Свершилось - 28-го октября были выпущены новые версии PCI DSS (2.0), PA DSS (2.0) и требования PTS. Действовать они начинают с 01.01.2011, однако аудит по предыдущей версии 1.2.1 будет разрешен до 31-го декабря 2011-го года.
Вместе с выпуском новых стандартов обновился сайт PCI DSS, появился специальный сайт для компаний малого и среднего бизнеса.
Все новые документы могут быть загружены по адресу: https://www.pcisecuritystandards.org/security_standards/documents.php.
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
28.10.10
27.10.10
Размышление о конференциях по ИБ - 2
3 года назад я уже поднимал эту тему, критикуя отечественных организаторов различных мероприятий по ИБ. Теперь пришел через критики в адрес выступающих (спикеров). Как ведущий первого дня 3-го межотраслевого съезда директоров по ИБ заметил ряд проблем, которые присутствуют почти у каждого выступающего и почти на каждой конференции (отчасти это проблема выступающих, отчасти - организаторов). Хочу поделиться этим списком и надеюсь он кому-то будет полезен - в конечном итоге умение выступать важно во многих сферах нашей деятельности. Почему я взял на себя смелость такой критики (я сам не идеален в области выступлений)? Хотя бы потому, что в России найдется очень мало людей, которые бы выступали бы столько же, сколько и я. Я как-то подсчитал, что в год у меня около 100-120 презентаций длительностью от 20 минут до 8 часов. Поэтому мне есть чем делиться ;-)
Итак, по порядку:
Вот вкратце все, что наболело после Съезда директоров по ИБ в Хилтоне. Читатлеям не стоит воспринимать все это на свой счет - просто модерирование первого дня позволило аккумулировать мой опыт презентаций и посмотреть на другие презентации со стороны. Возможно кому-то это будет полезно. Хотя, безусловно, нормального курса (а то и не одного) по искусству выступлений (presentation skills) эта заметка не заменит.
Итак, по порядку:
- Основная проблема докладчика - эгоцентризм. Он почему-то считает, что он самый умный (иногда это так, но очень редко), а все остальные его слушающие - либо дети неразумные, либо журналисты, которым надо все разжежывать, либо просто посторонние в отрасли граждане. Но ведь это не так. Большинство присутствующих на профильных конференциях - специалисты с немалым опытом работы и разжевывать им прописные истины не надо.
- Вторая проблема, вытекающая из первой, - считать, что никого кроме докладчика больше на конференции нет. Поэтому большинство докладчиков львиную долю своего выступления тратят не на суть доклада, а на введение. В частности, на Съезде в секции про взгляд на ИБ с высоты птичьего полета, 4 из 6 докладчиков повторили почти одни и те же слайды (в разном оформлении) - о тенденциях и проблемах ИБ. Но это же не статья и не книга, где надо начинать с основы, а уж потом переходить к сути материала. на конференциях должен быть обычно застрельный доклад с рассказом об общих проблемах и тенденциах, а уж все последующие спикеры должны на него просто ссылаться, сразу переходя к основной идее своего выступления. Если уж такого застрельщика нет, то все равно первый докладчик и так расскажет о проблемах и тенденциях. Зачем же повторять его слова и отнимать время у себя и заставлять слушателей в 3-й, 4-й и даже 5-6-й разы выслушивать тоже самое?
- И вновь связанная с предыдущим пунктом проблема - теория и практика. Конференции директоров по ИБ, да и вообще специалистов по ИБ, не носящие откровенного научного характера подразумевают практически ориентированные доклады. Слушателям не нужна теория и общие разглагольствования на тему важности ИБ, методик оценки рисков и описания ФЗ-152. Это все и так можно подчерпнуть в Интернет или литературе (если уж хочется показать свое умение работать с источниками информации, то включите все в приложения к презентации). Людей интересует практика. То-то и то-то было сделано так-то и так-то. С проблемами столкнулись с такими-то. Решили их так-то. И т.п.
- Рекламы не надо. Я про это писал 3 года назад, но ситуация не изменяется к лучшему. Из всех докладов первого дня Съезда секция про птичий полет просто изобиловала рекламными докладами спонсоров ;-( Круче всех конечно выступил гендиректор SearchInform. Опустив всех, он говорил только о своем продукте, чем вызвал недовольство не только присутствовавших на заседании других вендоров DLP, но и самих потребителей. Пора уже давно понять, что за свои деньги (а он платит свои деньги) слушатель не хочет в отданное конференции время получать голимую рекламу. Он ее может получить в своем офисе, развалясь в кресле, попивая кофе и раскуривая сигару. Любой вендор прибежит и расскажет о своем продукте. Бесплатно. Или воспользуется другими технологиями (например, Webex) продвижения. А вот на конференциях надо рассказывать то, что интересно потребителю, а не рекламодателю.
- Отсюда вытекает непонимание аудитории, которой читается презентация. Одно дело на конференции по ИБ банков говорить о СТО, как о понятной для всех аббревиатуре и совсем другое дело упоминать на конференции для всех про стандарт X.1051, считая, что все знают, что это такое (а это известно очень небольшому количеству специалистов по ИБ из отрасли связи).
- Теперь перейдем к технике. Почти все докладчики не соблюдают регламент (за исключением некоторых представителей западных компаний, где поставлен процесс обучения презентационным навыкам). Когда докладчика заранее предупреждают, что ему выделено 10 минут на презентацию и 2 минуты на вопросы, это значит, что так и есть. И больше ему времени не положено, т.к. после него есть еще выступающие. Как минимум, несоблюдение регламента - это неуважение к последующим спикерам. Как максимум, неуважение к слушателям, которые надеятся не сидеть лишнее время, а вовремя уйти на перерыв или завершить конференцию. Иногда проблему можно решить правильным модерированием секций, но далеко не всегда.
- Отсюда вытекает неумение подстраиваться под изменение регламента. Если предыдущий докладчик съел почти все ваше время, то не надо, несмотря ни на что, продолжать читать свой доклад как будто ничего не случилось. Как показывает мой опыт, действительно интересных докладов, которые люди готовы слушать в ущерб обеду или перерыву на кофе очень мало. А значит неумение подстраиваться под динамически изменяемый регламент играет плохую шутку с выступающим. Люди, умеющие ценить свое время (а это как раз руководители, принимающие решения), ценят это качестве и в других.
- Отсюда же вытекает незнание презентационных основ. В большинстве учебников и курсов по данной теме сказано - скорость чтения презентации обычно равна 1-му слайду за 1-2 минуты (обычно 2, но бывает и за одну). Если вам выделено 10 минут на презентацию, то не надо думать, что вам удастся 26 слайдов рассказать за это время. В большинстве случаев это не получается. Только у опытных спикеров скорость может быть больше. Например, у меня есть опыт чтения 180 слайдов за 1 час. Но тут надо понимать, что при такой скорости может страдать как качество доклада, так и снижается уровень восприятия со стороны слушателей.
- С этой проблемой связана и другая - правильная речевая подготовка. Выступление - это не только поставленный голос, но и живость, темп, ритм рассказа. Если мямлить, то даже очень интересный доклад не запомнится. А если говорить громко и уверенно, то даже полная фигня может быть воспринята благосклонно. Говорите громче, а то многие даже в микрофон умудряются говорить так, что ничего не слышно уже на первом ряду. Но и ставить это во главу угла, конечно, не стоит. Вот для меня - выступления - один из видов моей работы. Мне надо уметь говорить громко и иногда это пригождается (например, когда в зале на 300-400 человек вдруг пропадает звук у микрофона). Но для большинства громкость - это вторично, а вот уверенность и ритм - первичны. Кстати, часто присутствующая монотонность и академичность докладов людей только усыпляет (иногда это полезно).
- Теперь о слайдах. Как говорит современная молодежь - "многа букафф". Это проблема и очень серьезная. Очень многие докладчики либо боясь забыть что говорить, либо просто пытаясь показать кропотливый труд над презентацией, вставляют на слайды по 10-30 строк текста. Такие слайды читать невозможно. Их и оценить-то не успеваешь. В итоге качество доклада резко падает. Снижается оно и тогда, когда в презентации отсутствуют средства визуализации материала - графики, диаграммы, схемы, скриншоты. Главное не переусердствовать, а то бывает такая аляпистость в презентациях, что кажется, что лучше бы вообще без картинок... которые надерганы из Интернет (в нарушении прав на интеллектуальную собственность), вставлены на слайд беспорядочно, у картинок отсутствует единая стилистика и цветовая гамма, ну и т.д. Этакий зоопарк ;-(
- Ну и последнее, что хотелось бы отметить. Никогда не зачитывайте текст на презентациях. Слушатель - не первоклассник и читать умеет сам. Лучше прокомментируйте то, что написано на слайде. Это позволит вам дать вдвое больше материала за тоже время. Если вы будете просто читать текст, то через 2-3 слайда слушатели начнут отвлекаться от вашего доклада и начнут заниматься своими делами. Оно вам надо?
Вот вкратце все, что наболело после Съезда директоров по ИБ в Хилтоне. Читатлеям не стоит воспринимать все это на свой счет - просто модерирование первого дня позволило аккумулировать мой опыт презентаций и посмотреть на другие презентации со стороны. Возможно кому-то это будет полезно. Хотя, безусловно, нормального курса (а то и не одного) по искусству выступлений (presentation skills) эта заметка не заменит.
26.10.10
3-й съезд директоров ИБ - краткие впечатления от первого дня
Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады.
Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты:
Вот на этом официальная часть мероприятия закончилась и мы плавно переместились на теплоход, курсировавший по Москва-реке. Общение, но уже неформальное, продолжилось там ;-)
Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты:
- Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых ИТ/ИБ-директору стандартов. Первым, в области ИБ, стал стандарт ISO 15408:2009 (часть 1-я). Это пресловутые "Общие критерии", но не действующая в России 2-я версия, а самая последняя, третья версия критериев оценки соответствия ИТ требованиям ИБ. В ближайшие дни электронная версия стандарта будет доступна либо на сайте СоДИТ, либо на сайте съезда (там же будут доступны в среду вечером и все презентации).
- Елена Константиновна Волчинская (ведущий советник аппарата комитета ГосДумы по безопасности) рассказала о ключевых изменениях в 4-х ФЗ - "О персданных", "Об ЭЦП", "О лицензировании отдельных видов деятельности" и "О госуслугах". Наиболее интересен был второй законопроект - ряд здравых идей и предложений был высказан. Как минимум, есть желание разделить единую лицензию на все 4 вида деятельности в области шифрования на 2 вида - разработку выделить отдельно.
- Андрей Владимирович Федосенко (ведущий советник аппарата комитета ГосДумы по конституционному законодательству и государственному строительству) рассказал о планах по изменению законодательства в области персданных. По сути он прошелся по законопроекту Резника и прокомментировал отдельные его положения с точки зрения отношения к ним Правительства и ряда других заинтересованных лиц. Если будет выполнено хотя бы половина из того, что было сказано, то жить станет легче. Что же каается второго чтения, то оно будет все-таки в этом году, а сам законопроект постараются принять также в этом году.
- Была интересная секция про взгляд с высоты птичьего полета, но ни о каком полете речи не было. Были интересные доклады Сергея Голяка (ММК) и Александра Кириллова (СеверьСталь) о реальном и практическом опыте обеспечения ИБ в холдинговых структурах. Коротко и по делу.
- Как всегда, выступление Льва Матвеева из SearchInform можно было охарактеризовать следующими тезисами - "Все козлы, а мы самые крутые", "Мы делаем то, что другие никогда не сделают, потому что у нас есть крутой патент", "Мы решим все ваши проблемы с безопасностью, поиском, репутацией, лояльностью, экономическими преступлениями и вообще все", "Время на внедрение нашего крутого продукта всего 8 часов" и "Заказчиков не назову, потому что это секретная информация, но мы все равно самые крутые". Такой безаппеляционный подход, разумеется, вызвал реакцию со стороны аудитории, которая попыталась поспорить с г-ном Матвеевым. Я пресек начинающуюся склоку ;-)
- В предпоследней интерактивной сессии была дискуссия на тему ПДн. Рассказ банков, химпромышленности и операторов связи был интересен, но наибольшее внимание было приковано к 2-м представителям 8-го Центра ФСБ, которые поделились своим взглядом на проблематику шифрования в контексте ПДн. Во-первых, сейчас готовится проект нового приказа ФСБ, который систематизирует все текущие наработки службы в области защиты ПДн. Во-вторых, будет уточнен перечень случаев, когда лицензия ФСБ не нужна. Например, на выполнение действий, указанных в эксплуатационной документации. Или на распространение СКЗИ клиентам для организации взаимодействия (например, ДБО у банков). В-третьих, рассматривается вопрос разрешения использования несертифицированных СКЗИ там, где нет и не будет в ближайшее время российских аналогов. В-четвертых, банки, подключившиеся к СТО, в 2011-м году проверять по линии ФСБ не будут. Такова договоренность ЦБ и ФСБ (представителей РКН и ФСТЭК на мероприятии не было).
- Последняя секция была посвящена работе западных компаний в России и как они решают вопрос выполнения корпоративных и локальных требований по ИБ. Надо заметить, что общего взгляда здесь не нашлось. Судя по ответам, каждая международная компания по разному смотрит на локальные требования ИБ. Кто-то на них откровенно забивает, т.к. выполнить "этот бред" невозможно. Кто-то пытается найти компромисс. Кто-то пытается выполнить в полном объеме. Но универсального рецепта так и не было найдено (хотя его, наверное, и нет).
Вот на этом официальная часть мероприятия закончилась и мы плавно переместились на теплоход, курсировавший по Москва-реке. Общение, но уже неформальное, продолжилось там ;-)
25.10.10
И вновь о Роскомнадзоре и его мнении - 3
Коллега из Новосибирска прислал краткий обзор мероприятия по ПДн, которое прошло на позапрошлой неделе в Новосибирске. Краткие комментарии и высказывания регуляторов:
- Если страна ратифицировала Конвенцию, то РКН считает, что страна с адекватной защитой прав субъектов.
- Упоминался ГОСТ 19794 "Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными" по биометрической идентификации человека. Если изображение соответствует требования этого ГОСТа, то фото и видео - биометрия. Если не соответствуют - то не биометрия.
- Рассмотрение Резниковского законопроекта перенесли на весну (буду проверять эту информацию).
- Говорили об планируемом увеличии штрафов и изменении статьи 13.11. Правда планируется это с конца прошлого года и все никак. Есть мнение, что увеличения штрафов не будет, т.к. сразу увеличится корруационная емкость этой статьи.
- Представитель ФСТЭК заявил, что почти все существующие ИСПДн - типовые. Судя по формулировкам, он оперировал только "приказом трех" и совершенно был не в курсе ни мнения центрального аппарата ФСТЭК, ни мнения других региональных управлений ФСТЭК, которые считают, что почти все существующие ИСПДн - специальные.
- Средства защиты могут быть только сертифицированными. Основание - неопубликованное и поэтому необязательное к применению ПП-330. В четверг, на конференции в Барнауле, один из лицензиатов ФСТЭК рассказал, что сибирская ФСТЭК ПП-330 раздает по запросам и без ограничений. Но видимо лицензиатам, все-таки, т.к. нам на такой запрос отказали, ссылаясь на то, что мы не лицензиаты. Хотя вот северо-западная ФСТЭК это постановление не дает даже лицензиатам. В-общем, все как всегда.
- Настройка, использование и обновление антивируса требует по мнению представителя ФСТЭК наличия лицензии на ТЗКИ (!).
22.10.10
О форме согласия на обработку ПДн
Напомню, что у РКН есть мнение, что согласие субъекта ПДн на обработку его ПДн может быть только в письменной и никакой иной форме. Алексей Волков запросил РКН по этому вопросу и получил официальный ответ (приведен в блоге). Я также провел ряд консультаций и их результат примерно следующий: ответ РКН правильный, но только потому, что соответствует вопросу ;-)
Алексей ссылался в запросе на статьи ГК, регулирующие договорные отношения. РКН и ответил в том ключе, что договор - это договор, но обработка ПДн может вестись и без договора и поэтому может понадобиться письменное согласие. Универсальных же рецептов здесь нет - по каждому сценарию обработки надо смотреть, что и как там обрабатывается и нужно или нет письменное согласие.
А вообще один ответ РКН ничего не значит ;-) Два региональных управления могут иметь разные точки зрения на один и тот же вопрос. А если сюда добавить еще потенциальное мнение центрального РКН, то картины вырисовывается и вовсе сюрреалистичная ;-)
Алексей ссылался в запросе на статьи ГК, регулирующие договорные отношения. РКН и ответил в том ключе, что договор - это договор, но обработка ПДн может вестись и без договора и поэтому может понадобиться письменное согласие. Универсальных же рецептов здесь нет - по каждому сценарию обработки надо смотреть, что и как там обрабатывается и нужно или нет письменное согласие.
А вообще один ответ РКН ничего не значит ;-) Два региональных управления могут иметь разные точки зрения на один и тот же вопрос. А если сюда добавить еще потенциальное мнение центрального РКН, то картины вырисовывается и вовсе сюрреалистичная ;-)
21.10.10
О моделях угроз для виртуализации и облачных вычислений
Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится.
Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей угроз? Оказывается все нет плачевно. Если не брать различные статьи по безопасности виртуализации (например, тут), то есть неплохой документ от NIST - "Guide to Security for Full Virtualization Technologies" (SP 800-125). Пока это проект (документ опубликован в июле 2010 года), но он очень неплохо описывает (без привязки к вендорам) и саму технологию виртуализации, и ее проблемы с безопасностью, и рекомендации по защите. Тем, кто сейчас разрабатывает требования/рекомендации по защите виртуализации (а такие шаги сейчас предпринимают даже регуляторы), я бы рекомендовал отталкиваться именно от этого документа.
С моделью угроз для облачных вычислений все обстоит еще проще - образованный в 2009-м году Cloud Security Alliance (Cisco является его членом) опубликовал 1-го марта 2010 года первую версию модели угроз для облачных вычислений. В конце этого года планируется опубликовать вторую версию этого документа. На сайте альянса много и другой полезной информации по информационной безопасности для участников облачных вычислений.
Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей угроз? Оказывается все нет плачевно. Если не брать различные статьи по безопасности виртуализации (например, тут), то есть неплохой документ от NIST - "Guide to Security for Full Virtualization Technologies" (SP 800-125). Пока это проект (документ опубликован в июле 2010 года), но он очень неплохо описывает (без привязки к вендорам) и саму технологию виртуализации, и ее проблемы с безопасностью, и рекомендации по защите. Тем, кто сейчас разрабатывает требования/рекомендации по защите виртуализации (а такие шаги сейчас предпринимают даже регуляторы), я бы рекомендовал отталкиваться именно от этого документа.
С моделью угроз для облачных вычислений все обстоит еще проще - образованный в 2009-м году Cloud Security Alliance (Cisco является его членом) опубликовал 1-го марта 2010 года первую версию модели угроз для облачных вычислений. В конце этого года планируется опубликовать вторую версию этого документа. На сайте альянса много и другой полезной информации по информационной безопасности для участников облачных вычислений.
20.10.10
Мифы ИБ... онлайн-проект закончен
Итак, совместный проект по написанию книги "Мифы и заблуждения информационной безопасности" меня и портала bankir.ru закончен. Я сдал последние мифы и они скоро будут опубликованы на сайте. Ну что сказать?.. Проект был непростой. Имея в багаже опыт написания 4-х книг, я думал, что и пятую осилю без проблем. Оказалось не так. Онлайн-публикация по частям - сильно отличается от подготовки оффлайн-издания. И размер отдельных разделов должен быть не меньше определенного порогового значения (мне пришлось много мифов "зарезать" по этой причине). И сроки публикации надо выдерживать (я так и не смог). И Web-функциональностью надо активно пользоваться (ссылки, анимация и т.п.). И аудиторию надо четко выбирать (у меня получилось и для пользователей и для специалистов). Но опыт был безусловно полезный.
Возможно на основе онлайн-книги будет выпущена оффлайн-версия. Но обновленная и расширенная. По крайней мере желающие ее издать есть.
ЗЫ. Ну и конечно уже есть идеи публикации других книг ;-) Времени бы хватило.
Возможно на основе онлайн-книги будет выпущена оффлайн-версия. Но обновленная и расширенная. По крайней мере желающие ее издать есть.
ЗЫ. Ну и конечно уже есть идеи публикации других книг ;-) Времени бы хватило.
18.10.10
15.10.10
Мифы 86-90
И вновь мифы:
- Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета
- Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета
- Сертификату Интернет-банка в браузере можно доверять
- Шифрование по SSL обеспечивает защиту транзакций в Интернет-банке
- Сайты умеют защищать хранимую на них информацию
14.10.10
13.10.10
12.10.10
Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?
Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:
И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что "федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".
К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. "лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".
Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ - это именно ограничение) должно быть указано в федеральном законе и никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.
- Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
- Ст.6.3 ФЗ-149 говорит, что только обладатель информации, если иное не предусмотрено федеральными законами, определяет порядок и условия доступа к информации.
- Ст.16.5 ФЗ-149 говорит, что ФСБ и ФСТЭК устанавливают требования по защите информации для государственных информационных систем. Про обязательность требований ФСБ и ФСТЭК для негосударевых ИС в законе ни слова.
- Ст.49.2 ГК РФ говорит о том, что "юридическое лицо может быть ограничено в правах лишь в случаях и в порядке, предусмотренных законом".
И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что "федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".
К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. "лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".
Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ - это именно ограничение) должно быть указано в федеральном законе и никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.
11.10.10
Что нас ждет в ближайшее время с точки зрения регулирования ИБ?
В среду я разместил свою первую презентацию с ИнфобезЭкспо 2010 и вот пришел черед для второй, прочтенной в четверг. Саму презентацию я показать не смог по техническим причинам (на компе организаторов не было office 2007/2010, а я поленился сделать версию для Office 2003). Поэтому рассказывал без слайдов, а многие заинтересовались названиями и ссылками на упоминаемые документы. Поэтому выкладываю презентацию тут. Частично я ее уже выкладывал ранее, но сейчас я систематизировал информацию и актуализировал ее исходя из самых последних изменений.
8.10.10
Как получить меч за туманный рассказ?..
В четверг, на конкурсе "Львы и гладиаторы" на ИнфобезЭкспо 2010, в компании достойных коллег, в непростой борьбе с перевесом в 5 голосов удалось у "Кода безопасности" вырвать победу и заполучить гладиаторский меч за презентацию сервиса облачной безопасности Web-доступа Cisco ScanSafe.
Некоторые коллеги, не имея возможности попасть в зал и услышать рассказ о ScanSafe, попросили выложить презентацию о данном сервисе, что я и делаю.
Некоторые коллеги, не имея возможности попасть в зал и услышать рассказ о ScanSafe, попросили выложить презентацию о данном сервисе, что я и делаю.
7.10.10
Как полезно иногда читать "старые" законы или что такое общедоступные ПДн
Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное согласие субъекта, а это непросто. И соотношение выгод и затрат на смену статуса уже не так очевидно.
Ждать законопроекта Минкомсвязи долго. Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.
Ждать законопроекта Минкомсвязи долго. Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.
6.10.10
Может ли выполнение требований по ИБ привести к прерыванию бизнеса?
Моя презентация с вчерашней конференции по непрерывности бизнеса BCR 2010. Хотя конференцией "это" назвать можно с трудом. Было всего 7 человек на мероприятии ;-(
5.10.10
И вновь о Роскомнадзоре и его мнении - 2
Возвращаясь к 6-му пункту вчерашней заметки. Напомню ее: "Подисскутировали на тему "оператор - обработчик". РКН, как всегда, считает, что института обработчика у нас нет. В ситуации, когда одно юрлицо передает другому юрлицу обработку ПДн,второе юрлицо должно уведомлять субъектов ПДн о том, что их ПДн обрабатываются. Такова позиция РКН. На замечание, что это второе юрлицо может вообще не иметь информации о способах контакта с субъектом, было проигнорировано ;-( Как и замечание о том, что Евроконвенция оперирует и понятием "оператор" и понятием "обработчик". На упоминание судебной практики не в пользу РКН (суды нередко разделяют понятия оператор и обработчик ПДн) представительница регулятора заметила, что есть и другие прецеденты (правда, не назвала какие)". И вот сегодня, на мероприятии в Казани представитель РКН опроверг эту точку зрения своего ижевского коллеги ;-)
По мнению казанского РКН третье лицо, получившее ПДн не от субъекта ПДн, не обязано его уведомлять при условии, что между оператором ПДн и третьим лицом заключен договор, в котором указано условие обеспечения конфиденциальности и безопасности ПДн. Вот такой новый поворот ;-) Даже и не знаешь, радоваться ему или нет. Я уже боюсь думать, что в среду в Питере скажет РКН по этому поводу ;-)
Что мне понравилось в Казани - так это представитель РКН. Видно, что ему небезразлична эта тема. Свое выступление он сразу начал с того, что признался, что он не истина в последней инстанции и может ошибаться. Но при этом он призвал всех операторов ПДн обращаться к ним, чтобы вместе искать решение возникающих проблем. Другое отличие - он просидел почти весь семинар. Он не боится учиться! Я такое вижу впервые у представителей РКН. Обычно они приходят перед своим выступлением и уходят сразу после него (или сидят с "умным" выражением лица в президиуме). И вообще Татарстан по части всяких вопросов, связанных с информатизацией, впереди всех регионов России.
По мнению казанского РКН третье лицо, получившее ПДн не от субъекта ПДн, не обязано его уведомлять при условии, что между оператором ПДн и третьим лицом заключен договор, в котором указано условие обеспечения конфиденциальности и безопасности ПДн. Вот такой новый поворот ;-) Даже и не знаешь, радоваться ему или нет. Я уже боюсь думать, что в среду в Питере скажет РКН по этому поводу ;-)
Что мне понравилось в Казани - так это представитель РКН. Видно, что ему небезразлична эта тема. Свое выступление он сразу начал с того, что признался, что он не истина в последней инстанции и может ошибаться. Но при этом он призвал всех операторов ПДн обращаться к ним, чтобы вместе искать решение возникающих проблем. Другое отличие - он просидел почти весь семинар. Он не боится учиться! Я такое вижу впервые у представителей РКН. Обычно они приходят перед своим выступлением и уходят сразу после него (или сидят с "умным" выражением лица в президиуме). И вообще Татарстан по части всяких вопросов, связанных с информатизацией, впереди всех регионов России.
4.10.10
Мое выступление на BCR 2010 и Инфобезе 2010
Пусть с опозданием, но вопрос моего участия в Инфобезе 2010, а заодно и в BCR 2010, все-таки решился положительно. Так что 5-го числа я выступаю на тему: "Может ли привести исполнение законодательства в области ИБ к прерыванию деятельности?" (в рамках конференции BCR 2010), а 7-го числа на тему: "Что нас ждет в законодательстве по ИБ в ближайшее время?" (в рамках Инфобеза 2010).
7-го также участвую в конкурсе "Львы и гладиаторы" с рассказом об облачной безопасности ScanSafe ;-)
7-го также участвую в конкурсе "Львы и гладиаторы" с рассказом об облачной безопасности ScanSafe ;-)
И вновь о Роскомнадзоре и его мнении
В пятницу выступал на конференции в Ижевске. Как всегда в последнее время - по теме персданных. После меня выступала представительница Роскомнадзора. Классическое выступление, но несколько интересных высказываний я позволю себе привести тут:
Вот такие дела творятся ;-(
ЗЫ. По дороге в Ижевск пролистывал журнал, полученный в самолете. В нем один ижевский интегратор по ИБ утверждает, что аттестация объекта информатизации, обрабатывающего ПДн, это обязательное требование к любому оператору ПДн. И начать делать это надо было еще в 2006-м году. А ведь на дворе уже октябрь 2010-года и 58-й приказ уже как полгода выпущен.
ЗЗЫ. Сегодня выступаю в Казани с той же темой. Планируется выступление и РКН. Может тоже, что интересное прозвучит ;-)
- РКН не может направить дело в суд по ст.13.11 - это прерогатива только прокуратуры. А РКН, в свою очередь, обычно направляет дела только по статье 19.7 (непредоставление данных по запросу надзорного органа).
- У РКН нет задачи помогать операторам правильно защищать права субъектов. Представительница РКН заявила, что они по максимуму стараются доводить все дела до суда, чтобы наработать судебную практику.
- РКН не проверяет правильность классификации ИСПДн - это не его прерогатива.
- Несмотря на наличие в 687-м Постановлении указания, что обработка без средств автоматизации не означает отсутствие информационной системы, РКН все-таки считает, что 687-е касается только бумажной обработки.
- По мнению РКН существует только одна форма согласия - письменная. Ни устной, ни конклюдентной. Причем представительница РКН сама путалась в показаниях (заодно путая и аудиторию). Свою позицию (про только письменное согласие) она обосновывала следующим фрагментом ФЗ-152 "В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных" (ст.9.4). На мое замечание, что этих случаев всего 5 и они описаны в ФЗ-152, она заявила, что все наоборот - либо согласия не надо (согласно ст.6) либо согласие только в письменной форме. На мой вопрос - как РКН относится к тому, что в Европе практика применения Евроконвенции совершенно иная и она противоречит мнению РКН, представитель РКН ответила, что она это понимает, но официальная позиция РКН именно такая и никакой другой.
- Подисскутировали на тему "оператор - обработчик". РКН, как всегда, считает, что института обработчика у нас нет. В ситуации, когда одно юрлицо передает другому юрлицу обработку ПДн,второе юрлицо должно уведомлять субъектов ПДн о том, что их ПДн обрабатываются. Такова позиция РКН. На замечание, что это второе юрлицо может вообще не иметь информации о способах контакта с субъектом, было проигнорировано ;-( Как и замечание о том, что Евроконвенция оперирует и понятием "оператор" и понятием "обработчик". На упоминание судебной практики не в пользу РКН (суды нередко разделяют понятия оператор и обработчик ПДн) представительница регулятора заметила, что есть и другие прецеденты (правда, не назвала какие).
Вот такие дела творятся ;-(
ЗЫ. По дороге в Ижевск пролистывал журнал, полученный в самолете. В нем один ижевский интегратор по ИБ утверждает, что аттестация объекта информатизации, обрабатывающего ПДн, это обязательное требование к любому оператору ПДн. И начать делать это надо было еще в 2006-м году. А ведь на дворе уже октябрь 2010-года и 58-й приказ уже как полгода выпущен.
ЗЗЫ. Сегодня выступаю в Казани с той же темой. Планируется выступление и РКН. Может тоже, что интересное прозвучит ;-)
1.10.10
Закон о персданных и закон о рекламе
В ФЗ-152, в его 15-й статье есть запрет на использование ПДн при рекламе товаров и услуг без предварительного согласия субъекта ПДн. На курсе по ПДн я обычно даю ряд простых рекомендаций по решению данной проблемы - либо включать согласие на получение рекламы в текст договора/анкеты/формы с субъектом ПДн (многие подписывают их не глядя), либо убирать персонификацию из сообщения, тем самым лишая сообщение признака идентифицируемости субъекта и тем самым выводя его из под действия ФЗ-152. Иными словами, вместо "Уважаемый Алексей Викторович!" писать "Уважаемый клиент!".
Но вот на последнем курсе представительница одного из банков рассказала, что ФАС последний сценарий забраковала, посчитав его нарушением федерального закона "О рекламе" (ФЗ-38). Согласно последнему неперсонифицированная рассылка - это реклама, т.е. "информация, распространяемая любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке". А раз так, то на рассылку рекламы требуется предварительного согласие ее получателя. На замечание банка в сторону ФАС, что персонификация нарушает ФЗ-152, а обезличивание - ФЗ-38, ФАС ничего вразумительного ответить не смог ;-( Вот такая нелицеприятная ситуация.
От себя могу заметить, что ФАС следует сложившейся у них практике применения закона "О рекламе". Единственным сценарием выхода из сложившейся ситуации является только получение согласия субъекта ПДн на рассылку ему сообщений рекламного характера. К счастью, данное согласие не должно включать 7 обязательных элементов, присущих письменной форме согласия, а значит можно ограничиться обычным чекбоксом "Я согласен на получение сообщений рекламного характера".
В качестве направления дальнейшего исследования можно покопать в части неотнесения к рекламе "информации, раскрытие или распространение которой либо доведение до потребителя которой является обязательным в соответствии с федеральным законом". И если, например, сообщение о появлении нового, например, вклада в банке, является рекламой в чистом виде, то сообщение об изменении тарифов по текущим вкладам рекламой может и не являться, т.к. скорее всего подпадает под обязательные требования об уведомлении потребителей об изменении существенных условий договора и т.д., т.е. под требования федерального законодательства (ГК РФ, ФЗ "О защите прав потребителей" и т.п.).
Но вот на последнем курсе представительница одного из банков рассказала, что ФАС последний сценарий забраковала, посчитав его нарушением федерального закона "О рекламе" (ФЗ-38). Согласно последнему неперсонифицированная рассылка - это реклама, т.е. "информация, распространяемая любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке". А раз так, то на рассылку рекламы требуется предварительного согласие ее получателя. На замечание банка в сторону ФАС, что персонификация нарушает ФЗ-152, а обезличивание - ФЗ-38, ФАС ничего вразумительного ответить не смог ;-( Вот такая нелицеприятная ситуация.
От себя могу заметить, что ФАС следует сложившейся у них практике применения закона "О рекламе". Единственным сценарием выхода из сложившейся ситуации является только получение согласия субъекта ПДн на рассылку ему сообщений рекламного характера. К счастью, данное согласие не должно включать 7 обязательных элементов, присущих письменной форме согласия, а значит можно ограничиться обычным чекбоксом "Я согласен на получение сообщений рекламного характера".
В качестве направления дальнейшего исследования можно покопать в части неотнесения к рекламе "информации, раскрытие или распространение которой либо доведение до потребителя которой является обязательным в соответствии с федеральным законом". И если, например, сообщение о появлении нового, например, вклада в банке, является рекламой в чистом виде, то сообщение об изменении тарифов по текущим вкладам рекламой может и не являться, т.к. скорее всего подпадает под обязательные требования об уведомлении потребителей об изменении существенных условий договора и т.д., т.е. под требования федерального законодательства (ГК РФ, ФЗ "О защите прав потребителей" и т.п.).