26.01.15

Где установлены требования по защите госорганов? Триптих. Часть I

Затеял я тут слайдкаст на тему "Какие нормативные акты устанавливают требования по защите госорганов?" Тема возникла не на пустом месте - в последнее время регулярно слышу о том, что 17-й приказ распространяется не на все госорганы и не на все информационные системы в них, так как не каждая ИС госоргана - это государственная ИС (ГИС). Тема старая, но всплывающая с завидной регулярностью. Но раз не 17-й приказ, то что? Вот про это я и хотел сделать слайдкаст.

Но начать надо с того, что такое ГИС и почему ряд госорганов и муниципальных учреждений старается уйти от нахождения у себя таких систем? Этому и посвящен первый слайдкаст из триптиха:



Если кто-то предпочитает смотреть обычную презентацию, то я выложил ее на Slideshare:



Во второй части триптиха будут рассмотрены нормативные акты (аж 10 штук, не включая 17-й приказ и СТР-К), устанавливающие требования по защите информации госорганов. Ну а в финальной части триптиха эти требования будут рассмотрены более детально.

21.01.15

Как депутаты пошли против Президента

Пока депутаты рассматривают законопроект Правительства о штрафах в области ПДн (текст которого все-таки был внесен в Госдуму), а многие организации пытаются осмыслить, как же им теперь выполнять требования 242-ФЗ - исходя из позиции Администрации Президента или Минкомсвязи, я решил вспомнить другой документ, который я уже ранее упоминал. Речь идет о Стратегии национальной безопасности, которая постулирует простую мысль - Новый и Старый Свет для нас, в массе своей, враги, и поэтому Россия должна формировать новые блоки с нашими союзниками.

На место таких блоков претендуют сразу несколько организаций, среди которых наиболее активно работы идут в ОДКБ, ШОС, БРИКС и ЕАЭС (не путать с почившим ЕврАзЭС). Особенно интересен последний союз, который стал формироваться семимильными шагами и в который помимо Беларуси и Казахстана теперь входит Армения, а с 29-го мая еще и Киргизия (за ними могут подтянуться Таджикистан и ряд других стран). Согласно принятым документам, уже вступившим в силу, в ЕАЭС обеспечивается свобода движения товаров, а также услуг, капитала и рабочей силы. Иными словами, гражданин России имеет полное право поехать на работу в Казахстан и не будет иметь там никаких проблем (точнее не должен). И открыть счет в белорусском банке тоже россиянин теперь может без проблем. А в Армении теперь можно официально купить недвижимость.

Иными словами, границы стираются. И все это замечательно ложится в идею, неоднократно озвученную Президентом Путиным, - надо формировать блоки с нашими партнерами. Эта простая мысль сейчас вносится во все доктринальный документы - Военную доктрину, обновляемую Доктрину ИБ; она же внесена была в Концепцию внешней политики, в Стратегию национальной безопасности, в основы государственной политики в области международной ИБ и т.п. Иными словами в условиях, когда вокруг России кружат империалистические коршуны, блоки с союзниками нам нужны как воздух.

А вот Роскомнадзор и депутаты категорически против Президента. Иначе я просто не могу понять, как можно было принять ФЗ-242, запрещающий хранение ПДн россиян за пределами РФ? Ведь блоковый статус подразумевает активную передачу разной информации, включая и персональные данные. Вот поедет секретарь ОДКБ в Казахстан для обсуждения очередной инициативы по борьбе с киберпреступностью, а казахские коллеги не смогут хранить его персональные данные на территории Казахстана, ибо это будет нарушать ФЗ-242. Захочет, например, господин Жаров (глава РКН) поехать в Белоруссию обменяться опытом в области защиты прав субъектов персональных данных и тоже не сможет - ни гостиницу забронировать на свое имя (не будет же он под легендой там жить), ни официально представиться; да даже почтой не сможет обмениваться с белорусскими коллегами - ведь в почте есть ПДн. Захочет глава Следственного комитета РФ г-н Бастрыкин полететь в Гюмри для разбора преступления российского военнослужащего и тоже не сможет - хранить его персональные данные в Армении нельзя - депутаты запретили это, а Роскомнадзор должен строго блюсти права россиян.

Странная ситуация. Президент говорит одно, Совет Безопасности вторит ему в своих доктринальный документах, а законодательная и исполнительная власть делает прямо противоположное. Очень странная :-(


19.01.15

Американцы унифицируют законодательство по персональным данным

Президент Обама сделал очередную попытку в части унификации законодательства по защите персональных данных, предложив Конгрессу рассмотреть законопроект  The Personal Data Notification & Protection Act. Это уже не первая попытка Обамы сделать это, но вероятнее всего сейчас она пройдет все препоны и будет принята Конгрессом, что наконец-то приведет к стандартизации в данном вопросе и повышении защищенности персональных данных американцев. По мнению экспертов это позволит стать США на один уровень с Канадой, Австралией и Европой (ближайшими партнерами), имеющих свое законодательство. Пока же Америку сравнивают с Россией (вот удивительно с нашим драконовским ФЗ-152), Индией и Бразилией. И это несмотря на сходные законы в большинстве из штатов США (такие законы есть в 47 штатах и отсутствуют в Алабаме, Нью-Мехико и Южной Дакоте).

Законопроект не очень большой - всего 13 статей на 9 страницах. Из наиболее интересных положений могу отметить следующее:

  • Определение ПДн, включающее перечисление того, что считается персональными данными. Никакой "любой информации" - все предельно ясно. Это ФИО или инициал и фамилия в комбинации с любыми двумя элементами - почтовый адрес или телефон, девичья фамилия матери, дата рождения. Также к ПДн относятся еще 5 видов данных:
    • номер социального страхования, номер водительского удостоверения, номер паспорта или номер иного документа, удостоверяющего личность
    • биометрические данные, такие как отпечатки, голос, радужка глаза или иные уникальные физиологические особенности субъекта ПДн
    • уникальный номер счета в банке, номер платежной карты
    • имя пользователя или e-mail в комбинации с паролем или секретным вопросом и ответом, которые позволяют получить доступ к учетной записи
    • комбинация следующих данных
      • имя и фамилия или инициал имени и фамилия
      • уникальный номер в банке, номер платежной карты
      • любой код безопасности, код доступа, пароль.
  • О несанкционированном доступе к ПДн должна уведомить пострадавших любая компания, которая за последние 12 месяцев обрабатывала ПДн более чем о 10000 субъектах.
  • Уведомление должно быть осуществлено без необоснованных задержек. Обоснованная задержка не должна быть более 30 дней. Можно больше, но по согласованию с регулятором (Федеральная торговая комиссия). Также можно затянуть с уведомлением в случае уголовного расследования или по требованиям национальной безопасности.
  • Можно не уведомлять, если по результатам анализа риска будет доказано, что угрозы субъекту или его ПДн нет.
  • Уведомление может быть письменным (по последнему известному адресу), по телефону или e-mail с электронной подписью.
  • Дальше идут детали уведомления (или освобождения от него) для разных категорий лиц - судьи, правоохранительные органы, силовики и т.д.
  • Несмотря на название, о защите в законопроекте ни слова.

Лично я большого смысла в этом законе не вижу при наличии уже принятых в абсолютном большинстве штатов своих собственных, местами даже более жестких законов. Единственное, что можно поставить в плюс Обаме - попытку унифицировать подходы в данном вопросы и с регионального уровня поднять его на федеральный.

ЗЫ. У нас такой законопроект тоже хотели принять - мы даже один раз рабочей группой собирались по этому вопросу. Но, к сожалению, в связи с покиданием одного из регуляторов ряда достойных людей и конфликтом между некоторыми регуляторами данная тема подвисла в воздухе. Хотя может быть это и хорошо, учитывая как наши законодатели переиначивают все хорошие начинания.

ЗЗЫ. Помимо данного законопроекта Обама планирует анонсировать и ряд других инициатив по кибербезопасности, как результат взлома Sony.

16.01.15

Как определить уровень защищенности ПДн?

Регулярно приходится слышать вопросы о том, как определить уровень защищенности ПДн? Казалось бы, все написано в ПП-1119, но нет, вопросы все равно остаются. Надо ли учитывать НДВ или нет? На каком уровне НДВ у нас могут быть? Чем угроза отличается от типа угроз? Почему классификация ИСПДн по классам К1-К4 больше невозможна?

В принципе, ответы на все эти вопросы я уже давал в блоге. Но там они были разрозненны и не сведены воедино. А там, где были доступны презентации, не все могли из нее подчерпнуть, что я  конкретно имел ввиду. Поэтому решил освоить новый формат - слайдкаст - презентация с озвучкой. Вчера я выложил слайдкаст по проекту требований ЦБ по защите информации для организаторов торговли (бирж). Сегодня пришло время для слайдкаста по определению уровня защищенности ПДн.



Кстати... Раз уж заметка посвящена ПДн, то не могу не включить в нее ссылку на относительно свежий нормативный акт, который не стоит отдельного описания, но и забывать про него тоже не нужно. Речь об Указе Президента от 24 ноября 2014-го года №735 "О сборе биометрических персональных данных иностранных граждан и лиц без гражданства".

15.01.15

Проект требований по защите информации для организаторов торговли (бирж)

Как мы помним, Банк России активно регулирует вопросы защиты информации в Национальной платежной системе и основным документом в этой области (но не единственным) является положение 382-П. Однако данный документ, как это и описано в 27-й статье 161-ФЗ об НПС, распространяется только на тех, у кого в названии встречается термин "оператор" (оператор по переводу денежных средств, оператор платежной системы и оператор услуг платежной инфраструктуры) и на банковских платежных агентов и субагентов. Но НПС не ограничивается только ими. Например, у нас есть биржи, они же организаторы торговли. Какие требования по защите информации распространяются на них и есть ли они? Оказывается есть. Банк России подготовил проект соответствующего документа, который я и решил описать в виде слайдкаста (презентация со звуковым сопровождением).


14.01.15

Топ11 ИБ-прогнозов на 2015 год: резюме

Теперь попытаемся сравнить 3 блока прогнозов (российские, иностранные вендоры и иностранные эксперты/СМИ) вместе:
Сразу отмечу, что на иллюстрации отмечены только ТОП прогнозов, которые набрали большинство "голосов". Общее же число прогнозов из 58 источника составило 144. И, конечно же, считать "наши" прогнозы адекватными не приходится - выборка не совсем репрезентативная :-(

Абсолютная десятка (10-е и 11-е пункты списка из 144 прогнозов поделили между собой 10-е место) выглядит так (для постсоветского пространства я бы исключил 10-й пункт - неактуален он пока для нас):
  1. ИБ Всеобъемлющего Интернета, включая и тематику АСУ ТП
  2. Безопасность мобильных устройств, включая BYOD
  3. Рост числа целенаправленных угроз
  4. ИБ облачных вычислений
  5. Рост прессинга со стороны регуляторов, включая и рост числа нормативных актов
  6. Рост Интернет-мошенничества и угроз мобильным платежным системам
  7. Рост числа инцидентов, связанных с уязвимостями в opensource и открытых протоколах
  8. Рост числа угроз со стороны государств
  9. Visibility & Analytics с точки зрения ИБ
  10. Рост числа атак на медицинские системы
  11. Рост угрозы со стороны программ вымогателей

Во вторую десятку (указано больше 10-ти прогнозов, потому что последние места во второй десятке поделили сразу несколько предсказаний) входят:

  • атаки на банкоматы, PoS-терминалы и киоски оплаты
  • рост интереса к безопасности ПО, включая тематику SDLC
  • рост угроз электронной почте
  • рост интереса к Threat Intelligence, включая необходимость активизация обмена информацией об угрозах в рамках частно-государственного партнерства
  • слабость парольной защиты и необходимость обращения к многофакторной аутентификации
  • рост интереса к биометрической аутентификации
  • милитаризация темы информационной безопасности (кибервойны)
  • рост использования теневого Интернета и анонимизации, как угроза ИБ
  • постепенный сдвиг в мотивации киберпреступников в сторону кибершпионажа и политики/идеологии (хотя тут скорее речь идет об очередном витке)
  • автоматизация, коммерциализация и рост эффективности киберпреступных сервисов (crime-as-a-service)
  • рост атак на социальные сети
  • национальные ограничения на приобретение ИТ/ИБ-решений.

Как часто бывает с любой высокоуровневой статистикой, вытянуть из нее что-то конкретное и применимое для той или иной организации бывает трудно. Но по крайней мере можно понять, в каком направлении думают многие эксперты и куда будут (вероятнее всего) развиваться игроки рынка ИБ (как минимум мирового). Ну а регуляторы, может быть, смогут учесть это при разработке своих нормативных или методических документов и рекомендаций, а также при выстраивании своих планов действий. А вот отечественным разработчикам есть, на что обратить свой взор с точки зрения предложения решений как на внутреннем рынке, так и на внешнем (в последнем случае с оговорками).

ЗЫ. Думаю, что на основе этих прогнозов составлю себе план заметок для блога - что делать с каждым из трендов.

ИБ-прогнозы на 2015 год от иностранных СМИ и экспертов

Финализиируем анализ ИБ-предсказаний на 2015-й год. На этот раз это будут "независимые" зарубежные издания, консультанты/эксперты и консалтинговые компании:
В данной выборке картина поменялась по сравнению с зарубежными производителями средств защиты. На первом месте, однако, остался Интернет вещей и его безопасность. А вот второе место поделили между собой:
  • Безопасность мобильного доступа и BYOD
  • Рост Интернет-мошенничества и угроз мобильным платежным системам
  • Рост угроз со стороны государств
  • Рост целенаправленных угроз (APT).
На третьем месте независимые эксперты и СМИ поставили:
  • Использование уязвимостей в opensource
  • Безопасность облачных вычислений
  • Атаки на медицинские системы
  • Рост внимание к Threat Intelligence и обмену информацией об угрозах между различными участниками рынка (частными и государственными)
  • Шифрование в облаках и на иных разделяемых ресурсах.

Интересно, что зарубежные вендоры, в отличие от СМИ и экспертов, не выделяют APT как серьезную угрозу. Зато они фокусируют внимание на программах-вымогателях (ransomware), которые совсем забыты зарубежными независимыми экспертами. Про угрозы мобильным платежным системам (особенно в контексте Apple Pay), ИБ мобильных устройств и облаков, а также проблемы ИБ open source говорят все, а дальше опять мнения разделились. Иностранные эксперты прогнозируют рост интереса к Threat Intelligence, а сами вендоры эту тему практически не упоминают. Оно и понятно, одно дело обмениваться этой информацией по закрытым каналам между собой, и совсем другое - отдавать наружу, пользователям. Еще одно отличие в прогнозах - в атаках на медицинские системы. Про это говорят все СМИ и эксперты, но совсем не упоминают вендоры. Также интересно смотреть на прогнозы относительно темы compliance и прессинга со стороны регуляторов - для вендоров это вполне реальная проблема (выполнять множество разных требований в разных странах - это не шутка), а многие эксперты, да еще и сидящие в одной стране (обычно США), не всегда адекватно оценивают эту проблему.

13.01.15

Pulse Secure покупает Mobile Spaces

В июле 2014 года Juniper продал свои активы по мобильной безопасности фонду Siris Capital, который достаточно быстро создал на их основе компанию Pulse Secure (у пресс-релиза, правда, нет даты, что немного удивительно). И уже в октябре Pulse Secure сделала свое первое приобретение, которое тогда выпало из моего поля зрения. Pulse купил Mobile Spaces, которая делала виртуальные защищенные контейнеры для мобильных платформ, в которых и запускались приложения.

Новогодний обывательский security checklist

Помятую о сапожнике без сапог и о том, что в новом году надо жить начинать по-новому, решил объединить эти два события и составил для себя список "безопасных" дел для себя любимого. Не могу сказать, что открыл Америку, но зато буду уверен, что защищенность моя повысилась :-) Итак, по порядку:
  1. Включить двухфакторную аутентификацию там, где это возможно и там, где я ее еще не включил (iCloud, Google, Facebook и т.п.). Учитывая прошлогодние утечки учетных записей и паролей к ним с популярных почтовых сервисов, будет явно не лишним.
  2. Проверить, и местами обновить, контрольные вопросы на Интернет-сервисах (там где нет двухфакторной аутентификации). Набивший оскомину вопрос о девичьей фамилии матери знаю не только я, но и куча окружающих меня людей. А уж если родители зарегистрированы в социальных сетях, то проблема с этим "секретным" вопросом и вовсе стоит очень остро. Поэтому от него стоит отказываться и поменять на что-то более адекватное. Проверяя контрольные вопросы на ряде сервисов, понял, что ответы на часть из них я уже не помню :-) А на часть вопросов ответы не совпадают с тем, что я предположил сейчас :-) Видимо в момент создания такого вопроса несколько лет назад у меня точно было иное мировозрение. Поэтому не лишним будет перепроверить (заодно привести все ответы к единой кодировке/языку - а то где-то на английском, где-то на русском даны ответы).
  3. Продлить лицензию на домашний антивирус. Страшилки про APT и неспособность антивируса их обнаруживать я знаю, но это еще не повод отказываться от антивируса. 
  4. Проверить, включено ли автоматическое обновление домашнего компьютера и приложений на нем (особенно браузера, Java и Acrobat Reader)?
  5. Проверить, срабатывает ли резервное копирование согласно установленному расписанию?
  6. Сделать резервные копии мобильных устройств (смартфона и планшетника) и включить автоматичесое резервирование при синхронизации.
  7. Проверить настройки домашнего маршрутизатора - нет ли ненужных открытых портов и сервисов на нем? Особенно после приобретения кучи гаджетов и смарт-устройств, подключающихся к Интернет (видеокамеры, ТВ, холодильник и т.д.).
  8. Проверить настройки домашнего Wi-Fi? Используется ли WPA2? SSID широковещательный или нет?
  9. Проверить, помню ли я пароль администратора на всех домашних устройствах? Обновить его, если давно не обновлялся.
  10. Наконец-то создать детям отдельные учетные записи на домашнем компьютере с включением родительского контроля.
  11. Провести для семьи краткий тренинг повышения осведомленности по вопросам безопасного поведения в Интернет и пользования мобильной связью.
  12. Проверить настройки приложений на мобильных устройствах - что они могут и не могут делать на моем устройстве, взаимодействуют ли с Интернет или нет? Как минимум это полезно для снижения затрат на мобильный Интернет, но и с точки зрения безопасности полезно.
Кажется все :-)

PS. Уже написав эту заметку, наткнулся на схожую по теме статью "Повседневная безопасности: правила для дома" в блоге Neohapsis.

12.01.15

Facebook покупает компанию, занимающуюся голосовой биометрией

Facebook на прошлой неделе объявил о приобретении компании wit.ai, занимающейся технологиями распознавания голоса. Деталей по сделке не сообщается. Точнее об этом сообщил не Facebook, а сама wit.ai. У Интернет-гигантов почему-то не принято сообщать о таких событиях. Так было с Google, купившей Divide и Zynamics. Кстати, по той же схеме Google купил в прошлом году SlickLogin, занимавшуюся звуковыми паролями, т.е. той же голосовой аутентификацией.

Вообще, новые схемы аутентификации и, в частности, биометрическая аутентификация, - это тренд 2015-го года по многим прогнозам.

Основные ИБ-события за новогодние праздники

По традиции публикую ключевые события, произошедшие за новогодние праздники:

  • Принятие поправок в части переноса срока вступления в силу закона "о запрете хранения ПДн россиян за границей". Президент подписал 31-го декабря закон 526-ФЗ на эту тему.
  • Принятие поправок в 149-ФЗ в части запрета хостинга техсредств государственных информационных систем за рубежом. Президент подписал 31-го декабря закон 531-ФЗ на эту тему. В этом законе стоит обратить внимание на два момента. Он оперирует не понятием "государственная информационная система", что было бы логично, но очередной раз приводило бы к спорам о том, что такое ГИС. Вместо понятия ГИС 531-ФЗ использует "информационные системы, используемые государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями". За нарушение данного требования предусмотрена административная ответственность в виде новой статьи КоАП - 13.27.1 (штраф на юрлиц - до 50 тысяч рублей). Я про этот законопроект уже писал в марте 2014-го года. Тогда предполагалось, что его рассмотрят только в октябре 2015-го года, но изменение геополитическое ситуации заставило подвинуть сроки вступления закона в силу. Та же ситуация и с изменением сроков по 242-ФЗ.
  • Президент Обама подписал указ о введении санкций против Северной Кореи за взлом компании Sony. Тут интересны не детали, а сам факт введения санкций против целого государства за так и недоказанный взлом частной компании. Это что-то новое в международном праве (хотя к США, наверное, нормы международного права сложно применять - они всегда были сами в своем праве). Но хорошо хоть нормы Таллинского руководства не стали применять, а ведь оно разрешает ответить на кибератаку бомабардировкой. В ответ на санкции Северная Корея увеличила вдвое штат своих кибервойск.
  • Очередной виток "наездов" на северокорейских хакеров. В западной прессе началась волна материалов (пример), направленных против хакеров из Северной Кореи. Якобы они   совершают атаки на американскую инфраструктуру и поэтому санкции против Северной Кореи вполне обоснованы и не высосаны из пальца. При этом делаются выпады еще и в сторону Китая, под протекторатом которого которого и находятся северокорейские хакеры. Якобы спецподразделение под названием "Бюро 121" находится не в КНДР, а в Китае и последний этому способствует. Нахождение "Бюро 121" в Китае обосновывается тем, что в самой Северной Корее слабая Интернет-инфраструктура. Попутно подозрение падает и на Китай, который в последнее время слишком сильно активизировался в части сопротивления американской гегемонии (Никарагуанский канал, "дружба" с Россией, "крышевание" Северной Кореи и т.п.). А ведь про "Бюро 121" и его нахождение в Китае писали еще в 2009-м году. Видимо "сенсация" нужна была именно сейчас :-)
  • Конец декабря 2014-го и начало января 2015-го ознаменовались атаками на немецкие правительственные ресурсы. Сначала был инфицирован лэптоп Ангелы Меркель и, возможно, с помощью Regin были украдены конфиденциальные документы. Спустя неделю пророссийский "КиберБеркут" вывел из строя сайт Меркель и ряда других правительственных структур Германии (КиберБеркут подтверждает сей факт). Последние два события лишний раз подтверждают выводы, сделанные в 2009-м году, что Китай и Россия, наряду с Северной Корее, Ливией, Сирией и Ираном являются самыми опасными в киберпространстве государствами. Последние шаги США по принуждению этих государств "к миру" только подтверждают, что мишени выбраны неслучайно :-)

  • 56-тилетний бывший директор по кибербезопасности американского Минздравсоцразвития получил 25 лет за оплату членства на сайтах с детской порнографией и попытки скрыть сей факт путем доступа к таким сайтам с помощью средства анонимизации (в частности, Tor).
Вот такой Топ5 новогодних ИБ-событий.

31.12.14

Новогоднее обращение Алексея Лукацкого

Уважаемые коллеги, друзья, соратники, читатели блога! С наступающим (а кого-то уже и с наступившим) Новым годом! Пусть он будет безопасным!!! Ура!!!


За сим откланиваюсь и прощаюсь! До встреч в новом году, который будет непростым, но интересным и насыщенным! Всех благ!

ЗЫ. Посмотрел запись - получилось как0то депрессивно :-( Звиняйте, если что. Будем исправляться :-) Но уже в новом, 2015-м году овцы!

ЗЗЫ. Кстати! Если верить гороскопам, то в политическом и финансовом отношении год будет близок к катастрофе... Но все будет спасено и равновесие восстановится потихоньку, независимо от некоторого отсутствия благоразумия и компетентности.

ЗЗЗЫ. А еще есть "овечья" фирма, специализирующая в области ИБ - Wall of Sheep :-)


Предсказания иностранных ИБ-вендоров на 2015 год

Вчера я прошелся по основным прогнозам 2015-го года, сделанными отечественными специалистами и компаниями, занимающимися информационной безопасностью. Сегодня, как я и обещал, я пройдусь по прогнозам, которые делают иностранные компании. Но я решил не мешать всех в одну кучу, а разбить предсказания на две части - сделанные производителями средств защиты и независимыми экспертами, порталами и изданиями. Сегодня поговорим о трендах, которые видятся именно зарубежным разработчикам (McAfee, Websense, Palo Alto, Sophos и т.п.), а точнее:

Явным лидером, с почти двукратным отрывом, является безопасность Всеобъемлющего Интернета (Internet of Everything) или, как его часто еще называют, Интернета вещей (Internet of Things). А вот среди отечественных прогнозов эта тема занимает всего лишь третье место (наряду с другими тенденциями, разделившими с ней место). Но оно и понятно - у нас даже тема защиты АСУ ТП (а это тоже часто IoT) только-только выходит на первый план, а уж про остальные направления Интернета вещей и говорить не приходится. Поэтому Россия в этом плане немного отстает от западных стран.

Второе место делят сразу три прогноза:

  • Безопасность мобильного доступа и BYOD. У нас этот тренд также занимал второе место. Пожалуй, это тот редкий случай, когда прогнозы российских и иностранных экспертов совпали.
  • Рост угрозы со стороны программ-вымогателей (ransomware). Криптолокеры будут развиваться и расширяться на новые платформы. Эксперты предполагают, что помимо угрозы уничтожения зашифрованных данных в случае отказа от оплаты, злоумышленники начнут использовать угрозу придания гласности зашифрованных данных.
  • Использование уязвимостей в решениях open source и открытых протоколах и библиотеках. POODLE, Shellshock, Heartbleed... Кто дальше? 
На третьем месте у иностранных производителей всего 2 прогноза - связанный с последним выше трендом рост внимания к теме безопасности программного обеспечения (сканирование, SDLC и т.п.), а также безопасность облачных вычислений.

Завершают список самых популярных прогнозов тройка, состоящая из:
  • роста Интернет-мошенничества и атак на мобильные платежные системы
  • роста прессинга со стороны регуляторов в отношении защиты данных (это, оказывается, проблема не только наша, но и общемировая)
  • роста угроз со стороны государств и спецслужб. 

Если сравнить прогнозы россиян и иностранцев, то картина выглядит следующим образом:


Как мы видим, общего не так уж и много, а значит надо внимательно смотреть на то, что вам предлагают иностранные компании, интересны которых могут быть отличными от ваших, а значит и предлагаемые ими решения, могут отличаться от ваших потребностей.

У нас еще остается анализ прогнозов независимых экспертов, компаний и изданий, но его я оставлю уже на послепраздничные дни. Врядли кто-то готов изучать эти прогнозы завтра, в первый день нового года. Я не уверен, что и эту-то заметку кто-то читает :-)

ЗЫ. Последнее обновление от 13-го января 2015-го года

30.12.14

Отечественные предсказания в области ИБ на 2015 год

Конец года... Принято делать прогнозы и предсказания (в зависимости от уровня обоснованности). Я свои сделал на онлайн-семинаре для BISA. Но так как я не являюсь истиной в последней инстанции, то для оценки реальности того, что в действительности может произойти, я решил проанализировать прогнозы, которые делались в России в области ИБ на 2015-й год. К моему удивлению я нашел не так уж и много таких источников. Как правило, у нас перепечатывают иностранные источники - IDC, Gartner, Trend Micro, McAfee и т.п. Но есть немного и отечественных "ИБ-пророков":
Надо понимать, что некоторые прогнозы либо написаны второпях и поэтому неполны, либо отражают направление деятельности компании, в которой работает "пророк". Поэтому сложно приводить всех к единому знаменателю. Но все-таки... Явными лидерами среди прогнозов (в количественном выражении) являются следующие:

1-е место:
  • Рост числа целенаправленных угроз (APT). Явный лидер
2-е место
  • Рост внимания к безопасности критических инфраструктур
  • Рост внимания к безопасности мобильного доступа (BYOD)
  • Закручивание гаек в Интернет
  • Импортозамещение и курс на цифровой суверенитет
  • Развитие направления DLP, особенно для облаков и мобильных устройств
  • Рост числа Интернет-мошенничества
3-е место
  • Атаки на банкоматы, PoS-терминалы, киоски оплаты
  • Борьба с угрозами со стороны иностранных государств (пост-Сноуденовская эра)
  • Запрет хранения ПДн россиян за границей
  • ИБ виртуализации
  • ИБ облачных вычислений
  • ИБ Всеобъемлющего Интернета (Интернета вещей)
  • Милитаризация темы информационной безопасности (кибервойны, Военная доктрина и т.п.)
  • Экономический кризис и, как следствие, отказ от ряда проектов по ИБ, развитие финансовых схем продажи ИБ, повышение эффективности уже приобретенных продуктов и сервисов по ИБ, рост интереса к ИБ на open source, рост числа внутренних нарушений, сокращение бюджетов на ИБ
  • Рост интереса к сервисам расследования ИБ и появление центров реагирования на инциденты (CSIRT).
Понятно, что это не все, что нам грозит. Таже тема compliance в области ПДн, рост числа проверок, безопасность НПС/НСПК и т.п. Они не набрали более одного голоса (моего), но это не значит, что эти темы не будут в фокусе в грядущем году. Просто не хватило достаточного количества экспертов.

Западных прогнозов гораздо больше - они делаются как производителями средств защиты, так и отдельными экспертами, изданиями и порталами. Я постарался свести все найденное в два списка, анализ которого выложу уже завтра. Заранее отмечу, что иностранцы гораздо более активны и разнообразны в этом плане - я насчитал около сотни разных прогнозов.

Зарубежные вендорские прогнозы:

Зарубежные "независимые" прогнозы:
ЗЫ. Последнее обновление: 13-го января 2015 года

29.12.14

Новая Военная доктрина РФ в контексте информационной безопасности

Президент Путин утвердил новую Военную доктрину Российской Федерации, которая была обновлена под влиянием происходящих в последнее время вокруг России событий. Не берясь за полный анализ того, что написано в этом доктринальном документе, хочу тезисно обратить внимание на моменты, относящиеся к теме информационной безопасности.
  1. Традиционные для нас угрозы ИБ Доктрина относит к понятию "военная опасность", четко отделив их от понятия "военная угроза". Согласно Доктрине "военная опасность" - это "состояние межгосударственных или внутригосударственных отношений, характеризуемое совокупностью факторов, способных при определенных условиях привести к возникновению военной угрозы", а "военная угроза" - это "состояние межгосударственных или внутригосударственных отношений, характеризуемое реальной возможностью возникновения военного конфликта между противостоящими сторонами, высокой степенью готовности какого-либо государства (группы государств), сепаратистских (террористических) организаций к применению военной силы (вооруженному насилию)". Иными словами, традиционные угрозы ИБ сами по себе не могут быть военной угрозой, а всего лишь сопутствуют их проявлению. Но есть и исключение, которое только подтверждает, что тема спецопераций в киберпространстве не до конца проработана была при подготовке нынешней Военной доктрины.
  2. Угрозы ИБ могут быть отнесены к военным угрозам, если они воспрепятствуют "работе систем государственного и военного управления Российской Федерации, нарушение функционирования ее стратегических ядерных сил, систем предупреждения о ракетном нападении, контроля космического пространства, объектов хранения ядерных боеприпасов, атомной энергетики, атомной, химической, фармацевтической и медицинской промышленности и других потенциально опасных объектов". Тут мы опять наталкиваемся на классическую проблему с терминологией в области критически важных (потенциально опасных) объектов. Почему воспрепятствование работе систем фармацевтической промышленности представляет военную угрозу, а воспрепятствование системам управления транспортом (что для России с ее территориями, через которые надо во время военных конфликтов или войн перебрасывать войска, технику, продовольствие, является более чем актуальным) нет? На мой взгляд причиной этого является неразбериха в терминологии, которая до сих пор не устаканилась. Критический важный объект, стратегически важный объект, стратегический объект, объект, имеющий стратегическое значение, важный объект, важный государственный объект, объект жизнеобеспечения, особо важный объект, специальный объект, режимный объект, потенциально опасный объект... Вот только небольшая часть схожих терминов. На кого из них распространяется Военная доктрина?.. Хотя с другой стороны приводить терминологию в области критических инфраструктур - та еще работенка. Ее не стали даже делать, когда готовили законопроект о безопасности критических инфраструктур.
  3. Военные опасности делятся на внешние и внутренние. К первым в киберпространстве относятся  "использование информационных и коммуникационных технологий в военно-политических целях для осуществления действий, противоречащих международному праву, направленных против суверенитета, политической независимости, территориальной целостности государств и представляющих угрозу международному миру, безопасности, глобальной и региональной стабильности". В данном случае можно отметить схожесть (что неудивительно) позиции с основами государственной политики в области международной информационной безопасности.
  4. К внутренним опасностям, связанным с киберпространством, относится "деятельность, направленная на дезорганизацию функционирования информационной инфраструктуры Российской Федерации".
  5. Одной из черт военного конфликта (а это понятие выше военной угрозы), является
    • применение среди прочего и информационных мер невоенного характера
    • воздействие на противника в глобальном информационном пространстве
    • централизация и автоматизация управления войсками и оружием с помощью АСУВ и АСУО.
  6. Ядерному оружию внимание в Доктрине тоже уделено, но как инструменту сдерживания региональных и крупномасштабных войн. Я, если честно, в такие войны не очен верю именно по причине наличия у многих сторон ядерного потенциала. Поэтому несложно предположить, что роль кибервойн или правильнее спецопераций в информационном пространстве будет только возрастать.
  7. Как и документ, описывающий усилия МинОбороны РФ в области кибербезопасности, Доктрина постулирует принцип ненападения, а сдерживания и предотвращения военных конфликтов. 
  8. Среди основных задач, направленных на сдерживание и предотвращение военных конфликтов "нашей" теме уделено почетное последнее место - "создание условий, обеспечивающих снижение риска использования информационных и коммуникационных технологий в военно-политических целях для осуществления действий, противоречащих международному праву, направленных против суверенитета, политической независимости, территориальной целостности государств и представляющих угрозу международному миру, безопасности, глобальной и региональной стабильности". Вполне могу допустить, что изначально этого пункта и вовсе не было, так как никто не подумал о том, как бороться с угрозами ИБ, просто продекларировав их опасность. Думаю, что первоначально с ними предполагали бороться общими фразами, которыми так изобилуют другие доктринальные документы, - партнерство в рамках ОДКБ и БРИКС, миротворчество под эгидой ООН, прогнозирование и т.п. На то, что изначально этого пункта не было, меня наталкивает и то, что в Доктрине очень много говорится о соблюдении международного права и международных договоров, а в области ИБ (или точнее МИБ) у нас с этим большая проблема. До сих пор никаких международных норм ИБ так и не было разработано и, особенно в условиях нарастания геополитического конфликта США и России, врядли в ближайшее время стоит ждать прорыва в этой области. Да и постоянная отсылка к географическим границам РФ или ее союзников тоже говорит о том, что про спецоперации в информационном пространстве (против нас или нами) никто серьезно не думал.
  9. Интересно, что среди задач Вооруженных сил, других войск и органов в мирное время тема информационной безопасности не упоминается вовсе. Такое впечатление, что авторы документа и не знали, что могут делать военные в области ИБ в мирное время. Это вам не портянки шить, и не стволы пушек до блеска драить :-) По идее стоило бы сделать отсыл к Доктрине ИБ и основам госполитики в области МИБ, но почему-то про это забыли.
  10. А вот среди задач военной организации "совершенствование системы информационной безопасности Вооруженных Сил, других войск и органов" названо явно. Это же является и основной задачей при строительстве и развитии Вооруженных Сил, других войск и органов.
  11. "Материальность" Доктрины проявляется во всем. Авторы привыкли (оно и понятно), что во время военных конфликтов речь всегда идет о чем-то материальном. Атака производится на материальный объект. Оружие - это тоже, что-то материальное. Ущерб тоже имеет вполне себе материальную природу. Поэтому в Доктрину очень сложно вписывается информационная составляющая. Иногда даже кажется, что в уже готовый "материалистичный" текст добавили несколько кибер-пунктов. Например, есть в Доктрине раздел "Задачи оснащения Вооруженных Сил, других войск и органов вооружением, военной и специальной техникой" в нем пункт "развитие сил и средств информационного противоборства". Но программное обеспечение, которое зачастую и является основном инструментом информационного противоборства (если не рассматривать тему РЭБ), с трудом может быть описано понятием "военная и спецтехника". При этом интересно, что в контексте средств информационного противоборства говорится только об их развитии, а применительно к другим видам оружия - еще и о создании. Толи у нас уже средства информационного противоборства созданы и их надо только развивать, толи авторы опять же взяли готовую заготовку и вставили ее в текст, не думая о сути.
  12. В разделе про развитие оборонно-промышленного комплекса про силы и средства информационного противоборства ни слова. Откуда же их тогда брать? С гражданского рынка?
  13. В части международного сотрудничества повторяется неоднократно звучавший в других документах тезис о развитии "диалога с заинтересованными государствами о национальных подходах к противодействию военным опасностям и военным угрозам, возникающим в связи с масштабным использованием информационных и коммуникационных технологий в военно-политических целях".
Вот такой документ. Он еще раз подтверждает мысль, которую я как-то озвучивал и описывал - человек, родившийся и обучавшийся во всяких Академиях Генштаба или Высшей школы КГБ во времена, когда компьютеры описывались только в фантастических романах или в переводах зарубежной литературы в закрытых библиотеках, не способен адекватно оценивать ни угрозы ИБ, ни то, как с ними бороться. По одной простой причине - его этому не учили, а сам он с этим не сталкивался. И чем старше он становится (а в СовБезе и Генштабе никого из поколения "Интернет" нет), тем меньше шансов на то, что он сможет переориентироваться. Это как если всю жизнь бороться с иностранными техническими разведками и защищать государственную тайну. Даже если тебе дали задание разработать меры защиты для персональных данных или коммерческой тайны, то все равно у тебя получится только СТР и все. Вот с Военной доктриной таже проблема :-(

26.12.14

Информационная безопасность 2015 в картинах Васи Ложкина

Позавчера для ассоциации BISA проводил онлайн-семинар с анализом тенденций, которые нас ждут в 2015-м году в России с точки зрения информационной безопасности. В качестве иллюстраций использовал картины Васи Ложкина. Получилось немного депрессивно, но зато честно :-) Текущая экономическая, социальная, политическая и геополитическая ситуация не дает особых надежд на позитив в целом, но по отдельности, каждый специалист и каждая компания могут извлечь из каждой тенденции свои уроки и даже попробовать их использовать во благо.



Помимо вышеприведенной презентации велась и запись, ссылку на которую тоже прилагаю. По итогам презентации была небольшая сессия вопросов и ответов, на которой было озвучено несколько тем, которые не вошли в презентацию. Возможно я на ее базе сделаю расширенную версию, но разбитую на несколько блоков, которые и буду выкладывать с озвучкой в блоге уже в январе. 

25.12.14

Становится понятно, за что будет наказывать РКН операторов ПДн

Многострадальный законопроект по штрафам за нарушение правил обработки персональных данных наконец-то был внесен Правительством в Государственную думу. Произошло это вчера. Давайте посмотрим, чем отличается то, о чем я уже писал в январе, с нынешним законопроектом. Подготавливала его

Законопроектом предусматривается полное изменение статьи 13.11 КоАП, которая теперь вместо абстрактного "нарушения порядка обработки" оперирует вполне конкретными 8-vm. составами правонарушения, в соответствии с которыми и устанавливается административная ответственность. К этим нарушениям относятся:
  1. Обработка ПДн с нарушением требований, установленных законодательством РФ  о персональных данных, к составу сведений, включаемых в согласие в письменной форме субъекта ПДн.
  2. Обработка ПДн без согласия субъекта ПДн и в отсутствие предусмотренных законодательством РФ  о персональных данных иных условий обработки.
  3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также ПДн о судимости в случаях, не предусмотренных законодательством РФ о персональных данных.
  4. Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, и сведениям о реализуемых требованиях к защите ПДн.
  5. Невыполнение оператором обязанности по предоставлению субъекту ПДн  информации, касающейся обработки его персональных данных.
  6. Невыполнение оператором в сроки, установленные законодательством РФ  о ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн  об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  7. Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих в соответствии с законодательством РФ о ПДн  сохранность ПДн  при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния.
  8. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ о ПДн обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных.
Свел указанные правонарушения в таблицу с указанием штрафов по ним (убрав физлиц и индивидуальных предпринимателей) и добавив нормы законодательства, за нарушение которых и вводятся новые штрафы.



Сразу хочу отметить, что 8-й пункт возможно исчезнет из финального текста закона. Все-таки вводили его еще тогда, когда в 211-м Постановлении Правительства обезличивание было обязательным. Сейчас это не так и поэтому данный пункт большого смысла не имеет.

Законопроектом предлагается также внести изменения в КоАП, касающиеся наделения Роскомнадзора полномочиями по возбуждению дел об административных правонарушениях законодательства Российской Федерации о персональных данных. Если раньше по статье 13.11 дела возбуждались прокуратурой, то теперь РКН получит долгожданные полномочия и, вероятнее всего, активно будем ими пользоваться.

Что в итоге? Да, штрафы возрастают. Они могут суммироваться, поэтому для юрлица кумулятивная сумма штрафа может достигать 565 тысяч рублей, что на существенно больше предыдущих 10 тысяч. Да, теперь сам РКН может направлять материалы в суд, не дожидаясь когда сотрудники прокуратуры в трехмесячный срок рассмотрят полученные от РКН материалы и направят в суд. Т.е. число дел, доводимых до суда, возрастет. Да, по-прежнему остаются иные статьи КоАП, которые могут быть применены к нарушителям. Но есть и позитивные моменты.

Теперь у РКН есть четкий список правонарушений, которые повлекут за собой наказание в виде штрафа. Никакой отсебятины, никаких расширительных трактовок. Операторам тоже становится понятно, за что их будут наказывать и что будут копать в первую очередь. Да, 8 составов правонарушений - это немало. Но зато теперь понятно, на чем стоит концентрироваться в первую очередь. А это очень хорошо.

22.12.14

Обезличивание как способ "разрешения" проблемы с 242-ФЗ

Тема с запретом хранения ПДн россиян за границей уже малость поднадоела и надо ее прекращать (до начала правоприменения так уж точно). Поэтому хочу просто наметить несколько идей, на которые не распространяется действие ФЗ-242 в части хранения ПДн зарубежом.

Идея №1. Как можно говорить о гражданстве субъекта ПДн, если его об этом нигде не спрашивают, сам он не жалуется, а по заголовку IP-пакета еще не научились определять, какой герб на паспорте у его владельца. Правда, есть и другая проблема - РКН это мало волнует; особенно если есть "заказ" или не хватает "галок" :-(

Идея №2. Архивирование ПДн. Выполнение норм ФЗ-125 об архивном деле позволяет вывести архивные данные из под действия ФЗ-152, о чем прямо в законе и написано. Ну а архивировав ПДн, мы можем передавать их куда угодно и хранить где угодно.

Идея №3. Обезличивание ПДн. Это наиболее перспективная идея, на мой взгляд. По мнению самого РКН обезличивание приводит к тому, что персональные данные перестают быть таковыми.  А раз они перестают быть персональными, то и из под действия ФЗ-152/242 выпадают. А значит хранить их можно также где угодно, в т.ч. и за пределами РФ. И все в пределах закона. А обезличивать можно согласно приказу №996 самого РКН, который устанавливает критерии "хороших" методов обезличивания. Что характерно, 996-й приказ не ограничивает самих методов - вы можете придумать их самостоятельно, основываясь на критериях, предложенных самим РКН.



Идея №4. Она банальна и не нова - знайте законодательство, на котором базируется ваша деятельность. Обработка ПДн для достижения цели, предусмотренных законом или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей, как раз и является еще одним исключением, когда можно хранить ПДн россиян за границей. Тут не так все очевидно, но тоже можно "поиграться".

Полный ответ Минкомсвязи по поводу 242-ФЗ

Меня затерроризировали просьбами выложить текст ответа Минкомсвязи по поводу действия ФЗ-242. Выкладываю... В комментах к предыдущим заметкам задавался риторический вопрос: "А зачем тогда вообще принимали 242-ФЗ, если его можно не исполнять?" Я бы хотел еще раз отметить, что ФЗ-242 посвящен не только запрету хранения ПДн россиян за границей. Он состоит из 3-х частей:

  1. Поправки в 149-ФЗ, определяющие порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства о ПДн. Наиболее объемная статья ФЗ-242.
  2. Поправки в 152-ФЗ, определяющие "запрет" на хранение ПДн россиян за границей.
  3. Поправки в 294-ФЗ, определяющие исключение вопросов надзора за ПДн и обработкой информацией в Интернет из 294-ФЗ.

Вот именно последняя поправка и является наиболее опасной на мой взгляд, так как после ее вступления в силу РКН уже не будет должен согласовать свои плановые и внеплановые проверки с прокуратурой, не будет ограничен 20-тью днями, не будет ограничен одной плановой проверкой раз в три года и т.п.

Но вернемся к запрету хранения ПДн. Насколько позицией Минкомсвязи можно пользоваться? Хочу отметить, что на фоне ответа Администрации Президента в сторону Ассоциации европейского бизнеса ответ Минкомсвязи не является истиной в последней инстанции, как бы не хотелось так считать. И даже при условии, что речь идет о органе исполнительной власти, определяющем государственную политику в области обработки ПДн. Все-таки Администрация Президента есть администрация самого Гаранта Конституции.

Второй комментарий касается предпоследнего абзаца данного ответа. Минкомсвязь правильно отмечает, что они не уполномочены (как и РКН, как и Администрация Президента) трактовать и толковать законодательство и высказывают только свое мнение. Кстати, в ответе РКН, который я приводил ранее, нет этой приписки - Роскомнадзор, не стесняясь, трактует законодательство, считая свою позицию истиной в последней инстанции.

Поэтому остается только самостоятельно взвешивать все риски для операторов ПДн и ждать правоприменительной практики, о чем и написал в своем ответе МИД.






18.12.14

Ответ Минкомсвязи по поводу реализации 242-ФЗ: окончание триптиха

Вчера Государственная дума, как обычно, в спешном порядке приняла сразу в двух чтениях законопроект о переносе срока вступления в силу запрета на хранение ПДн россиян за границей. Теперь этот срока наступает 1-го сентября 2015-го года, т.е. на год раньше запланированного. Попутно с 1-го сентября 2015-го года наступает и срок, когда РКН выходит из под действия ФЗ-294 о защите прав юридических лиц при осуществлении государственного контроля (надхора). И поскольку питавшие меня надежды на то, что депутаты все-таки одумаются и им хотя бы кто-нибудь озвучит несуразность запрета (а как мы помним, госорганам, которых закон напрямую затрагивает, пофигу), не оправдались, то пора рассмотреть ответ Минкомсвязи на заданные мной в сентябре вопросы.

Первый сделанный Минкомсвязью тезис звучит так: субъект имеет право передавать ПДн кому угодно, в т.ч. и иностранным госорганам, юрлицам, организациям и физлицам, как находящимся на территории РФ, так и находящимся за ее пределами.


Второй вывод органа исполнительной власти, уполномоченного определять государственную политику в области защиты прав субъектов ПДн, звучит также обнадеживающе - отечественный оператор ПДн вправе поручить обработку ПДн иностранному оператору ПДн.


Минкомсвязь закономерно считает, что ИСПДн может быть распределенной и часть ее элементов может находиться за пределами РФ.


Минкомсвязь не считает невозможным применять дублирующие базы данных, находящихся на территории РФ (или за ее территорией).


Дальше Минкомсвязь подтверждает тезим представителя РКН о том, что ФЗ-152 действует только на территории Российской Федерации, а Конвенция имеет приоритет над ФЗ-152. При этом наказать иностранное юридическое лицо, якобы "нарушившее" положения ФЗ-152, но за пределами РФ, нельзя.


И, наконец, финальным аккордом Минкомсвязь является подтверждение известного принципа "закон обратной силы не имеет" и что на правоотношения с иностранными лицами, ведущими базы данных ПДн, оформленные до вступления в силу ФЗ-242 (т.е. до 1-го сентября 2015-го года), положения ФЗ-242 не распространяются.


Надо признать, что ответ Минкомсвязи из всех полученных от разных ФОИВов, включая и Роскомнадзор, мне понравился больше всего. И не только потому, что он разрешает обработку ПДн за пределами РФ при наличии согласия субъекта и соблюдении требования по обеспечению безопасности ПДн, но и потому что ответ Минкомсвязи опирается на действующее законодательство и все разъяснения ссылаются на нормы законодательства - Конституции, Гражданского Кодекса, ФЗ-152, ФЗ-242 и т.п. А учитывая, что именно Минкомсвязь у нас является главенствующим органом исполнительной власти, определяющим государственную политику в области ПДн, этот факт придает ответу регулятора еще больший вес, чем ответам всех остальных регуляторов вместе взятых.