз". Иными словами, представители регулятора решили вовсе не заморачиваться с защитой ПДн, дав всем операторам простой совет - исключите угрозу нарушения конфиденциальности из актуальных и вам не понадобится применение СКЗИ вовсе. Ни сертифицированных, ни несертифицированных. Понятно, что это малость противоречит духу ФЗ-152 в части защиты прав субъектов, но кого эти субъекты и их права волнуют? На них давно уже забили болт даже в Роскомнадзоре, который благополучно разрешил РЖД считать паспортные данные общедоступными. И Правительство вполне легально и согласно букве закона не заморачивается применением СКЗИ. Да что уж там. Закон о защите прав субъектов ПДн давно уже переименовали (даже регуляторы) в закон о защите ПДн, подменив суть и закона и его содержания. Но вернемся, к 378-му приказу.

Итак, я рекомендовал бы исключить нарушение конфиденциальности из числа актуальных угроз. Имеете ли вы на это право? Да, вполне. Отраслевых моделей угроз у нас пока нет. Поэтому пишите свои, устраивающие вас. Рекомендую ли я отказаться от защиты прав субъектов ПДн? Нет, не рекомендую. Просто формальный отказ от конфиденциальности, дает вам право также формально отказаться от применения сертифицированных СКЗИ. Иными словами, уйти из под действия регулятора, который за 3 года так и не смог родить адекватные требования по защите ПДн. А вот уйдя из под регулятора, вы уже в своем праве применять любые средства защиты, включая и несертифицированную, но официально ввезенную криптографию.

Вот только от оргмер, прописанных в 378-м приказе и разъясняющих ПП-1119 уйти не удастся - они не зависят от модели угроз. Единственное, что могу посоветовать - исключить из списка типов актуальных угроз первый и второй тип. Тогда вы в 99% случаев попадете под 4-й класс защищенности, который наименее жесток с точки зрения выполнения требований ФСБ.

ЗЫ. Обратите внимание, что приказ пока официально не опубликован, но вспоминая, что последний приказ ФСТЭК (№31) ждал публикации около месяца с момента регистрации, то и с приказом ФСБ, видимо, будет такая же эпопея - к середине-концу сентября, думаю, стоит ждать официального вступления в силу.

03.09.14

Видео-презентация с озвучкой по 31-му приказу ФСТЭК по защите АСУ ТП

Решил попробовать новый формат для представления презентаций - с озвучкой. Постоянно возникают пожелания добавить звуковой сопровождение к выкладываемым мной презентациям. И вот первый опыт. Учитывая сложившуюся направленность блога на законодательные аспекты ИБ, начать решил тоже с озвучивания презентации по 31-му приказу ФСТЭК по защите АСУ ТП.



У данного формата есть свою нюансы - и YouTube не рекомендует выкладывать длинные ролики (более 15-минут), и времени на конвертацию они требуют много, и слушать запись больше тех же 15-20 минут обычно тяжеловато. Поэтому решил ограничиться 20 минутами на первый раз. Следующие варианты могут быть даже короче - минут на 5-10.

ЗЫ. Комментарии и предложения и замечания приветствуются :-)

02.09.14

Что общего между беременностью слона и оппосума?

Вчера, в день знаний, внесли в Госдуму законопроект №596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", который изменяет срок вступления в силу всем известного закона "о запрете хранения ПДн россиян заграницей".

Законопроект прост до безобразия - он переносит срок вступления 242-ФЗ с 1-сентября 2016-го года на 1 января 2015-го года, т.е. на 18 месяцев раньше запланированного. Идея этого законопроекта появилась еще в начале августа, когда в высоких властных коридорах думали о том, чем России ответить на санкции Запада в случае их усиления. И один из вариантов заключался именно в ускорении принятия 242-ФЗ. А так как Европа и США на прошлой неделе заговорили о новом витке санкций, то и Россия тоже не стала ждать и по традиции ответила асимметрично.

Примут этот законопроект или нет, покажет время...

ЗЫ. На вопрос о том, как связан заголовок с темой заметки, хочу отметить, что срок рассмотрения и принятия в трех чтениях 242-ФЗ составил чуть меньше пары недель; именно столько длится беременность самки обыкновенного оппосума. На вступление в силу данного закона дали около двух лет - именно столько длится беременность самки слона. А сейчас срок на принятия закона сравнялся со сроком беременности дикой свиньи. К ИБ отношения не имеет; скорее из области общих знаний :-) 

13.08.14

Тенденции законодательства по ИБ. Презентация с семинара RISC

Моя презентация с мастер-класса для RISC по тенденциям российского законодательства в области ИБ. Запись будет выложена на сайте RISC.

12.08.14

IBM покупает Lighthouse Security Group и CrossIdeas

Вчера, 11 августа компания IBM объявила о приобретении провайдера услуг IAM облачной безопасности - Lighthouse Security Group. Детали сделки не разглашаются.

Неделей ранее, 31-го июля, IBM приобрела другую компанию на рынке ИБ - CrossIdeas, которая является разработчиком ПО для обеспечения доступа пользователей к корпоративным и облачным приложениям. Детали сделки также не разглашаются. 

11.08.14

Gemalto покупает SafeNet

8-го августа голландская Gemalto объявила о планах приобрести американскую SafeNet за 890 миллионов долларов.

Страх как тормоз развития ИБ

Намедни встречался я с одним чиновником, в функции которого входило принятие решения по одному нормативному акту. Решение он принял отрицательное, попутно говоря о государственности, ответственности перед детьми, новом курсе России, и использовал иные аналогичные сентенции. А уже на пути от него я подумал, что причина его отказа кроется не в нежелании что-то делать, а в страхе! Да-да, в страхе неизвестного.

Психологи давно знают, что встреча с чем-то новым и неизвестным угрожает привычному функционированию и стабильности человека, который привыкает жить в равновесии и не хочет ничего менять. Возникает страх неизвестного, который может вызвать разные формы сопротивления; среди них нерешительность, неуверенность, самооправдание и ряд других. Самым популярным поведением в такой ситуации становится… бездействие.

Почему человек ведет себя именно так в условиях неизвестности? Объясняется все просто. Человек неспособен понять и спланировать последствия своих действий. Вы не знаете как все пойдет и чем закончится, ведь вы раньше такого не делали. А чиновники очень редко понимают то, чем они занимаются. Назначают их обычно за иные заслуги и за верность. И чем выше чиновник, тем чаще это правило действует. Тут можно было бы вспомнить принцип Питера, но в чиновничей среде помимо него действуют и иные законы, которые все равно приводят к тому, что чиновник отлично разбирается в административной работе, но мало в сфере, которую он регулирует (за редким исключением). Большинство чиновников не знакомо с объектом, которым занимается их ведомство. По крайней мере в области ИТ и ИБ это так. Какие-то основы им, безусловно, известны, но в целом они выглядят как первоклашки на фоне экспертов их окружающих, кругозор которых значительно шире.

Тут впору вспомнить эффект Даннинга-Крюгера, который тоже имеет место у чиновников, но разговор не о нем. Непонимание объекта регулирование приводит к тому, что предсказать, чем закончится “да” проекту нормативного акта заранее нельзя. Может стать как хорошо (чиновнику), так и плохо. Вдруг не только по головке не погладят, но и выпорят еще за отсутствие следования линии партии. А раз в результате положительного решения чиновника сквозит полная неопределенность, то ему проще сказать “нет”. Что чиновник как правило и делает.

Геронтолог Обри ди Грей в статье “Чувство меры в страхе перед неизвестным” так высказался об этом: “Один аспект этой проблемы особенно важен с точки зрения желания общественности избежать некомфортных для себя ситуаций — это неприятие риска. Когда неопределенность проявляется в таких областях, как этика (если речь идет о ядерном трансфере) или экономическая политика (как в вопросе вакцинации против гриппа), соответствующее планирование помогло бы избежать потенциальных проблем. Но когда дело касается отношения общества к риску, все намного сложнее… Да, решение приняли органы власти, но в полном согласии с общественным мнением.

В области ИТ такая позиция проявляется как никогда часто. В области информационной безопасности чуть реже, но тоже бывают случаи, когда регулятор принимает решение не давать зеленый свет той или иной хорошей инициативе или технологии “под влиянием общественности”, которая не хочет изменений с непредсказуемым результатом.

Обри ди Грей продолжает: “Реакция на соотношение риска и пользы в области передовых технологий — пример страха перед неизвестным. Это иррациональная склонность придавать большее значение риску, закрывая глаза на преимущества”. Вспомните, сколько раз ФСБ запрещала применение новых технологий? А ФСТЭК (по крайней мере до 2013 года)? А ЦБ, который только до сих пор не имеет требований по безопасности платежных карт или облачных АБС или банкоматов (а ведь они применяются не первый год)? А все просто - у ЦБ нет ни того, ни другого, ни третьего. Они не знают (не знали) как подступиться к регулированию этой темы и поэтому бездействовали, откладывая ее “на потом”.

Страх перед неизвестным в принципе вовсе не иррационален, если под страхом понимать разумную осторожность, но эту грань легко переступить. Если бы общественность можно было научить оценивать риск, с которым связано развитие технологий будущего, и разъяснить необходимость мириться с кратковременным риском в интересах очень существенных ожидаемых преимуществ, это ощутимо ускорило бы прогресс во всех областях”. Так Обри ди Грей написал про постоянные препоны науке со стороны общественности. Но тоже самое можно сказать и про другие сферы нашей жизни, которые направлены на улучшение жизни. Например, на внедрение тех или иных информационных технологий или технологий ИБ. А “общественность” можно заменить на “чиновника”. И тогда мы получим причины, по которым большинству последних инициатив либо говорят нет, либо почему новым технологиям не дают хода. Просто перспективы их не так очевидны, а разумная осторожность часто переходит в необдуманный запрет или полное игнорирование (что еще хуже, т.к. представляет собой неопределенность).

По этому же принципу живут многие следователи, занимающиеся преступлениями в сфере высоких технологий, а также судьи, преподаватели “старой школы”. Да много кто, боится неопределенности, стоя перед чем-то новым и неизвестным. Да и мы с вами скорее всего тоже относимся к таким людям в определенных сферах нашей жизни. В конце концов мы все люди и поведение у нас у всех одинаковое в схожих ситуациях. Вопрос только в том, готовы ли мы даже в условиях неопределенности сделать шаг вперед; а потом еще один.

Если вы не можете увидеть решение прямо “сейчас”, это еще не значит, что решения как такового не существует. Вы лишь должны двигаться дальше, чтобы увидеть это решение. По крайней мере, вам придется для собрать некоторую дополнительную информацию о том, как вы можете добраться до нужного ”решения”.

06.08.14

“Доверяй, но проверяй”? Или доверие пора выбросить в унитаз?

Большинство из нас училось информационной безопасности на концепции доверия. Есть сеть внутренняя, а есть внешняя. Есть пользователи доверенные, а есть не очень. Есть зона контролируемая, а есть бесконтрольная. Есть доверительные отношения между доменами, а есть обычные. Есть соединения доверенные, а есть небезопасные. Есть доверенный интерфейс у МСЭ (как правило, внутренний), а есть недоверенный (как правило, внешний). У некоторых средств сетевой безопасности интерфейсы даже так и назывались trusted и untrusted. Знакомая концепция, не правда ли?

И вот пришел… Нет, не Дед Мороз. И не тот самый пушной зверек. Обычный американский парень - Эдвард Сноуден. А до него был другой Эдвард - Бредли Эдвард Меннинг, который совсем недавно стал Челси Элизабет Меннинг (кстати, тем, кто задумал украсть корпоративные секреты своего работодателя, стоит задуматься о том, к чему приводят действия против закона :-) Они ярко продемонстрировали, что даже в святая святых органов обороны и нацбезопасности поговорка “чужие здесь не ходят” не работает. Скорее наоборот. Не совсем понятно, откуда вообще взялась идея, что в безопасности можно кому-то или чему-то доверять? Это ведь корень всех провалов. Стоит скомпрометировать доверенного пользователя, узел, приложение… и безопасности приходит конец; надо все перестраивать с нуля. И так каждый раз, когда проявляется новый Сноуден, Меннинг, Филби, Рейли, Розенберг, Фишер, Коэн, Пеньковский. Я не берусь сейчас оценивать действия данных лиц с моральной или какой-либо иной точки зрения. Разведчики они или предатели… Не так уж и важно. Я хотел бы оценить эти события только с точки зрения информационной безопасности. Выше я перечислил несколько имен, которые на протяжении последних ста лет показывали порочность практики “доверительных отношений” в ИБ. Не пора ли от нее отказываться? Об этом не первый год говорят как в англоязычной среде, продвигая концепцию Zero Trust, так и у нас, ругая концепцию “контролируемой зоны” от ФСТЭК. Я тоже не обошел внимание эту тему, выступив в 2012-м году на PHDays с соответствующей презентацией.

Вчера я сдал статью в очередной номер "!БДИ", в которой писал о том, почему управление ИБ дает сбой. В качестве причин назвал я и концепцию доверия, а также неготовность к неожиданностям, которая вытекает из этого доверия. Ну какие неожиданности могут быть от администратора СУБД или даже руководителя службы ИБ? А от вендора, с которым мы работаем уже не первый год? А от контрагентов, с которыми у нас заключены договора на поддержку? Так думаем мы и ошибаемся.

Сегодня наступило время, когда надо в корне менять подходы к обеспечению ИБ на предприятии (что на коммерческом, что на государственном). Сегодня не должно быть ничего доверенного. Вокруг одни враги! Даже внутри сети. И речь идет не столько о рядовых пользователях, которые по ошибке совершают несанкционированные действия, сколько о реальных злоумышленниках, которые могут сидеть в вашей сети месяцами и тащить из нее все, что плохо лежит. А в локальных сетях обычно лежит плохо все. Ну непринято у нас (и у них тоже) защищать внутреннюю сеть. Максимум - это поставить антивирусы на внутренние ПК. Ну и огородить локальную сеть стеной из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и других не менее ценных, но ограниченных только периметром средств защиты. Все, что пойдет через них, будет просвечиваться тремя-пятью лупами; зато внутри у нас раздолье. Пользователи ходят куда хотят и на уровне сети их никто не ограничивает. На уровне серверов приложений им, может быть, и создаются препятствия, но внутри трафик никто не шифрует и поэтому, даже не имея доступа к серверам с ценной информацией, ее можно перехватывать обычным сниффером. Принцип минимума привилегий, часто реализуемый на уровне ОС или СУБД, почти никогда не внедряется на уровне сети. Отсюда постоянные утечки и бесполезные попытки с ними бороться. Бороться ведь надо не с утечкой, а с ее причиной. Ограничьте доступ внутри и снимете львиную долю проблем. Например, у нас в Cisco именно такая концепция защиты ценной информации (моя презентация с DLP Russia) и она дает свои плоды.

Кстати, об уровне сети. Какие самые популярные средства сетевой безопасности у нас обычно ставятся? МСЭ и IPS. И те, и другие на периметре сети. Иногда еще и на отдельных участках внутренней сети, но современная коммутируемая сеть (да еще и с виртуализацией или SDN) ставит крест на попытках найти отдельные точки контроля, в которые стекается весь трафик. Но даже если представить, что мы смогли пропустить весь трафик через несколько точек контроля и они не превратились в узкие бутылочные горлышки, то что дальше? А если на доверенном узле, чей трафик разрешен на МСЭ, незаметно работает фрагмент APT или бот? Он будет работать от имени доверенного пользователя или узла, которому разрешено многое. Сетевой трафик не может быть доверенным в принципе. Именно поэтому появляются такие технологии как 802.1x, NAC/ISE, NBAD/CTD, разрабатываемые из расчета, что одной аутентификации пользователя недостаточно и нужно более пристально всматриваться в сетевой трафик, идущий между устройствами (особенно если пользователь за устройством вообще не присутствует и никакой аутентификации не проходит).

“Ни фига!”, - возразите мне вы. Я могу контролировать все, что есть в моей сети и на подступах к ней! У меня множество средств защиты (Forrester насчитывает 17 основных типов средств сетевой безопасности, используемых сегодня по всему миру), они все именитые, на них потрачено много денег и они не могут меня обманывать! Я им доверяю! Вот! Почему вы им доверяете? У вас есть основания? Вы лично проверили эффективность всех средств защиты или просто верите производителю на слово? Как показывает статистика такое доверие дорого обходится. В известных случаях вредоносный код “сидел” внутри по несколько лет и успевал за это время стянуть несколько терабайт данных. И все это при наличии разнородных средств защиты. Значит ли это, что все они плохи? Нет! А можно где-то найти решение, реализующиее технологию “нулевого доверия”? Тоже нет! Их не существует в природе!

Потому что концепция Zero Trust не означает новой серебряной пули или очередной революции на рынке средств ИБ. Это просто смена парадигмы, которая может быть реализована за счет существующих решений и технологий. Надо поменять свое сознание и строить систему ИБ на предприятии исходя из того, что никому и ничего доверять нельзя. Нельзя “доверять, но проверять” - можно только “проверять и никогда не доверять”! Проверять ПО перед установкой и после нее. Проверять все сетевые соединения снаружи и внутри. Проверять все попытки доступа любых пользователей независимо от их роли. Проверять все устройства, подключаемые к сети. Проверять трафик на всех TCP-портах, а не только на тех, которые, как мы считаем, доступны в сети. Проверять прикладной трафик, включая и возможную инкапсуляцию в него чего-то вредоносного или просто нарушающего политику ИБ.
Эксперты выделяют три составляющих концепции “нулевого доверия”, с которыми я склонен согласиться:
  1. Контролируйте и защищайте все. Неважно, кто, откуда, когда, как и зачем осуществляет подключение. Важно проверять все - тогда уровень безопасности сети повысится, а число неприятных сюрпризов существенно уменьшится. Для специалистов по ИБ не должно быть разницы между защитой внутренних активов от внутренних нарушителей и защитой внешних активов от внешних злоумышленников. Для этого достаточно будет пересмотреть правила и настройки существующих средств защиты.
  2. Минимум привилегий и контроль доступа на всех уровнях. Этот принцип должен быть реализован не только на уровне ОС, приложений или периметра. Важно реализовать его и во внутренней сети с помошью встроенных в сетевое оборудование или наложенных средств защиты (первые предпочтительнее). Для этого необходимо использовать средства контроля сетевого доступа (NAC) и производные от него (например, TrustSec).
  3. Инспекция и регистрация сетевого трафика. Нарушитель сегодня в состоянии выдать себя за легального субъекта доступа - пользователя, узел, приложение, процесс. В конце концов злоумышленник может и вовсе оставаться невидимым для средств защиты навесных или установленных не в том месте сети (такое часто бывает, когда в сети появляются несанкционированные 3G/4G-модемы или беспроводные точки доступа). Поэтому необходимо фиксировать весь сетевой трафик и проводить его инспекцию на предмет нарушений политики безопасности (ее, кстати, тоже надо пересмотреть в контексте “нулевого доверия”). Для этого необходимо использовать решения класса NBAD (Network-based Anomaly Detection) и SIEM.
Разумеется, отказ от идеи “доверяй, но проверяй” в пользу “проверяй, никогда не доверяй” - это не сиюминутная задача и не одноразовый проект. Это, в первую очередь, смена классической парадигмы, которой до сих пор учат выпускников ВУЗов по ИБ. Главное, поменять сознание. А уж затем планомерно и последовательно внедрять эту идею на существующих средствах защиты, возможно, приобретая и что-то новое, чего раньше не было (обычно это средства или встроенные механизмы защиты внутренней сети). При этом не всегда это требует серьезных финансовых затрат - очень часто все необходимые компоненты уже присутствуют и их просто надо правильно настроить.

Дело осталось за малым - начать!..