23.10.2014

Что нас ждет в отечественном законодательстве по ИБ?

На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора.



14 коммент.:

Илья Михайлов комментирует...

Алексей, доброго дня!
Еще раз перечитал разъяснения по биометрии.
Т.е. получается компанию Apple, Samsung, и пр., кто испольует сканер отпечатка пальца, можно штрафовать, т.к. согласия письменного у субъекта на использвоание отпечатка для аутентификации они не получали?

Игорь А. комментирует...

Алексей, а когда уже наконец выйдет в свет порядок моделирования угроз безопасности...? Заждались.

Максим Дуков комментирует...

пара вопросов, если позволите.
1. слайд 22, OpenSource. Если мы и так вляпываемся в КВ из-за реальности угрозы привлечения квалифицированного криптографа - чем нам тогда мешает OpenSource? Хуже уже не станет.
2. слайд 58. Чипы на картах. Да, такой пункт есть - но он один из многих других. Если банк не перестанет выпускать карты без EMV то ? практически уверен, у всех банков оценка по 382-П не равна 1. Ну станет оценка чуть хуже - опять же, можно вытянуть за счет другой оценки.
Или у Вас есть информация, что конкретно это пункт будет оцениваться как-то отдельно?

xenobius комментирует...

Добрый день, Алексей!

Слайд №21. Всё таки не совсем понятно, почему именно ФСБ ограничил применение СКЗИ для защиты ПДн не ниже КС3. Это только потому, что мы можем считать (опять же - на основе модели нарушителя которую сами делали?), что нарушитель может получить доступ к СВТ? Дальше больше - слайд №22. Там вообще речь идёт про КВ и КА. Эти выводы делаются на основе модели нарушителя, которую делаем сами, или ФСБ жёстко регламентирует такие требования? Не совсем понятно, поясните пожалуйста.

stan99 комментирует...

В слайдах 21 и 22 Алексей написано верно, но ориентироваться надо на требования к классам СКЗИ относительно УЗ. А там все нормально от КС1 и выше при 3-ем типе угроз. Стращает нас автор )))))

Lubov Shorina комментирует...

Алексей, хотела возразить по поводу слайда 24 (приказ ФСБ).

В утвержденной версии Приказа №378 эти страшные требования были смягчены.

Для 4УЗ они теперь звучат так:

а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;

И для 1 УЗ:

а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.

Опечатывание сейфов, же согласно Приказу, может компенсироваться наличием кодовых замков.

Lubov Shorina комментирует...

А что касается разъяснений РКН, то вспомнить их тоже было полезно.

В частности, возник следующий вопрос. Записи системы видеонаблюдения не являются биометрическими ПДн, если не используются оператором для установления личности того, кто на них записан. Но являются ли они в тоже время просто ПДн и попадают ли под действие закона №152-ФЗ? Т.е. есть ли необходимость включать их в перечень ПДн (в том числе в уведомление в РКН), устанавливать цели их обработки,обосновывать наличие правового основания обработки (согласие посетителя, работника)?

Алексей Лукацкий комментирует...

Илья: хороший вопрос :-)

Игорь: скоро, уже идет вычитка

Максим: квалифицированный криптограф - это КВ, а opensource - это КА

xenobius: я исхожу из реалий моделирования угроз. Разумеется, на практике все забьют болт, в очередной раз превратив ИБ в профанацию, чего ФСБ и добивается

stan99:  читать надо весь приказ целиком, а не только привязку к УЗ. ФСБ вообзе наплевать на УЗ, они исторически привязывались только к модели нарушителя

Lubov: а чем смягчили?

Запись видеонаблюдения сами по себе не содержат ПДн в большинстве случаев

Lubov Shorina комментирует...

Алексей, смягчили, потому что ежедневное опечатывание помещений и сейфов, как правило, пугает больше, чем использование охранной сигнализации, которая у большинства компаний уже есть.

Другое дело, что чаще используются объемные датчики, нежели датчики сигнализации на дверях и окнах. Кстати, интересно, допускает ли ФСБ такой вариант или будет жестко требовать оборудования сигнализацией именно окон и дверей...

Алексей Лукацкий комментирует...

Так опечатывание помещений осталось

Lubov Shorina комментирует...

Почему, там же или стоит:

"опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений"

Алексей Лукацкий комментирует...

А если openspace?

Lubov Shorina комментирует...

Оупенспейс еще не самое страшное, ну будет одно большое помещение, хуже, если реализован удаленный доступ к ИСПДн с мобильных устройств. Тут шифрование требуется обязательно, причем как канала, так и информации на самом устройстве, а данные требования выполнить возможным не представляется.

Алексей Лукацкий комментирует...

Шифрование не является обязательным