29.5.09

Что делать в условиях кризиса?

Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность. С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис не затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов всё равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по-старому становится всё тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово не глядя тратить миллионы на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?

Я могу выделить 3 ключевых направления деятельности для всех игроков рынка (по обе стороны баррикад)... (далее на Компьютерре)

Информзащита запустила новый сайт по PCI DSS

Информзащита запустила новый сайт по PCI DSS. На портале представлены новости, статьи, мнения экспертов, документация на русском языке, касающиеся PCI DSS. Также в рамках портала функционирует форум, где можно обсудить с сертифицированными аудиторами (QSA) Информзащиты вопросы, связанные со стандартом и его требованиями.

ЗЫ. Сайт, наверное, будет полезным, но я уже потерял счет сайтам Информзащиты ;-( Дифференциация, безусловно, хорошо, но не до такой же степени...

Элвис+ запустил раздел сайта по персданным

Компания Элвис+ запустила раздел сайта по персональным данным, включающий ответы на животрепещущие вопросы по данной тематике.

28.5.09

Сценарий ухода от К1/К2

Очень много сейчас говорят о том, что классификация ИСПДн по классу К1 или К2 приведет к коллапсу бизнеса многих предприятий, т.к. выполнить эти требования четверокнижия физически невозможно. Иногда выполнение этих требований вообще влечет за собой угрозу жизни человеку. Что же делать? Ссылаться на нелигитимность этой четверки документов я не буду - покажу реальный сценарий действий при сцществующем положении дел.

Итак, у нас имеется ст.19 ФЗ-152, которая гласит "Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".

Обращу ваше внимание, что в данной статье закон (а не подзаконные акты) требует защитить ПДн, среди прочего, от изменения и блокирования. Иными словами оператор ПДн должен обеспечить защиту от угроз нарушения целостности и доступности.

Согласно "приказу трех" к специальным ИСПДн относятся "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)".

Но... обеспечение иных характеристик безопасности ПДн (помимо конфиденциальности) мы обязаны по закону. Мы не можем не выполнять или обойти это требование, т.к. оно прописано достаточно явно. Из этого следуюет вполне логический вывод, что типовых ИСПДн не существует в природе и любая ИСПДн относится к разряду специальных. Это факт номер 1.

Идем дальше. В п.16 "прикзаа трех" сказано, что "по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Таких методических документов нет! Это признают и сами регуляторы, рекомендуя для специальных ИСПДн разрабатывать частную модель угроз и, уже исходя из нее, разрабатывать перечень мероприятий по защите. Руководствоваться при разработке модели угроз и перечня мероприятий можно имеющимися документами ФСТЭК. И вот тут самое интересное. Документ "Основные мероприятия..." определяет требования к типовым ИСПДн, которых в природе не существует.

Что из этого следует? А то, что вы можете самостоятельно (даже без привлечения сторонних организаций) разработать модель угроз и, что самое главное, перечень мероприятий по защите от них, в который вы можете преспокойно не включать такие, безусловно, "важные" требования по защите моей фамилии или факта о болезни ОРВИ, как борьба с ПЭМИН, виброакустикой, видеоперехватом и т.д.

Также вы можете со спокойной совестью удалить из модели угроз производителя ПО, защитив себя тем самым от требования наличия сертификата на НДВ (закладки). Я с трудом себе представляю хотя бы одного из 7 миллионов операторов ПДн, который должен опасаться, что Microsoft или Oracle или SAP специально внесут закладки в ПО с целью получения несанкционированного доступа к персональным данным уборщицы "Марь Ивановны".

27.5.09

АРБ консолидировала усилия банков по линии персданных

22 мая в Ассоциации Российских Банков (АРБ) прошло заседание рабочей группы по вступающим в силу с 1 января 2010 года отдельным положениям соответствующего Федерального закона № 152-ФЗ. Как участник данной встречи хотел сначала подробно расписать, к чему пришли на этой встрече, а потом на сайте нашел пресс-релиз по ее результатам. Поэтому повторяться не буду.



Собственно в июне пройдет вторая встреча по данному направлению с приглашением регуляторов и обсуждением всех предложений в расширенном составе. А вот в июле планируется проведения конференции под эгидой АРБ и ЦБ по данной теме.

Из наиболее интересного хочу отметить, что планируется активно задействовать СТО БР ИББС-1.0 в качестве типовой модели угроз ПДн (возможно с некоторой доработкой) и набора защитных мероприятий. Если удастся данный отраслевой стандарт сделать "заменой" требованиям ФСТЭК по персданным для кредитных учреждений, а оценку соответствия данному стандарту приравнять к аттестации, то для банков ситуация сильно облегчится в части выполнения технических требований по защите ПДн. Остаются еще требования самого ФЗ, но и тут нас скоро ждут изменения. По крайней мере в Минкомсвязи сейчас готовится проект ФЗ о внесении изменений в ФЗ-152.

Надо заметить, что это не единственный пример такой консолидации сил. Помимо банковского сообщества, аналогичная работа ведется под эгидой инфокоммуникационного союза для операторов связи. Дело за малым - осталось привлечь Всеросийский союз страховщиков для страховых компаний и мы получим наиболее важные отрасли, чьи клиенты насчитывают десятки миллионов людей. Еще бы ЖКХ и социалку привлечь, но у них, имхо, нет ассоциации, объединяющей их интересы.

26.5.09

Новый семинар RISSPA

27 мая в 10.00 (по Москве) RISSPA проводит очередной онлайн-семинар, в рамках которого будут рассмотрены основные меры и тенденции в области противодействия DDoS-атакам, а также реальный практический опыт борьбы с ними российских компаний.

Программа семинара и докладчики:

  1. "Стратегии защиты от DDoS-атак", Ларин Виктор, глава представительства ARBOR Networks в России и СНГ;
  2. "Решение Cisco Clean Pipes по защите от DDoS-атак", Антонов Павел, технический консультант, Cisco Systems;
  3. "Оценка эффективности противодействия DDoS-атакам", Сергей Гордейчик, руководитель отдела консалтинга и аудита, Positive Technologies;
  4. "Практические аспекты защиты от DDOS-атак", Емельянов Роман, начальник отдела развития систем информационной безопасности, ТТК.

Регистрация на сайте RISSPA.

25.5.09

Новое Постановление Правительства

18 мая Правительство приняло Постановление №424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям". Суть простая - операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет, утвержденном Постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти", при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить ряд мероприятий, и описанных в Постановлении (защита, контроль доступа, восстановление информации и т.д.).

Из интересного интересная коллизия обнаружилась - Минкомсвязь отвечает за защиту систем, а ФСТЭК и ФСБ - за защиту данных в этих системах. Как они будут разрулировать этот парадокс, я себе не представляю. Например, шифрование данных, попадающее под юрисдикцию ФСБ, может быть реализовано только в конкретной системе, а это уже прерогатива Минкомсвязи...

22.5.09

Гастарбайтеров зовут в специалисты по ИБ

Минздравсоцразвития утвердил перечень профессий (специальностей, должностей) иностранных граждан - квалифицированных специалистов, трудоустраивающихся по имеющейся у них профессии (специальности), на которых квоты не распространяются, на 2009 год.

В перечне 17 позиций. 15 из них директорских и только две - инженерные. Одна - Инженер по автоматизации и механизации производственных процессов. А вот вторая - Инженер по защите информации.

Как говорится на сайте Минздравсоцразвития "по словам заместителя Министра Максима Топилина, данный перечень призван стимулировать привлечение в Россию высококвалифицированных специалистов из-за рубежа для разработки и внедрения новых технологий, развития инновационного сектора экономики. Кроме того, он способствует созданию благоприятных условий для привлечения и использования иностранных высококвалифицированных специалистов, в которых работодатели испытывают острую нехватку рабочей силы в связи с отсутствием российских работников соответствующей квалификации, а также упрощению порядка привлечения и использования отдельных категорий иностранных высококвалифицированных специалистов".

Интересно, кто составлял этот список? То, что специалистов по защите не хватает, вопросов не вызывает. Но кто может себе представить, что на эту должность возьмут гастарбайтера? Я это себе представляю с трудом. Наши чиновники, как всегда в ударе ;-)

21.5.09

Бесплатные онлайн-курсы по ИБ и ИТ

Наткнулся тут на интересную ссылку, которая описывает 100 бесплатных Интернет-курсов по ИТ и информационной безопасности, подготовленных такими монстрами американского обучения, как MIT, Гарвард и Принстон.

McAfee покупает Solidcore Systems

15-го мая McAfee объявила о приобретении Solidcore Systems, которая является автором технологии "белых списков" для приложений, установленных на компьютерах; особенно на таких часто забываемых безопасниками устройствах, как банкоматы и платежные терминалы, многофункциональные печатающие устройства, АСУ ТП и т.п.

Сумма сделки - 33 + 14 миллионов долларов.

20.5.09

Банк России выпустил методику оценки соответствия СТО БР ИББС-1.0-2008

Департамент внешних и общественных связей сообщает, что 19 мая 2009 года вышел "Вестник Банка России" № 31 (1122), в котором опубликован Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" (СТО БР ИББС-1.2.-2009).

Данный выпуск "Вестника" выложен на сайте Банка России.

13.5.09

Trend Micro покупает Third Brigade

Trend Micro подписала соглашение о покупке Third Brigade - компании, которая специализируется на защите центров обработки данных различных топологий построения - от традиционных до "облачных", включая безопасность виртуализации. Также Third Brigade разрабатывала систему предотвращения атак оконечных систем, которая станет составной частью стратегии TM Smart Protection Network.

12.5.09

Прямой маркетинг с точки зрения персданных - 2

Мы уже рассмотрели ситуацию с прямым маркетингом, который становится нелегитимным с точки зрения ФЗ-152. А что нам говорит Евроконвенция по этому поводу? Там тоже требуется согласие, но... европейские законодатели поняли, что это сложно и сделали ряд оговорок:
  • Сбор и обработка подчиняются принципу opt-out
  • Можно обрабатывать ПДн при условии, что субъект может запретить такую обработку
  • Можно не уведомлять субъекта, если это требует непропорциональных усилий.
Третий пункт очень интересен (в ФЗ-152 он отсутствует). Вы можете на сайте разместить описание процедуры отказа от прямого маркетинга или сделать радио-, теле-рекламу и не ставить каждого субъекта ПДн в известность и получать его согласие.

11.5.09

ФЗ-152, Европейская Конвенция и баланс интересов

Если подытожить все 5 ситуаций, рассмотренных с 4-го по 8-е мая, то мы увидим, что типичные действия, которые мы всегда делали в своих компаниях, уже не так просто осуществлять с точки зрения ФЗ-152. И вот тут нам полезно знать, чем отличается ФЗ-152 от Европейской Конвенции по защите персданных, ратифицированной в России и имеющий бОльшую юридическую силу, чем ФЗ-152.

В Конвенции есть помимо нам известных случаев, когда не требуется получать согласия субъекта ПДн, есть еще один сценарий, отсутствующий в ФЗ-152. Речь идет о "балансе интересов". Статья Конвенции звучит примерно так: "Обработка ПДн необходима в целях обеспечения законных интересов оператора или третьей стороны, которым раскрыты ПДн, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта ПДн, защита которых требуется согласно Статье 1(1)" (статья 1(1) - это про фундаментальные права субъекта ПДн). Иными словами, когда интересы оператора существенно сильнее, чем интересы субъекта, то согласие последнего не требуется. В качестве таких ситуаций можно назвать:
  • видеонаблюдение - интересы защиты имущества работодателя выше интересова посетителей
  • обмен информации о мошенничестве ("черный список") - интересы защиты от мошенничества выше, чем интересы мошенников
  • ОСАГО и кредитные бюро - интересы кредитора и страховщика выше интересов заемщика и страхователя
  • и т.д.

8.5.09

Видеонаблюдение с точки зрения ФЗ-152

Многие компании используют системы видеонаблюдения для контроля своего имущества и противодействия противоправным действиям сотрудников и посетителей. Это нормально с точки зрения здравого смысла. А ФЗ-152 эту деятельность делает практически нереальной ;-(

Начнем с того, что видеоизображение человека - это его биометрические ПДн, т.е. ПДн, обработка которых требует письменного согласия субъекта. Если со своими сотрудниками это еще можно сделать, включив такой пункт в трудовой договор, то что делать с обычными посетителями?.. Согласие должно быть письменным и простой таблички "вас снимает скрытая камера" явно недостаточно.

Я слышал вариант ухода от этой ситуации путем ссылки на ст.152.1 Гражданского Кодекса "Охрана изображения гражданина". В этом случае якобы нам не надо получать письменное согласие, т.к. цель обработки определяется федеральным законом. Но тут не все так просто. Обработка биометрических ПДн - это специальный вид деятельности, требующий письменного согласия по ФЗ-152. А, во-вторых, ГК, требуя обязательного согласия на использование изображения субъекта, освобождает от него в трех случаях, в которые не попадает корпоративная система видеонаблюдения.

ЗЫ. Аналогичная ситуация и с фотоизображениями, которые хранятся в адресных справочниках или печатаются на бейджах. Правда, в отношении своих сотрудников эту проблему можно решить, получив их явное согласие.

7.5.09

ОСАГО с точки зрения ФЗ-152

Теперь посмотрим на ОСАГО и деятельность страховых компаний. Допустим я решил сменить страховую и обратился в новую за ОСАГО или КАСКО. Страховая компания захочет проверить меня, как добросовестного и безаварийного водителя и будет пытаться получить мою "автоисторию". А ФЗ-152 это запрещает без согласия субъекта ПДн в лице автовладельца. Проблема заключается в том, что ОСАГО - это обязательный вид страхования - отказать в нем нельзя. В итоге страховая компания может пострадать.

Еще хуже ситуация, когда страховая компания лишается лицензии на ОСАГО. Российский союз автостраховщиков не сможет выплатить компенсацию клиентам компании, потерявшей лицензию, т.к. не сможет получить ПДн без согласия автовладельцев. А компания, потерявшая лицензию, не очень-то заинтересована в получении такого согласия от своих клиентов и передачи их в РАС.

6.5.09

Кредитные бюро с точки зрения ФЗ-152

Согласно ст.3 ФЗ-218 "О кредитных историях" "Бюро кредитных историй оказывает услуги по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг". Это достаточно логичный бизнес и с точки зрения заемщика, и с точки зрения кредитора. Первый хочет получить кредит на более выгодных условиях, а второй хочет получше узнать будущего заемщика.

Однако ФЗ-152 и ФЗ-218 делают работу кредитных бюро очень непростой. Согласно законодательству пользователь кредитной истории (будущий кредитор) получает кредитный отчет только с согласия субъекта кредитной истории (заемщика). А последний может быть и не заинтересован в таком согласии. А без такого письменного согласия получение кредитором такой информации будет незаконной и обиженный заемщик может спокойно обращаться в Роскомнадзор или прокуратуру.

5.5.09

"Черные списки" с точки ФЗ-152

"Черные списки", которыми обмениваются многие компании с целью борьбы с мошенниками, тоже теперь вне закона, т.к. передача такой информации третьим лицам возможна только с разрешения субъекта ПДн, а он этого точно делать не будет.

Правда доказать факт наличия таких списков тоже непросто.

4.5.09

Прямой маркетинг с точки зрения персданных

Вот решил между праздниками рассмотреть несколько типичных ситуаций, с которыми нам приходится сталкиваться, через призму ФЗ-152 "О персональных данных". Сценарии я взял из своего курса "Что скрывает законодательство о персональных данных", читаемого в ИБД АРБ.

Ситуация первая - прямой маркетинг. Ст.15 ФЗ запрещает такой вид деятельности ;-( Точнее делает его нереальным. В статье говорится буквально следующее: "Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных". Учитывая, что предварительное согласие получить нереально, то любая адресная рассылка с указанием ФИО является нарушением ФЗ со всеми вытекающими последствиями.

А согласие-то получить нужно только письменное, т.к. в ст.15 говорится: "Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено".

ЗЫ. Вчера получил письмо с договором на страхование жилплощади. Но ФИО вообще не указано - только предмет договора - мой адрес. А в качестве сторон по договору указан "владелец квартиры по такому-то адресу". И придраться не к чему ;-)