пятница, 13 ноября 2009 г.

Семинар Cisco по информационной безопасности банков

Вчера мы (т.е. Cisco) провели онлайн-семинар для банков по информационной безопасности. Выступал я ;-) С тремя презентациями:

  • Архитектура информационной безопасности банка
  • Стратегия информационной безопасности Cisco и пути ее раззвития
  • Защита персональных данных в кредитном учреждении.

Семинар записывался с помощью встроенных в WebEx технологий. Запись выложена тут. Ее длительность 3 часа 5 минут.

четверг, 12 ноября 2009 г.

О банковском эгоизме

Вчера прошла конференция АРБ по персданным. Очевидно, что для банков. Как участник рабочей группы по выработке рекомендаций по обработке и защите ПДн для банковского сообщества, я выступал с презентацией первой части этих рекомендаций:


Конференция была разделена на три части:
  • общее введение в проблему
  • рассказ нескольких банков, как они прошли проверки регуляторов и как они выполняли их требования
  • презентация рекомендаций для банков.

В первой части помимо хороших выступлений Сенаторова М.Ю. (ЦБ), Волчинской Е.К. (ГосДума), Емелина А.В. (АРБ) и Курило А.П. (ЦБ) мне запомнилось выступление Баранова А.П. (ФСБ). Именно он назвал банки эгоистами в части защиты ПДн ;-) Психологически грамотно выстроенный доклад, в котором все присутствующие постоянно назывались профессионалами, которые не зря получают свои деньги. А раз все профессионалы, то все должны понимать, что ФЗ выполнять надо и требования регуляторов тоже. Но если убрать определенные полемические высказывания, то осталось пару интересных моментов:
  • ФСБ сказал, что они поддерживают инициативу разработки отраслевых стандартов и что ФСБ рекомендует банкам использовать СТО БР ИББС.
  • лицензия на использование СКЗИ (в т.ч. и для ПДн) для собственных нужд не нужна.

ФСТЭК тоже выступал, но из интересного только два момента запомнилось:
  • четверокнижие - это не нормативно-правовой акт, а методические документы, которые носят характер рекомендаций (жаль только это не оформлено в виде официального мнения)
  • ФСТЭК также поддерживает разработку отраслевых стандартов и будет работать с ЦБ в части принятия СТО БР ИББС по линии защиты ПДн.

 Из практически полезного были представлены рекомендации АРБ и ЦБ для банков в части защиты ПДн. Разбиты они на две части (в презентации все подробнее):
  • практические рекомендации по выполнению требований самого ФЗ и наличие большого количества шаблонов документов, требуемых при проверках
  • организационно-технические рекомендации по защите ПДн, вошедшие в новую версию СТО БР ИББС, которая сейчас готовится и будет официально выпущена в январе 2010 года. Эта часть сейчас проходит согласование у регуляторов. Если это получится, то они должны получить статус официальных и заменить (только для банков) требования по ПДн.

ЗЫ. ФСТЭК сказала, что операторы связи, страховщики и медики тоже пошли по пути разработки отраслевых стандартов и ФСТЭК поддерживает эту инициативу.

среда, 11 ноября 2009 г.

Что должна включать в себя модель угроз?

Вопрос непраздный и часто возникающий. Чем руководствоваться при создании модели угроз? Есть ли рекомендации ФСТЭК и ФСБ по данному вопросу? Есть ли готовые шаблоны? К сожалению, на последние 2 вопроса ответа со стороны регуляторов нет. Поэтому все руководствуются здравым смыслом и своим пониманием того, как это может быть сделано. Уральцам чуть проще - у них есть методические рекомендации, в которых есть пример шаблона по модели угроз. Он состоит из следующих разделов:

  • общие положения
  • перечень угроз, представляющих потенциальную опасность для ПДн, обрабатываемых в ИСПДн
  • определение актуальных угроз.

Согласно ГОСТ Р 52448-2005 модель угроз должна включать:
  • Описание ресурсов инфокоммуникационной структуры (объектов безопасности) сети связи, требующих защиты
  • Описание источников формирования дестабилизирующих воздействий и их потенциальных возможностей
  • Стадии жизненного цикла сети электросвязи
  • Описание процесса возникновения угроз и путей их практической реализации
Приложение к модели должно включать:
  • Полный перечень угроз
  • Базу данных выявленных нарушений безопасности электросвязи с описанием обстоятельств, связанных с обнаружением нарушением.

Уже неплохо, но содержание тоже неполное. Гораздо полнее и интереснее содержание модели угроз описано в ГОСТ Р 51344-99:
  • Характеристика оборудования (техусловия, область применения, использование по назначению)
  • Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)
  • Идентифицированные опасности
  • Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)
  • Сомнения, связанные с использованными данными и источниками
  • Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)
  • Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска
  • Остаточные риски.

Но самым лучшим, на мой взгляд, шаблоном содержания можем похвастаться ГОСТ Р 51901.1-2002, согласно которому модель угроз должна строиться по следующему сценарию:
  • Краткое изложение анализа
  • Выводы
  • Цели и область применения анализа
  • Ограничения, допущения и обоснование предположений
  • Описание соответствующих частей системы
  • Методология анализа
  • Результаты идентификации опасностей
  • Используемые модели, в т.ч. допущения и их обоснования
  • Используемые данные и их источники
  • Результаты оценки величины риска
  • Анализ чувствительности и неопределенности
  • Рассмотрение и обсуждение результатов
  • Рассмотрение и обсуждение трудностей моделирования
  • Ссылки и рекомендации.

ЗЫ. Это все из курса по моделированию угроз ;-)

вторник, 10 ноября 2009 г.

Перенос сроков ФЗ-152?!

Вопросов вчерашняя статья в "Газете" о переносе сроков выполнения ст.25.3 ФЗ-152 на 2 года вызвала немало вопросов. При этом мало кто подумал о том, что журналисты не до конца разобравшись с тем, что же говорилось на заседании, выдали "сенсацию". На самом деле все немного не так - Минкомсвязь не имеет права переносить сроки или осовобождать кого-то от обязанности выполнения закона - не в их это компетенции. Минкомсвязь просто озвучил то, о чем ему давно говорили участники рынка - выполнить требования ст.25.3 за оставшееся время невозможно. Поэтому министерство направило в ГосДуму ходатайство о сдвиге сроков. Но в ГД такое предложение было уже давно. От Минкомсвязи в ГД ушло и несколько иных предложений, но назвать их революционными язык не поворачивается - все уже звучало на парламентских слушаний.

ЗЫ. На сайте Минкомсвязи открылся раздел по ИБ и ПДн.

понедельник, 9 ноября 2009 г.

Архитектура ИБ - статья в ДИС

Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад ;-)  Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности - теме нечастно возникающей в прессе и на конференциях.

О сроках обработки ПДн

Одна из проблем, которая часто возникает при реализации проектов по ПДн - правильное определение сроков хранения (обработки ПДн). Зададим малый срок и придется их удалять, несмотря на наличие потребности в их обработке. Зададим большой срок и будем тратить денег больше, чем надо. Как же учесть всевозможные сценарии и цели обработки ПДн и не придумывать срок хранения для каждой пары "ПДн и целт их обработки".

Предлагаю следующую формулировку для срока хранения: "В соответствие с приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства". На мой взгляд такая формулировка покрывает практически 100% ситуация с обработкой ПДн.

пятница, 6 ноября 2009 г.

ФСБ опубликовала регламент проведения проверок по ПДн

ФСБ на своем сайте опубликовала типовой регламент проведения проверок по персональным данным.

Blogger template 'Greenich' by Ourblogtemplates.com 2008

Jump to TOP