31.8.11

Новые ресурсы по ФЗ-152

Если не считать различных блогов, так или иначе упоминающих тематику персональных данных, то новых сайтов по данной теме давно не появлялось. И вот коллеги подсказали мне два новых ресурса:
  • Мир персональных данных. Авторы достойные и мне знакомые - Юрий Травкин и Юрий Баевский. Основная задача сайта - оказать посильную помощь организациям-операторам персональных данных. Небезвозмездно, конечно. Но зато можно рассчитывать на внимание к себе и некоторую персонализацию подготавливаемых рекомендаций и документов. Вместе с сайтом работает и ресурс, на котором можно пройти дистанционное обучение по тематике персданных.
  • Б-152. Игра слов, положенная в название сайта, говорит о том, что его авторы - молодежь, нечурающаяся ночных клубов и баров, в которых подают коктейль Б-52. Задача ресурса аналогичная предыдущему - за деньги помочь всем бизнесменам решить проблемы с ФЗ-152 путем консультаций и подготовки документов. Но есть и отличия. С одной стороны - авторы абсолютно неизвестны. С другой - процесс работы на сайте автоматизирован, чтобы по минимуму задействовать человеческий фактор.

ЗЫ. К слову, 29-го сентября в Челябинске пройдет достойное мероприятие по ФЗ-152. Организатор - Аста74. Я там участвовал в прошлом году и буду выстпать и в этом. Женя Царев также заявлен как спикер этого года. Кто будет в Челябинске и окрестностях - милости прошу. Узнаете новости от прокуратуры, РКН, ФСТЭК.

    30.8.11

    Конкурс DLP Russia для молодых специалистов

    Организаторы DLP Russia 2011 объявили конкурс докладов среди специалистов ИБ. Победители конкурса смогут бесплатно сделать свои сообщения на конференции.Суть этой инициативы – дать возможность молодым специалистам и недавно образованным командам программистов (стартапам) заявить на мероприятии о своих инновационных разработках по тематике конференции, а также найти партнеров и, возможно, инвесторов для развития своих проектов в области информационной безопасности. Российский Экспертный совет по вопросам защиты корпоративной информации от внутренних угроз рассматривает этот конкурс как общественный вклад сообщества DLP-экспертов в поддержку инициатив в области научно-технических инноваций по направлению информационной безопасности.

    Лексиль - 2 или что такое Wordle?

    Как-то года полтора назад я писал про Lexile - инструмент оценки простоты/сложности текста и возможность его использования для документов по ИБ. И вот наткнулся в Интернете на немного другой (автор вообще считает его немного забавным), но все же похожий сервис - Wordle. Суть сервиса проста - он подсчитывет подсунутые ему тексты и выдает на выходе графическую карту частоты слов, удалив предварительно слова, не несущие смысловой нагрузки. Получается достаточно интересно. Вот как, например, выглядит мой блог за последнюю неделю:


    За счет визуализации сразу становится видно, о чем я писал - ПДн, ФСБ, локализация. А вот как выглядит ФЗ-152:

    Термин "персональные данные" превалирует над всеми остальными словами. На втором месте - "субъект", "обработка", "право", "РФ". Ну и т.д.

    Не могу сказать, что практическая ценность у этого инструмента высока, но все равно - достаточно интересно. А в ряде случаев может помочь выявить явные перекосы в использовании того или иного слова.

    ЗЫ. С русским языком сервис работает неплохо. Только вот морфологию не учитывает.

    Новая версия курса по персданным

    Вновь обновил курс по персданным, а всего-то прошло меньше месяца с последней версии. В новую версию вошли следующие новые и обновленные темы:
    • ПДн акционеров
    • ПДн аффилированных лиц
    • В каких случаях можно ли обрабатывать сведения о судимости?
    • Можно ли обрабатывать сведения о ближайших родственниках без согласия?
    • Можно ли передавать ПДн коллекторским агенствам?
    • Новый приказ РКН по заполнению уведомления
    • Нужна ли лицензия ФСБ и ФСТЭК - мнение судов
    • Проект административного регламента ФСБ
    • Место СТО Банка России в новом правовом поле.
    В конце сентября я провожу целых три тренинга по этому курсу (расписание справа в центре на главной странице) и скорее всего к нему я вновь его обновлю - есть ряд тем, которые требуют внесения их в курс - судебная практика, статус 781-ПП и 687-ПП в новом правовом поле и т.д.

    29.8.11

    Есть ли в России ИТ-продукция отечественного производства?

    На прошлой неделе прошла новость о том, что Минэкономразвития и Минпромторг выпустили приказ о том, что считать ИТ-продукцией отечественного производства. Многие СМИ и специалисты позитивно восприняли эту новость. Однако, видимо, никто текст самого приказа не читал. Иначе мнение было бы совершенно иным. Ведь проблема не в том, сколько процентов "чего-то там" должно быть в оборудовании, чтобы считать его отечественным. Проблема кроется глубже. Резюмируя, могу сказать, что все соответствует описанной мной ситуации с ветром перемен.


    Если же копнуть и посмотреть на весь приказ, а не на новости о нем, то ситуация следующая. Все пишут про параметры, в соответствие со значениями которых оборудованию присваивается статус отечественного. В Приложении 2 к приказу говорится о формуле расчета уровня локализации. Так вот параметр Кимп (это стоимость импортного сырья, материалов и комплектующих, используемых в телекоммуникационном оборудовании и имеющих отечественные аналоги) посчитать сегодня нельзя. Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства. Не определены, какие каталоги на эти материалы и комплектующие считаются официальными. Не определены процедуры и орган, которые могут утверждать о наличии отечественных аналогов иностранным материалам икоммплектующим. Без этого формула не работает или значение Кимп всегда будет велико, что даст в результате и очень низкий итоговой уровень локализации. Могу заметить, что и большинство российских компаний, которые сейчас считаются производителями отечественного оборудования, по новому приказу не получат желаемого статуса.

    Смотрим дальше. Почти все иностранные вендоры, работающие в России, это резиденты со 100%-м участием иностранных компаний. Чтобы выполнить пункт 2.1 приложения 3 вендоров заставляют создавать совместные предприятия с Ростехнологиями или какими-то госорганами или муниципалами. Но проблема даже не в этом, а в том, что если у российского ООО, являющегося 100%-й дочкой западного вендора еще есть шансы на получение хоть каких-то прав на ПО и документацию, используемые в оборудовании, то у СП таких шансов нет. Это запрещает экспортное законодательство многих стран мира. А наличие у СП прав на интеллектуальную собственность является обязательным условием к заявителям на получение статуса отечественного разработчика.

    Абзац после п.2.3 приложения 3 говорит о том, что заявитель должен осуществлять полный цикл сборки печатных плат. Но согласно приложению 1 приказа я могу достичь необходимого минимального уровня локализации и не обеспечивая полного цикла сборки печатных плат в России. Но дело даже не в том, что между требованиями есть нестыковка. Могу с уверенностью утверждать, что почти все российские разработчки (даже работающие на силовиков), используют печатные платы иностранного производства (как правило, произведенные в Китае и на Тайване). Исключения есть. Например, в Сибири есть одно из предприятий, которое клепает все самостоятельно. Но к нему все равно никто не обращается - высока себестоимость и не так высоко качество (по сравнению с иностранными аналогами). Все по-прежнему берут платы заграницей, ставя крест на своем статусе отечественного разработчика.

    Вдогонку замечу, что сборка печатных плат - это экологически вредное производство. Зачем заставлять его осуществлять в России - непонятно. Мало нам хранения ядерных отходов?.. Ну и совсем уже мелочью является то, что перед принятием приказа речь шла о переходном периоде - минимально допустимые уровни локализации разбивались по годам. А сейчас от этого отказались и требуют выполнять приказ уже сейчас и сразу по максимуму.



    К чему это все приведет? Думаю, что в течение полугода-года будет полная неразбериха. Потом либо что-то изменится, либо некоторые игроки будут уходить с рынка. Или просто откажутся от поставок в сектора, где требуется отечественное оборудование. Или регулятор и заказчик будет закрывать глаза на эти требования. Например, с 2006-го года у Минкомсвязи появилось требования об использовании отечественной криптографии в системах цифрового телевещания. Но на это требование все закрывают глаза - и разработчики, и операторы связи, и сам Минкомсвязь. Но требование есть ;-)

    ЗЫ. Зато инновации у нас разовьются полным ходом!!!

    26.8.11

    Проект административного регламента ФСБ по персданным

    ФСБ опубликовала проект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных" (HTML и PDF).Правда, почему-то не у себя на сайте, а на сайте РКН.

    Первое, что бросается в глаза, - тему биометрии ФСБ прибрало к своим рукам (собственно, это не первый факт "захвата" темы биометрии со стороны ФСБ). Итак, краткое резюме по проекту:
    1. Контроль и надзор осуществляют представители 8-го Центра и территориальных управлений (а позиция у них, кстати, часто разнится).
    2. Неавтоматизированной обработкой ФСБ не занимается.
    3. ФСБ может не только выдать предписание об устранении нарушений, но и составить протокол об административном правонарушении (правда, непонятно по какой статье), а также направить кляузу в РКН.
    4. Сам регламент составлен в соответствии с ФЗ-294.
    5. Основанием для включения оператора в План проведения проверок является истечение трех лет со дня начала осуществления оператором деятельности в соответствии с представленным в Роскомнадзор уведомлением о начале осуществления деятельности по обработке персональных данных с использованием средств криптографической защиты информации или со дня окончания проведения последней плановой проверки оператора.
    6. Внеплановая проверка со стороны ФСБ практически невозможна в нынешней формулировке.
    В целом ничего сверхествественного в проекте регламенте нет.

    ЗЫ. А у ФСТЭК пока проекта такого регламента нет.

      О новом опусе Роскомнадзора

      Многие слышали о том, что 19-го августа РКН выпустил новый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Алексей Волков уже прошелся по нему и, в принципе, осветил ключевые моменты, но я со своей стороны тоже не могу обойти его вниманием.

      Начну с того, что РКН не только поторопился выпускать приказ до появления новых Постановлений Правительства, которых будет 9, разъясняющих новый старый ФЗ-152, но и допустил ряд фактических ошибок в тексте приказа. Например, определение основополагающего термина "персональные данные" по версии Роскомндазора отличается от версии, указанной в Федеральном законе. Они опять зачем-то включили в определение перечисление "фамилия, имя, отчество..". Ну а кривизна рук при копировании термина "биометрические персональные данные", рзультат которой теперь попал во всем правовые системы... это отдельная песня. Вообще с русским языком у авторов приказа явно были нелады. Как вам фраза "необходимо указать без передачи полученной информации"?

      А вот дальше пойдут вопросы. Что такое "лицензионные условия, закрепляющие запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных"? Я несколько раз перечитал этот пункт, но его не понял ;-( Идем дальше.

      Про дублирование пунктов и требование указание класса ИСПДн (при отсутствии такого требования в нормативной базе) Алексей уже написал. Также он задался вопросом, с какого перепугу в приказ попали требования указания для СКЗИ уровня защиты от утечек по побочке и уровня защиты от НСД для СКЗИ. Видимо авторы приказа не знают, что эта информация имеет гриф "секретно" и она недоступна не то, что простому оператору ПДн. Она недоступна даже многим лицензиатам ФСБ, имеющим право на разработку СКЗИ. В лучшем случае эти лицензиаты имеют дело с выписками из секретных документов, а иногда и с выписками из выписок. Как указывать эту информацию РКН, конечно, же не говорит. А вот за ее отсутствие может и привлечь по ст.19.7 КоАП. Ссылка на нелегитимные методические рекомендации ФСБ - это еще один юридический нонсенс.

      Забавно выглядит п.12, который не только повторяет п.10а и 10г, но и требует того, чего еще в природе нет - требования по защите ПДн Правительством пока не установлены.

      Вот такие документы пишут наши уполномоченные органы... А операторам потом расхлебывать это гуано.

      25.8.11

      NIST выпустил руководство по управлению конфигурацией

      Американский институт стандартов (NIST) выпустил новый стандарт - SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems". Данный 88-тистраничный документ разработан во исполнение SP 800-53 (аналог нашего СТР-К) и описывает процесс управления конфигурацией с точки зрения информационной безопасности.

      Что такое информационная безопасность?

      Недавно, а точнее 12-го августа, с Евгением Царевым в Твиттере мы дисскутировали на тему, что такое ИБ с точки зрения бизнеса. Завершили на следующем определеним: "ИБ - это процесс обеспечения интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". Я бы его в него добавил немного, чтобы получилось: "ИБ - это процесс обеспечения и поддержания необходимого уровня защищенности интересов стейкхолдеров путем управления бизнес-рисками, связанными с информационными потоками и технологиями". На мой взгляд это определение чуть лучше, т.к. объединяет двойственность ИБ как состояния и процесса, а во-вторых, говоря о необзодимом уровне защищенности, мы приходим к понятию оценки и измерению эффективности ИБ.

      Это определение мне нравится даже больше того, которое я использовал раньше - "ИБ - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса". Это я переделал из определения в Доктрине ИБ Российской Федерации.

      И вот совсем недавно я наткнулся на еще одно, очень высокоуровневое бизнес-определение - "Весь бизнес - это вопрос доверия. Доверие может развиваться только там, где участники сделки чувствуют себя в безопасности. Поэтому безопасность с точки зрения бизнеса должна рассматриваться как драйвер, способствующий бизнесу, а не как статья затрат". Оно из комментариев "Information Security Assurance for Executives" к руководству ОЭСР по ИБ сетей и информационных систем (OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security). Интересный поворот - от технологий и страховки к понятию доверия и условиям его обеспечения. А вообще оба последних документа (и руководство ОЭСР и комментарии к нему) достойны для изучения. Они позволяют понять, как и каким языком выносить ИБ на уровень руководства компании (разумеется, если руководство руководствуется общепринятыми нормами и принципами ведения бизнеса).

      24.8.11

      Руководство ENISA по облакам - 2

      Я уже писал про руководство ENISA по безопасности облаков. На самом деле, у ENISA есть еще два документа, которые являются основополагающими для данного агентства в данной сфере:
      Кстати, я в прошлый раз не дал ссылку на модель принятия решения о переходе на облака для госорганов с точки зрения безопасности. Исправляюсь...

      Руководство BSI по безопасности облаков

      Продолжая тему безопасности облаков, хочу рассказать о еще одном документе, который выпустил немецкая федеральная служба по ИБ (BSI). Это "Security Recommendations for Cloud Computing Providers". 17-тистраничный документ также разбивает данную тему на домены (архитектура, управление правами, управление инцидентами, BCP, оценка соответствия, персонал и т.д.) и перечисляет требования по безопасности для каждого из них.

      Отличием является выделение трех категорий облаков, каждая из которых имеет свой набор требований, наследующих друг от друга (по аналогии с классами/уровнями защищенности ФСТЭК/ФСБ):
      • категория B - базовые требования - применимы к большинству облачных провайдеров
      • категория C+ - высокая конфиденциальность - дополнительные требования для обеспечения большей конфиденциальности, чем для базового уровня
      • категория A+ - высокая доступность - дополнительные требования для обеспечения большей доступности, чем для базового уровня.
      Разумеется, как и в случае с проектом стандарта ISO по безопасности облаков, в документе BSI рекомендуется выстраивать полноценную систему управления ИБ; либо на базе ISO 27001, либо на базе BSI-Standard 100-2: IT-Grundschutz Methodology (и вообще всей четверки стандартов BSI).

      23.8.11

      Что должен знать ИТ-директор об ИБ... в России - 2

      Раз уж я упомянул сегодня статью в ДИС, то приведу и ссылки на него:
      - часть 1 - о понятии ИБ и исторических предпосылках развития ИБ в России
      - часть 2 - о регуляторах и их требованиях
      - часть 3 - о цене защиты, призраке холодной войны, закрытых нормативных актах и отказах от международных стандартов

      Печенье и информационная безопасность

      Честно говоря, мне казалось, что я за 4 года существования блога писал про концепцию DIKW. Но поиск по блогу показал, что эта тема была мной обойдена вниманием. Зато я про нее написал в большом материале на тему "Что должен знать ИТ-директор об информационной безопасности... в России". Сначала я писал его на английском (для своих заграничных коллег), потом отдал с "Директор информационной службы", который как раз в августе празднует свое десятилетие.

      Приведу оттуда фрагмент про концепцию DIKW - "специалисты по защите всегда занимались в лучшем случае защитой данных. А если вспомнить классическую модель DIKW (data, information, knowledge, wisdom — данные, информация, знания, мудрость), то сфера деятельности служб ИБ крутится вокруг самого низшего уровня этой модели, который и ценности-то никакой не представляет. Например, на этом уровне невозможно определить, что означает, скажем, число «42». Это может быть как возраст сотрудника вневедомственной охраны, так и размер спецодежды, оборот компании в миллионах долларов и т.п. Пока нет контекста, можно говорить только о данных. И именно этим понятием оперирует большинство средств защиты. Добавление контекста позволяет подняться на уровень информации и уже более отчетливо понимать, что циркулирует в информационной системе. Средств защиты на этом уровне почти нет, исключая, может быть, DLP-решения по контролю утечек. Но и этого недостаточно. Информация об обороте компании требует защиты или нет? Мы не знаем этого, не имея представления о ценности той или иной информации и не обладая знанием, как эта информация может быть использована. Только разбираясь в этом, можно говорить о реальной защите бизнеса в информационной сфере".

      Собственно к чему это все? Просто нашел на просторах Интернета картинку, которая хорошо иллюстрирует эту концепцию на понятном языке ;-)


      ЗЫ. В оригинале (на английском) названия элементов картинки немного иные (data, information, presentation, knowledge), но я решил при переводе поставить так.

      ЗЗЫ. Кстати, концепция объясняет, почему у нас с классификацией активов обычно проблемы. Большинство оперирует понятием "данных", а классификации подлежит только "информация" и выше.

      22.8.11

      HP выходит из "аппаратного" бизнеса?

      Вернулся из отпуска и пока не успел окунуться в последние изменения на ниве безопасности. Зато прочел новость о том, что HP выходит из бизнеса ПК, смартфонов и планшетников. Об этом пишут все, а аналитики брызгают слюной на тему будущих последствий. Меня, да и не меня тоже, интересует судьба направления ИБ, которым HP занималась достаточно активно, приобретя сначала Fortify, потом TippingPoint, потом ArcSight, ну и еще по мелочи. Собственно говорить о последствиях для рынка ИБ еще рано, но стоит задуматься вот над каким вопросом: "Что из безопасности HP останется у новой компании, ориентированной на софт?" Fortify - вероятно. ArcSight - пока непонятно. HP так и не объявила о судьбе ArcSight, но допустим, что этот софт тоже останется. А вот с TippingPoint ситуация мне пока непонятна. С одной стороны железо и должно пойти "под нож". С другой - HP заявляет о фокусе на корпоративный рынок, на который всегда и были ориентированы решения TP. В итоге полная неопределенность. Главное, чтобы с Tipping Point не произошло то, что случилось с ISS - годы мучений и прозябания в стенах IBM и почти полный проигрыш всех ранее лидирующих позиций.

      19.8.11

      Как оценить программу повышения осведомленности?

      К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) - не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ.

      Я могу выделить следующие метрики для оценки программы повышения осведомленности:
      • Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?
      • Сколько инцидентов ИБ связано с человеческим фактором?
      • Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?
      • Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
      • Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?
      • Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?
      • Сколько пользователей открывают письмо от незнакомца?
      • Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
      • Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.
      • Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.

      18.8.11

      О классификации информационных активов

      3 года назад я написал материал про классификацию информации. И вот сейчас я готовлю новую версию этой статьи, обновленную и дополненную. Готовясь к ней я проанализировал множество новых материалов, политик классификации, нормативных документов и т.п. Надо сразу заметить, что единого и универсального метода классификации нет - каждый применяет что-то свое. Кто-то ориентируется всего на одну характеристику информации - конфиденциальность. Кто-то оперирует важностью. Кто-то использует 2 или даже 3 фактора, из которых выводится итоговая классификация. Но все сходятся в одном - хорошая политика классификация должна:
      • быть краткой
      • содержать не более 3-4 классификаций
      • быть гибкой
      • разрешать исключения
      • находить баланс между требованиями бизнеса и безопасностью
      • позволять отдельным подразделениям создавать собственные политики, базирующиеся на специфических требованиях. Яркий пример - западная компания, работающая в России. Она должна соблюдать и западные правила классификации (например, метки Confidential, Public и т.д.) и учитывать закон "О коммерческой тайне", который подразумевает иные требования к "грифованию" документов.
      • не должна быть привязана к конкретным технологиям или подразделениям
      • содержать не больше 3-4 уровней классификации.
      Нередки случаи, когда политика создается не одна, а целая иерархия. Базовая политика определяет ключевые принципы, а затем уже на уровне политик отдельных подразделений или иных бизнес-единиц происходит детализация правил классификации.

      А вообще классификация - штука очень непростая. И хотя все говорят, что ее надо делать, мало кто пишет, как это делать. Примерно как с принципом "стоимость защиты не должна быть больше стоимости защищаемой информации". Звучит красиво, но практически никто реально не считает стоимость защищаемой информации. Так и с классификацией. Перечень сведений конфиденциального характера обычно есть везде, а вот на практике его мало кто использует. Зачастую именно поэтому проекты по внедрению DLP проваливаются - ведь в них нужна классификация не на словах, а реальная.

      17.8.11

      О будущем криптографии и позиции ФСБ

      Позавчерашний пост о том, что у наших регуляторов нет людей, похожих на менеджеров по развитию бизнеса, приводит нас к одной из ключевых проблем, с которой сейчас приходится сталкиваться - отсутствие взгляда вперед. Возьмем, к примеру, ФСБ и криптографию. Общая идея ФСБ - криптография должна быть сертифицированной. В понедельник я подисскутировал на тему, что даже глобальная экспансия наших криптографических ГОСТов не приведет к тому, что зарубежные продукты их использующие, будут активно использоваться и сертифицироваться в России. Посмотрим на эту проблему с точки зрения менеджера по развитию бизнеса. Ключевое слово здесь "развитие".

      Я уже как-то описывал список сценариев, когда сертифицированной криптографии попросту нет. Но это те технологии, что есть уже сейчас. А если посмотреть чуть вперед, на 3-4 года в будущее. Буквально на днях читал один отчет, в котором аналитики прогнозируют взрывной рост интереса к т.н. "встроенной" (embedded) безопасности и криптографии, как ее части.

      Откуда у нас появляется эта встроенная криптография? Давайте посмотрим на тенденции ИТ-мира на ближайшие годы. Слайд 22 - взрывной рост видео-трафика в сети. Следовательно возрастет объем продаж ТВ-приставок (т.н. STB), где одним из механизмов защиты контента от воровства будет криптография. 5 миллиардов персональных видеоустройств. Слайд 44 - в 2013-м году прогнозируется подключение к Интернет одного триллиона (!) IP-устройств - телевизоры, холодильники, пианино, игровые приставки, домашнее видеонаблюдение, планшетники, электронные книги, смартфоны, микроволновки, унитазы и т.д. Слайд 50 - технологии энергосбережения, реализуемые через управление электричеством с сетевого оборудования по, преимущественно, протоколу IP или иным открытым протоколам. Управление будет защищенное и без криптографии тут опять никуда.

      Но посмотрим еще шире. О чем говорит нам развитие ИТ? Что еще у нас будет объединяться в сеть (необязательно Интернет) для обмена информацией (не зря все чаще говорят о взаимодействии машин - M2M), дистанционного управления или диагностики и т.д. Кардиостимуляторы, счетчики электричества и воды, GPS-навигация, автомобили, NFC, RFID, АСУ ТП и т.д. Тут тоже не обойтись без криптографии. И все это реализуется как правило на уровне чипов.

      И вот тут возникает ключевой вопрос. Как обеспечить выполнение требований ФСБ в таких условиях? Встроить российскую криптографию на уровне аппаратуры каждого устройства каждого производителя невозможно (я думаю не стоит объяснять почему). Сертифицировать западную криптографию тоже. Тупик? Понимают ли это у регулятора? Осознанно ли они идут на это или действительно не смотрят вперед? Ответов пока нет, но последствия могут быть достаточно плачевными, если регулятор будет и дальше упорствовать в своем нежелании изменить процедуру оценки соответствия или признания западной криптографии для ряда сценариев.

      16.8.11

      Роль менеджера по развитию бизнеса в отрасли безопасности

      Мне регулярно поступают предложения сменить работодателя то на мобильного оператора, то на производственную компанию, то еще на что-то подобное. Нередко звонящие предлагают рассмотреть вариант аренды помещения, расширения сферы поставщиков туалетной бумаги или участия в конференции по производству нефтепродуктов. На вопрос, с чем связаны такие звонки и почему они звонят именно мне, ответ всегда один - "Ну вы же менеджер по развитию бизнеса!" И вот в пятницу я ознакомился с одним из последних отчетов Forrester о роли менеджера по развитию бизнеса в деятельности современных технологических компаний.

      Отчет закономерно поднимает вопрос, что до сих пор многие компании совершенно по разному трактуют данную должность - от обычного маркетера до специалиста по развитию партнерской сети, от продавца до менеджера по продукту. Истина как всегда где-то посередине. Отчет Forrester показывает, что роль BDM (business development manager) сегодня включает несколько ключевых направлений деятельности:
      • анализ рыночных факторов
      • анализ бизнес-моделей
      • анализ финансовой/экономической ситуации.
      К чему это я? И причем тут безопасность? А идея-то проста - регуляторам, как основным игрокам рынка ИБ, которые определяют его развитие на годы вперед, неплохо было бы иметь в своем штате людей, схожих по своей основной деятельности с BDMами. Регулятор должен жить не сегодняшним днем, а смотреть вперед, в будущее. Например, согласно анализу Intel всего через 2-3 года основной фокус в построении сетей будет делаться на скоростях 10 и даже 40 Гбит/сек (хотя я знаю парочку отечественных компаний, которые уже сейчас запускают проекты на 100 Гбит/сек). И вот как для таких сетей выполнить требование криптографической защиты сертифицированными решениями? Поставить 100+n гигабитных шлюзов на одну точку и столько же на другую? А что может сделать регулятор в такой ситуации? Проанализировав тенденции, он может дать понять разработчикам, куда им стоит двигаться.

      Вообще, если посмотреть на общемировой рынок ИБ, то на нем сейчас прослеживается ряд интересных тенденций, к которым наши регуляторы сейчас не готовы. И облака - это самый простой пример. Более сложный пример мы рассмотрим уже завтра.

      ЗЫ. Кстати, роль BDM в текущей структуре могут выполнять экспертные советы, о которых говорилось на прошлогоднем заседании ФСТЭК.

      15.8.11

      Есть ли перспективы у ГОСТ 28147 в качестве международного стандарта?

      Сегодня много говорят о признании наших криптографических алгоритмов в качестве международных стандартов. И RFC по ним уже есть. И в рамках ISO работа активная ведется. Еще немного и весь мир признает, что наши ГОСТы - одни из лучших в мире криптоалгоритмов. Ну а дальше что? История создания алгоритмов, а также критерии разработчиков до сих пор не опубликованы, что приводит к регулярному появлению различных "теорий заговора" и опасений, что в ГОСТах есть закладки. Допустим их нет. Допустим будет решен вопрос с таблицей замен, которую по ГОСТу должна разрабатывать ФСБ. Точнее он уже решен и в том же RFC 4357 путем использования "тестовых" узлов замен, доступных в Интернет (хотя по сути, для повышения криптостойкости, таблица замен может служить еще одним секретным элементом). Может это и правильно, т.к. критерии выбора и отсева "слабых" узлов замен неизвестны широкой публике. Что же дальше? Будет ли использоваться наш ГОСТ в условиях такой неопределенности? Допустим будет. Допустим ВСЕ мировые разработчики будут использовать единую таблицу замен (а иначе результаты работы криптоалгоритмов с разными таблицами будут несовместимыми друг с другом). Но что дальше?

      Ведь важно не только навязывание всему миру своего криптоалгоритма (с точки зрения мирового господства и противостояния влиянию США это безусловно важная задача). Живущим и работающим в России гораздо важнее признание разработанной зарубежной компанией системы криптографической защиты. А вот с этим могут быть некоторые сложности. Разрабатывать СКЗИ может только лицензиат ФСБ, а зарубежная компания не в состоянии физически выполнить требования 957-го Постановления (его замена пока еще не выпущена). Ну откуда у зарегистрированной вне России компании допуск к гостайне? А квалифицированный (по меркам ФСБ) персонал? А как аттестовать помещение, находящееся заграницей? Ну и т.д. Т.е. даже при наличии возможности разработать что-то на базе наших ГОСТов, чтобы это признавалось в России, разработка должна весть у нас же. А это маловероятно - западные компании не будут менять сложившиеся годами процессы разработки ради выполнения требований 957-го Постановления Правительства. И опять мы придем к пути, по которому, например, пошла Cisco, - встраивание уже разработанной и сертифицированной криптографии в западные изделия. Хотя и тут есть ряд сложностей, о которых мы поговорим завтра.

      К чему мы приходим? К тому, что если перед Россией (а скорее перед ФСБ) стоит задача установления мирового криптографического господства, то описанные мной сложности никого не интересуют. А вот если мы действительно задумываемся о возможности разработки иностранными компаниями решений на базе ГОСТов с последующим их применением в России, то тут надо думать о механизме признания такой разработки.

      12.8.11

      Онлайн-калькулятор расчета ROI от безопасности

      В апреле я уже писал про методику TEI от компании Forrester. В ней были объединены классические методики ROI и TCO, которые Forrester расширила рядом нововведений, позволяющих оценивать вклад и отдачу от внедрения ИТ и ИБ. В той же заметке я привел пример использования этой методики для оборудования Cisco. И вот на днях мы запустили онлайн-калькулятор по данной методике.

      Какие выводы можно сделать по его применению? Без доступа к финансовым показателям своей организации применение и этого калькулятора и вообще экономической оценки малоэффективны, если вообще возможны. Во-вторых, данный калькулятор базируется на самом "простом" варианте расчета ROI; он исходит из того, что безопасность сама по себе не приносит денег, но дает сэкономить. А это в свою очередь сильно зависит от уровня зарплат. Поэтому калькулятор может показать, что внедрение будет неэффективным с экономической точки зрения. И тут впору вспомнить мой пост "что общего между женскими духами и информационной безопасностью". Он как раз об относительности таких расчетов.

      Сейчас меня обвинят в том, что я пиарю Cisco ;-) Есть немного. Все-таки мой работодатель ;-) Но дело не в этом. Говоря об оценке экономической эффективности нельзя говорить абстрактно - нужны конкретные цифры. Об этом я уже говорил на форуме директоров по ИБ в июне этого года. В той презентации приводились конкретные примеры расчета ROI от наших различных продуктов. Мне, по понятным причинам, ближе Cisco. Кому-то ближе другие вендоры. В любом случае от конкретики в таком вопросе не уйти.

      Аналогичная ситуация, кстати, и с рисками. О них можно рассуждать абстрактно. Вероятность умножить на размер ущерба... Бла-бла-бла. Но как посчитать вероятность? Методов немало. Но только имея конкретные цифры для конкретной организации можно говорить о реальном значении этого показателя. Тоже и с ущербом и с многими другими показателями. Без конкретики, увы, никуда.

      Подсказка: в калькуляторе вы можете выбрать в качестве валюты расчета - российский рубль.

      11.8.11

      Что общего между деятельностью регуляторов и поясом верности?

      Что общего между подходом регуляторов в области защиты информации и поясом верности?




      1. Они оба появились на заре веков и с тех пор мало поменялись
      2. Авторы обоих подходов думают, что они надежны и обеспечивают нужный уровень защиты
      3. Тех, на кого примеривают оба подхода, даже не спрашивают, хотят ли они такой безопасности
      4. Они оба абсолютно неудобны в обычной жизни
      5. Они оба обходятся в умелых руках
      6. Авторы обоих подходов никогда не примеряли их на себя
      7. Долго это терпеть невозможно
      8. Авторы обоих подходов считают, что без них можно подцепить какую-нибудь заразу, нарушить целостность и иные свойства защищаемого объекта
      9. В наше время оба подхода пытаются натянуть на современные рельсы, но результат остается тем же.
      10. Оба подхода немасштабируемы
      11. Авторы обоих подходов не пытались решить исходную задачу нетехническими мерами





      10.8.11

      Новое Постановление Правительства

      1 августа премьер-министр подписал (вступило в силу с 8-го числа) Постановление Правительства №641 "О внесении изменений в положение о системе межведомственного электронного документооборота". Согласно поправкам обмен между участниками СЭД информацией, доступ к которой ограничен законодательством, возможен только при условии соблюдения участниками требований по защите такой информации.

      Если раньше речь в этом положении шла только о служебной тайне, то сейчас документ касается любой информации ограниченного доступа, передаваемой через систему межведомственного документооборота. А это и персданные могут быть, и мало ли что еще. Ненавязчиво, но участников СЭД заставляют выполнять требования по защите, которые у нас вырабатывает ФСБ. Именно им ФСО, ответственная за СЭД, делегировала свои полномочия по выработке требований по защите.

      Новый указ Президента касательно ФСТЭК

      Дмитрий Медведев подписал ряд указов о порядке размещения в интернете информации о деятельности министерств и ведомств, включая ФСО и ФСТЭК. Указы подписаны в соответствии с частью 1 статьи 14 Федерального закона «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», предусматривающей, что эти перечни утверждаются Президентом Российской Федерации.

      Интересных моментов два. Первый касается смысла подписания этих указов, если то, что в них написано и так вытекает из упомянутого выше закона. Если закон не исполнялся, то почему должны исполняться указы? Второй момент касается списка ведомств, в отношении которых приняты указы. Есть все силовики - МВД, МЧС, МО, ФССП, ФСКН и т.д. Нет только одной конторы... Все уже догадались ;-) Правильно, ни слова про ФСБ.

      ЗЫ. ФСБ кстати отличилась недавно. Нагрянула она в офис компании, которая допустила утечку бланков билетов РЖД в «Яндекс» и Google. Намекали на уголовное дело. Чудны дела твои...

      О лицензировании

      Алексей Волков недавно поднимал вопрос лицензирования деятельности по ТЗКИ. Он пришел к выводу, что"судя по всему, позиция "нет прибыли - нет деятельности - нет лицензии", исходя из соображений "лучше потерять часть, но сохранить целое", была негласно принята". Иными словами, в большинстве случаев лицензия ФСТЭК и ФСБ на деятельность, из которой не извлекается прибыль, не требуется.

      Тут, правда, возникают нюансы, связанные с изменчивой позицией самих регуляторов. ФСТЭК, в зависимости то ли от отвечающего, то ли от вопрошающего, дает разные ответы на вопрос "Нужна ли лицензия?" (тут и тут).ФСБ тоже за словом в карман не лезет и отвечает просто - лицензия нужна. Этой позиции придерживаются и региональные управления ФСБ. А вот 8-й Центр считает, что для собственных нужд лицензия не нужна (новый закон о лицензировании закрепил эту норму в отношении техобслуживания СКЗИ).

      В курсе по персданным я рассматриваю все эти аспекты, включая и различные точки зрения (например, АРБ) по данному вопросу. И вот недавно я провел изыскания на тему: "А что думают суды в отношении лицензирования деятельности, не являющейся для организации основной?" Выяснилась интересная картина - у судов тоже четкой позиции по данному вопросу нет.

      Приведу цитату одного из судей арбитражного суда: "По этому вопросу имеются также две точки зрения, одна из которых аналогична приведенному выше решению суда первой инстанции и заключается в том, что получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае если деятельность рассматривается как элемент основной производственной деятельности, получение лицензии на нее не требуется.

      Эта позиция содержится в постановлениях ФАС ВВО от 06.05.2005 № А34-30702/ 2004-26-1135, апелляционной инстанции Арбитражного суда Свердловской области от 02.02.2005 № а60-39874-С4, ФАС СЗО от 09.11.2007 № А05-5724/2007, ФАС ВВО от 18.06.2008 №А31-6296/ 2007-13, решении Арбитражного суда Свердловской области от 26.05.2008 №А60-5642/2008-С9.

      Другие суды, напротив, признают требования административных органов о необходимости лицензирования такой дополнительной деятельности обоснованными, ссылаясь на то, что получение прибыли не является квалифицирующим признаком ч. 2 ст. 14.1 КоАП РФ. Они подчеркивают, что Закон №128-ФЗ не указывает на необходимость получения лицензии только субъектами, осуществляющими указанный вид деятельности в качестве самостоятельной, не связанной с иными производственными процессами.

      Также подчеркивается факт связанности данной дополнительной деятельности, подлежащей лицензированию, с осуществлением основного вида деятельности. В этом случае суды признают дополнительную деятельность предпринимательской, поскольку относят доходы, полученные от основной деятельности в будущем периоде, к доходам, полученным в том числе в результате осуществления дополнительной деятельности (постановления ФАС УО от 06.01.2004 №Ф09-2532/03-АК, ФАС СЗО от 20.05.2004 №А26-1050/ 04-22, Восемнадцатого арбитражного апелляционного суда от 20.08.2008 №18АП-4422/2008)
      ". Подробности тут.

      Так что все непросто в этом вопросе.

      9.8.11

      Направления банковской стандартизации

      О чем интересном написать, что-то в голову пока не приходит. Поэтому кратко поделюсь основными направлениями деятельности вновь образованного ПК1 в ТК122 "Стандарты финансовых организаций". Этот ПК1, как я уже писал, будет заниматься вопросами стандартизации ИБ для финансовых организаций.

      В прошлую среду было первое заседание этого ПК1, в рамках которого были определены основные направления его деятельности на ближайший 1-1.5 года. К ним будут относиться (под каждое направление будет создаваться рабочая группа):
      • Гармонизация СТО с новым старым ФЗ-152 и согласование новой версии СТО с регуляторами (по аналогии с прежним "письмом шести").
      • Безопасность национальной платежной системы.
      • Безопасность платежных карт. Тут была острая дискуссия. Банкиры, входящие в ПК1, заявляли, что проще признать PCI DSS и не городить отдельную РС в рамках Комплекса стандартов. ЦБ, на мой взгляд, смотрит чуть шире. Ведь область применения платежных карт не ограничивается только Visa и MasterCard. Есть локально выпущенные карты. Будет УЭК. В любом случае обходить стороной эту проблему нельзя. И каково будет место PCI DSS в новой РС - вопрос не самый главный. ЦБ только в начале этого пути. Может быть дойдет и до признания оценки соответствия СТО со стороны PCI Council (такая дальняя перспектива тоже озвучивалась).
      • Безопасность ДБО. Это была инициатива банков; ЦБ к ней отнесся с неохотой. Хотя причина проста и понятна - у них нет опыта работы с ДБО. Поэтому представители ЦБ здраво рассуждают, что раз это проблема банков, то и возглавить эту работу должны банки, а ЦБ будет помогать по мере сил.
      • Криптография. Это пятое направление, роль которого мне пока до конца не ясна. С одной стороны есть устная договоренность, что ФСБ будет учитывать мнение банковского сообщества при разработке своих документов, но с другой... пока мне сложно представить, как будет работать эта группа.
      • Ну и последнее направление - международная деятельность. ЦБ активно участвует в ПК127 при ТК22, который является представителем SC27 JTC1 ISO в России. И ЦБ активно предлагает различные поправки в международные стандарты по ИБ, которые готовятся на уровне ISO. А учитывая, что вновь созданный ТК122 является зеркалом SC68, то новый ПК1 будет участвовать и в гармонизации стандартов по безопасности финансовых услуг.
      Вот примерно в таком аспекте.

        5.8.11

        Вы готовы изменить если не мир, то хотя бы ФЗ-152?!

        Представьте, что вам дана уникальная возможность при действующей редакции ФЗ-152 все-таки поучаствовать в разработке подзаконных актов (не меняя текста ФЗ-152). Т.е. как-то выкрутиться в ворохе "уровней защищенности", "требований по безопасности", "актуальных угроз", "видов деятельности" и других понятий нового старого ФЗ-152. Как бы вы выстроили стратегию и иерархию разработки подзаконных актов?

        Понятно, что начинать надо с базовой модели угроз. C ней более менее все понятно. Чтобы не создавать вторую "базовую" модель от ФСТЭК я бы в новую модель включил бы стандартный минимум - вирусы, НСД, утечки и т.п. А уж расширять ее можно было бы на уровне отраслевых и "союзных" моделей.

        Что дальше? Вид и объем персданных брать из приказа трех или новую градацию использовать? Зачем и почему?

        С видами деятельности основная засада - их слишком много, если ориентироваться на всякие классификаторы ОКВЭД и т.п. Поэтому надо исходить из каких-то других критериев. Каких? Если в расчет брать виды не экономической деятельности оператора, а деятельности, связанной с обработкой ПДн, то по сути у нас их и не так много - Интернет-обработка, трансграничка, мультимедиа, мобильные устройства, облака. Все эти виды обработки/использования/передачи ПДн специфичны с точки зрения способов защиты и можно их описать в подзаконниках.

        Затем я бы против угроз для каждого вида деятельности сделал бы две колонки - организационные и технические меры защиты. При этом зафиксировал бы, что организационным отдается приоритет (за основу взял бы ISO 29100/29101).

        Ну и уже потом покумекал бы над требованиями к оценке соответствия. То, что она нужна в том или ином виде, понятно. Но и гнуть всех под обязательную сертификацию тоже неверно.

        Дополнительно все это стоило бы еще поделить на два направления - для госорганов/муниципалов и коммерческих структур.

        Вот как-то так! Есть иные мысли, предложения, замечания, комментарии?..

        ЗЫ. Флеймить на тему бесполезности этой работы не стоит. Не верите в результат, лучше просто понаблюдайте за дискуссией. Есть конкретика - предлагайте, буду только благодарен. И помните, что под лежачий камень вода не течет ;-)

        4.8.11

        Об использовании несертифицированной криптографии

        На заседании ПК1 ТК122 по стандартизации банковской безопасности Владимир Михайлович Простов (ФСБ) разъяснял немного ситуацию с законодательством в области криптографии и сделал несколько заявлений, которые будут интересными для многих:
        • если оборудование, относящееся к разряду шифровальных средств, ввезено в России легально, то формальное разрешение на ввоз является и формальным разрешением на эксплуатацию данных СКЗИ в целях, указанных в запросе на ввоз.
        • расширять сферу компетенции ФСБ за пределы СКЗИ пока не планируется. Слухи про то, что ФСБ будет сертифицировать еще и IPS/IDS - просто слухи (хотя я видел проект нормативного документа на эту тему).
        • приказ 152 менять и обновлять не планируется. Все спорные моменты надо решать в частном порядке.
        • сейчас практически готов проект нового Постановления Правительства, которое придет на смену 957-му.

        От себя добавлю, что вопросы ввоза шифровальных средств достаточно подробно расписаны в FAQ, который готовила Cisco для своих заказчиков. Там указано, что такое шифровальные средства, как они ввозятся, как проверить легальность ввоза и т.д. В виде презентации я это также выкладывал.

        ЗЫ. Если вам нужна официальная позиция ФСБ по указанным ваше вопросам, то необходимо писать официальный запрос, как я писал в среду.

        Куда дует ветер перемен?

        Написал по глупости в Твиттере, что мозаика сложилась и я теперь знаю, куда дует ветер, и вот приходится раскрывать вырвавшееся высказывание ;-)

        Итак, что мы имеем? Ст.19, инициированная ФСБ, и приведшая к серьезному ужесточению ситуации на рынке ИБ, которая, как писали многие СМИ, ставит многих под контроль наших регуляторов. Причем ФСТЭК мало кто упоминает, эта структура в парочке совсем неглавная и в нормативной базе она прописана, видимо, до кучи. Одна из самых распространенных версий сделанных поправок - желание урвать побольше и расширить кормушку. Версия допустимая, но... очень уж много этих "но". Я лично в нее не очень верю - у регуляторов и до нового старого ФЗ было много способов заработать достаточно законными методами.

        Все на самом деле просто и вполне открытоне раз декларировалось сотрудниками ФСБ на мероприятиях и в прессе. Мотив такой - "национальная безопасность". Из него вытекает множество иных субмотивов - "борьба с терроризмом и экстремизмом", "поддержка отечественного производителя", "обеспечение безопасности" и т.д.

        Что говорит в пользу такого, лежащего на поверхности, тезиса? Начну с фрагмента годового отчета одного из ведущих отечественных разработчиков средств защиты (отчет найден путем использования правильных запросов в Google; тайной этот отчет не является, т.к. по закону должен быть доступен акционерам). В нем, в разделе рисков, он на первое место ставит "риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ". Дальше идет вывод - "Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на  продукцию отечественных производителей программного обеспечения". Могу предположить, что аналогичные опасения есть и у других игроков рынка, а также у самих регуляторов.

        Идем дальше. По данным Совета Безопасности, в российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования. ФСБ в первую очередь беспокоит именно это и они это не раз заявляли. Например, на Неделе российского бизнеса в 2009-м году об этом прямо говорил начальник отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ Леонид Беляев. В своем интвервью он, кстати, ссылается на проект Указа, который я уже обсуждал в блогетут). Основной упор делается на два аспекта - недопущение на российский рынок западных продуктов и сертификация средств защиты информации.

        Спустя полтора года об аналогичной проблеме заговорили в Совете Безопасности и информация об этом просочилась в прессу. Если убрать постоянные нападки на Cisco и забавные высказывания, что через маршрутизаторы Cisco проходят линии правительственных АТС-1 и АТС-2 (автору стоило бы добавить для красоты изложения, что через Cisco циркулирует трафик "Кавказа", "Севера", "Ай-Петри-Памира", "Росы" и "Интеграл-Градиента"), то идея материала понятна - все под колпаком и нужно что-то делать.

        А годом ранее, в конце 2009-го года в Госдуме проходило заседание экспертного совета при Комитете по безопасности, посвященное той же проблеме. Там также заявлялось о том, что Россия зависима от западных технологий, разработчики которых пляшут под дудку западных же спецслужб. Говорилось про невозможность бороться с киберпреступниками, про готовящиеся кибервойны, законодательство других стран, дающее право спецслужбам контролировать весь Интернет-трафик и т.д. Были предложены ряд мер по недопущению развития ситуации. Число их было магическим - 7. Среди них - "выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления". Некоторые из мер уже реализовываются.

        Это все? Нет. В утвержденной в 2000-м году Доктрине информационной безопасности (а именно она является основополагающим документов в области ИБ в России) среди угроз безопасности информационным и телекоммуникационным средствам и системам, как уже развернутых, так и создаваемых на территории России, числится среди прочего и "использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры". "Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения ряда задач", среди которых и "разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств". А какие системы сертификации средств защиты и каковы их требования все и так знают.

        Это далеко не все доказательства моей гипотезы, но достаточно и их (тем более, что учитывая специфичность темы, многие доказательства непубличны). В целом, все это крутится вокруг одного ключевого тезиса - западные продукты доминируют на рынке и продолжают усиливать свои позиции, а это создает угрозу для национальной безопасности России.

        Посыл понятен и многие развитые страны следуют той же идеологии, защищая собственные интересы. Только вот методы там выбирают немного иные. Собственно, сценариев на Западе или Востоке ровно два:
        • Развивать свое, постепенно выдавливая все зарубежное. Яркий пример страны, действующей по этому сценарию, - Китай. То, что Китай развивает "свое", сначала скопировав чужое в нарушении прав на интеллектуальную собственность, немного в стороне от темы обсуждения. По этому пути идут страны либо с большим самомнением, либо с большими ресурсами.
        • Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, военка и т.п.), пытаясь внедрить в них собственные разработки. Так поступает большинство стран, иногда даже в критичных приложениях используя западные наработки.

        Могу сказать, что часто приводимый пример США (мол они используют только свое и т.д.) в данном случае неприменим. В США разрабатывается чуть ли не 90% всего мирового ПО и железа. Я имею ввиду не физически, а юридически. Собирая железо в Китае или привлекая программистов в Индии, разаботанный продукт все равно считается разработанным в США. Но хочу заметить, что даже в США не гнушаются применением для критичных применений произведенных за пределами США технологий (есть четкое деление продуктов на GOTS и COTS - для применения в государственных и коммерческих организациях соответственно). Только с соблюдением определенных требований и правил.

        На упомянутом выше заседании Госдумы было предложена достаточно здравая идея - о содействии развитию отечественного производства средств связи и телекоммуникаций, ПО (хотя все заявления о взятом курсе на собственное СПО после объявления Microsoft основным поставщиком ПО для Сочи-2014 выглядят забавно), микроэлектронной базы. Правда, здравым выглядело бы сначала развить отечественные технологии, а потом минимизировать влияние западных. У нас же получилось наоборот - сначала по сути запретили западные, а как развивать отечественные никто не думает (либо ФСБ поторопилась запретить, либо Минкомсвязи не успевает развить).

        Что в итоге? А ничего ;-( Я вижу несколько сценариев развития событий с разными их вероятностями. Описывать их сейчас не буду - задачи такой не стоит. Могу только предположить, что пока, по инерции, многие потребители (включая государственных) будут жить по старым правилам игры, покупаю то, что им надо, а не то, что им навязывают. Ведь мало кого из государевых потребителей волнует (а многие и не знают), что в госорганах уже почти год как должны использоваться средства защиты, сертифицированные в системе ФСБ, а не ФСТЭК. Постепенно ситуация начнет меняться и в среднесрочной перспективе регулятор (или регуляторы), усиливший свое влияние (что будет зависеть от результатов выборов, которые многие считают уже предрешенными), начнет закручивать гайки и требовать применения только решений, соответствующих требованиям (как правило, секретным). А вот в долгосрочной перспективе потребитель столкнется с тем, что спектр предлагаемых ему продуктов очень узок и не позволяет решать все поставленные бизнесом или государством задачи (особенно в рамках госпрограммы "Информационное общество 2012 - 2020"). И тут мне сложно уже предсказывать последствия. Или требования регулятора будут пересмотрены или Россия будет отброшена в своем инновационном развитии далеко назад.

        Зато с национальной безопасностью у нас все будет в порядке. Террористы безусловно будут применять только сертифицированные ФСБ продукты. Экстремисты конечно же будут размещать свои материлы только на отечественном хостинге (причем тут экстремисты читайте тут и тут). А диссиденты будут использовать только сети 3G большой тройки (причем тут диссиденты, читайте тут). И все у нас будет в порядке.

        Кружит Земля, как в детстве карусель
        А над Землей кружат Ветра Потерь
        Ветра потерь, разлук, обид и зла
        Им нет числа, им нет числа

        Им нет числа - сквозят из всех щелей
        В сердца людей, срывая дверь с петель
        Круша надежды и внушая страх
        Кружат ветра, кружат ветра...

        3.8.11

        Пишите письма

        Сейчас очень много вопросов задается относительно новой 19-й статьи и ситуации с уже принятыми отраслевыми стандартами (СТО БР ИББС, НАПФ, НАУФОР и т.д.). Что применять? Действуют ли отраслевые стандарты? И т.д.

        Сегодня, на заседании ПК1 ТК122 по стандартизации банковской безопасности от ЦБ и ФСБ прозвучало предложение: "Пишите письма!" Пока от операторов персданных не будет официальных запросов в адрес регуляторов, никакой официальной позиции в отношении "письма шести" (для банков), статуса отраслевых стандартов и т.д., не будет. Поэтому я могу порекомендовать всем читателям этого блога не стесняться и направлять в адрес наших регуляторов свои вопросы. Чем больше вопросов, тем быстрее накопится критическая масса.

        А если я защитился до 1-го июля? Надо ли мне выполнять ст.19?

        Погрузившись в обсуждение нововведений старого нового ФЗ-152, а также вопросов, связанных с 19-й статьей, мы как-то не опустили вопрос, изначально заданный ZZubra, - о сроке вступления в силу закона и возникающих из него обязанностей.

        Согласно ст.4 ГК РФ "Акты гражданского законодательства не имеют обратной силы и применяются к отношениям, возникшим после введения их в действие. Действие закона распространяется на отношения, возникшие до введения его в действие, только в случаях, когда это прямо предусмотрено законом". ФЗ-152 не говорит о том, что он действует задним числом. Более того, в нем явно сказано, что "действие положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года".

        Вот тут самое интересное начинается. Если оператор принял решение о присоединении к СТО Банка России до 1-го июля (как ЦБ и советовал), то значит ли это, что он не должен выполнять требования новой 19-й статьи? Ведь эта статья вступила в силу только с 1-го июля. Интересная тема для дискуссии ;-)

        Парафраз об аттестации в свете нового ФЗ-152

        В новом старом ФЗ-152, в ст.19 есть такая защитная мера как "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных". Можно долго и упорно спорить, что это такое, но зная, что реализовывать эту меру нужно будет по требованиям ФСТЭК, я с вероятностью 85-90% предположу, что это так называется аттестация объекта информатизации по требованиям безопасности.

        Противники открытого письма Президенту мне возразят (как это было в этом посте), что я притягиваю все за уши и регуляторы у нас белые и пушистые и не имеют ни одной мысли о дополнительных обременениях рядовых операторов ПДн. В доказательство они опять начнут играть словами об обязательности и добровольности аттестации. Мол, по старому документу (еще Гостехкомиссии) обязательная аттестация применяется только к объектам, обрабатывающим гостайну и экологически опасным объектам, а все остальное делается на сугубо добровольной основе. Но все сразу вспомнят эпопею с первой версией четверокнижия, в которой аттестация была обязательной для ИСПДн К1/К2 (для К3 было прописано декларирование соответствия).

        И вспомнились мне вдруг мои заметки, опубликованные 20-го и 21-го декабря прошлого года. В них как раз описывались планы одного из регуляторов по выпуску новых документов, по обязательной аттестации объектов не только для гостайны. И чтобы не слыть ретроградами и не смешивать аттестацию гостайны и конфиденциалки и родился такой канцеляризм, как "оценка эффективности принимаемых мер по обеспечению безопасности <вид конфиденциальной информации> до ввода в эксплуатацию информационной системы". Помня те грабли, на которые регуляторы наступили в прошлый раз, сейчас они такой ошибки могут уже и не допустить ;-(

        2.8.11

        Размышления о новом ФЗ-152

        Вчера я писал про погружение в ФЗ-152 и появление ряда интересных мыслей по новой редакции. Решил поделиться ими.

        Начну с того, что закон четко делится на две части - связанную с защитой прав субъектов и с защитой самих ПДн. Жесткое неприятие вызывает именно вторая часть; в отличие от первой части, которая действительно стала более гармонизирована с Евроконвенцией и стала больше отвечать интересам операторов персданных, найдя определенных баланс между интересами операторов и субъектов. Но пойдем по порядку.

        Одно из мощнейших изменений коснулось статьи 6. В ней расширен перечень условий, при которых возможно обрабатывать персданные без согласия субъекта. Это не только преддоговорная работа, но и обработка ПДн для осуществления прав и законных интересов оператора. Иными словами, теперь можно вести черные списки мошенников и неплательщиков, привлекать внешние службы безопасности для проверки клиентов и выполнять другие не менее важные задачи, ранее невозможные в рамках закона.

        Второе важное изменение коснулось уточнения термина "обезличивания". Если раньше оно вызывало вопросы, то сейчас, на мой взгляд, двойных толкований быть не должно. Нельзя без дополнительной информации определить, что это за пользователь с номером 123456, который обладает миллионным состоянием, значит это обезличивание и обработка таких данных выпадает из под действия ФЗ.

        В закон введение определение автоматизированной обработки, которое исключает двойственное толкование, а следовательно теперь четко делит всю обработку на автоматизированную и ручную. Уход по ПП-687 с обработкой на средствах вычислительной техники сегодня уже не убедителен.

        Уточнены понятие трансгранички и условий ее осуществления. И за составление списка "адекватных" стран для трансгранички теперь законодательно отвечает РКН.

        Очень интересна формулировка в ст.4. "На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных". Не значит ли это, что ЦБ все-таки может придать официальный статус своему СТО? Тут есть над чем поразмыслить. Вторая часть формулировки этой статьи "такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию" говорит нам о том, что пресловутое ПП-330 может скоро потерять свой гриф "ДСП" и тогда вопрос о том, что такое "оценка соответствия в установленном порядке" перестанет быть тайной за семью печатями.

        Срок хранение персданных теперь может быть установлен договором. Это было возможно и раньше, но теперь это четко зафиксировано в законе. Поэтому на запросы недоумевающих пользователей "А почему у Ингостраха в договоре написано, что они могут хранить мои персданные 75 лет?" есть четкий ответ - "по закону". С хранением связан и другой интересный момент - теперь по достижению целей или срока их обработки данные можно не уничтожать - достаточно их обезличить.

        Введено так нелюбимое Роскомнадзором понятие "обработчика". И получать ему согласие на обработку от субъекта, которого он и в глаза не видел, теперь не надо. Зато выполнять требования ст.19 по безопасности порученных ему для обработки ПДн он обязан. Специально для РКН в законе закреплена норма из ГК, что третье лицо не отвечает по обязанностям по сделке. Если у обработчика произошла утечка, то отвечать все равно оператору. Обработчик будет отвечать только за невыполнение условий договора между оператором и обработчиком (если он есть).

        Форма согласия субъекта теперь может быть любой, а не только письменной, как это раньше считал РКН. На отзыв согласия теперь можно закрыть глаза, если обработка осуществляется при наличии оснований для обработки без согласия (на основании ФЗ, договора или преддоговорной работы и т.д.). Также электронная подпись и собственноручная подпись под электронным или бумажным согласием теперь равнозначны. Учитывая, что вид электронной подписи (простая или усиленная) в законе не указан, то теперь одноразовые коды или просто пароли в Web-формах вполне легитимны для получения согласия.

        Информацию о состоянии здоровья сотрудников теперь можно обрабатывать без письменного согласия. Эта же информация в целях страхования также не требует подписания никаких бумажек.

        Красиво новый закон обходит проблему получения письменного согласия на обработку фото и видео субъекта ПДн. Если раньше под это определение попадали почти все фото и видео (исключая уход под ГОСТ 19794), то сейчас биометрией будет признаваться только то, что используется для идентификации личности. Вот сканирую я паспорт на входе в здание, но не планирую использовать фото для удостоверения личности, значит никакого письменного согласия на обработку биометрических ПДн мне не надо.

        14-я статья, часто применяемая для конкурентной борьбы, тоже претерпела изменения. Теперь прежде что-то просить у оператора, субъект обязан доказать, что он имеет это право и у него есть или были правоотношения с оператором. Срок ответа на запрос субъекта увеличен, как и причины для отказа на такой запрос. Например, можно сослаться на ФЗ-115 и не отвечать на запрос субъекта.

        Интересны ст.18 и ст.18.1. Например, если ПДн получены не от субъекта напрямую, то раньше требовалось обязательного его уведомление. Сейчас это можно не делать, если оператор попадает в исключения в новой редакции ФЗ. Новая статья 18.1 определяет меры, направленные на выполнение оператором обязанностей, предусмотренных ФЗ-152. Например, в ней зафиксировано, что оператор обязан опубликовать свою политику по работе с персданными. Также оператор может самостоятельно определять состав и перечень необходимых мер по выполнению ФЗ, если иное не предусмотрено ФЗ-152. Вот в этой приписке "если иное..." и кроется основная проблема, на мой взгляд, с защитой ПДн. Если без нее текст был гармонизирован с Евроконвенцией и оператор действительно сам определял, что и как ему делать (правда, по запросу РКН он был обязан представить доказательства этого), то по новой формулировке в самостоятельность оператора внесены ограничения. Они, в частности, ограничивают его право на самостоятельность в отношении защиты ПДн (это все регламентируется ст.19).Правда, есть мнение, что ст.19 - это всего лишь разъяснение п.1.3 статьи 18.1.

        19-я статья требует отдельного обсуждения. Пока только могу отметить, что:
        • требования по защите разрабатывают ФСТЭК и ФСБ и никто иной
        • меры по защите вытекают из уровней защищенностей, которые должно разработать Правительство (а оно эту функцию не делегировало ФСТЭК и ФСБ, в отличие от выработки требований по защите).
        • уровни по защите зависят не только от актуальности угроз, но и от объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные. Как Правительство будет это делать, не совсем понятно. Да и времени осталось совсем мало.
        • У нас исчезает понятие класс ИСПДн. Ему на смену приходит уровень защищенности. Следовательно на смену "приказу трех" придет какой-то другой документ и вообще вопрос классификации ИСПДн подвисает в воздухе.
        • Модель угроз может быть разработана различными органами госвласти, а также ЦБ, что позитивно и позволит учесть отраслевую специфику. Правда, мер по нейтрализации этих угроз никто кроме ФСТЭК и ФСБ разрабатывать не может. 
        • Ассоциации и союзы могут также разработать модель угроз для своих членов. Правда, ее надо согласовать с ФСТЭК и ФСБ в порядке, которого пока нет, - Правительство его пока не выпустило.
        • На сегодняшний день ФСТЭК и ФСБ не могут проверять коммерческие структуры - ст.19 ограничивает их полномочия только государственными информационными системами. Правда, есть и подвох. В п.9 полномочия ФСТЭК и ФСБ могут быть расширены по отдельному решению (не распоряжению и не постановлению) Правительства. Думаю, что оно не заставит себя ждать и до 1-го ноября такое решение появится.

        Наверное, из ключевых моментов все. Есть конечно и другие изменения, но они не столь значительны, как описанные выше.

          1.8.11

          4-я версия курса по персданным

          На прошлой неделе читал я новую версию курса по персданным - 4.0. Основное отличие от предыдущей версии 3.1 - ориентация на новую редакцию ФЗ-152. Пришлось сильно переработать часть по защите прав субъектов (условия неполучения согласия, неуведомлений и т.д.), часть по обязанностям оператора согласно ст.18, часть по уведомлению РКН. Ну и, конечно, пришлось менять акценты в разделе про защиту персональных данных в соответствие с 19-й статьей.

          Именно подготовка к данному курсу позволила поглубже погрузиться в ФЗ. А это, в свою очередь, помогло наткнуться на достаточно интересные ляпы, то ли специально оставленные в законе, то ли случайно забытые в процессе формирования новой редакции. Ну и вообще чтение закона не поверхносто, а применительно к конкретным ситуациям аудитории позволяет детальнее изучить нормы нового нормативно-правового акта.

          Ближайшие курсы будут 25-26 августа в ФинКонсалте.

          Грядет новое четверокнижие?!

          Помните ли вы, как появилось первое четверокнижие ФСТЭК? Сначала появилось 781-е постановление Правительства (17 ноября), в котором ФСТЭК и ФСБ предписывалось выпустить в трехмесячный срок нормативные документы по защите персданных. Потом требования пошло по инстанциям и когда оно спустилось до исполнителей оставалось совсем мало времени до выпуска нормативно-правовых актов (правда, ФСТЭК таковыми их не считала) с конкретизацией защитных мер. В итоге мы получили то, что получили. Кто-то даже говорил, что это чья-то диссертация. Ну да суть не в этом... Документы были выпущены в такой спешке, что потом операторы персданных долго разгребали последствия от их применения.

          Сейчас, после выхода новой редакции ФЗ-152, регуляторы должны выпустить новые требования. Какими они будут? Хочется верить, что адекватными. Многие, с кем мне довелось пообщаться, говорят, что времени на разработку достаточно. Но так ли это?

          С 1-го января 2012-го года начнутся проверки выполнения новых требований по безопасности, разрабатываемых ФСТЭК и ФСБ. Но чтобы проверки начались с 1-го января именно следующего года, ФСТЭК и ФСБ должны направить до 1-го ноября в прокуратуру план проверок с указанием правового основания для проведения проверочных мероприятий. Так следует из ФЗ-294 и 319-го приказа Генпрокуратуры. Правда, ситуация на практике обычно выглядит немного иначе. Например, к 1-му января в сводном плане проверок отсутствовали упоминания ФСБ, а совсем недавно на сайте ФСБ оказался план проверок, в котором присутствовало 265 организаций. Видимо внесение задним числом в план проверок - это из той же оперы, что и подмена одного законопроекта другим.

          Но если все будет по-честному, то на разработку требований у регуляторов остается всего-то август, сентябрь и октябрь, т.е. 3 месяца. Немало, скажете вы. Ведь родили четверокнижие за такой срок. Не спорю, родить нормальный документ за этот срок реально. Только вот незадача... Защитные меры должны опираться на разрабатываемые Правительством уровни защищенности. А вот тут у меня зарождаются сомнения, способно ли Правительство разработать такие уровни с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности. Т.е. тут не одномерное пространство - "класс ИСПДн - список защитных мер", а многомерное. И все это за три месяца. Успеют ли?...

          ЗЫ. Читающим этот пост коллегам из ФСТЭК предлагаю сотрудничество в деле разработки адекватных документов.